Quy định chung về bảo vệ dữ liệu (GDPR) áp dụng một cách tiếp cận toàn diện đối với định nghĩa về dữ liệu cá nhân. Theo Điều 4(1), “dữ liệu cá nhân có nghĩa là bất kỳ thông tin nào liên quan đến một thể nhân đã được xác định hoặc có thể xác định danh tính (‘chủ thể dữ liệu’); một thể nhân có thể xác định danh tính là người có thể được nhận dạng, trực tiếp hoặc gián tiếp” (GDPR, 2016). Định nghĩa này có một số hàm ý quan trọng, như được trình bày chi tiết dưới đây:
- Yếu tố nhận dạng trực tiếp: Quy định này bao gồm rõ ràng các dữ liệu như tên, địa chỉ, số điện thoại, số nhận dạng và các dữ liệu khác có thể nhận dạng một cá nhân một cách rõ ràng.
- Yếu tố nhận dạng gián tiếp: Phạm vi được mở rộng đến các thông tin mà khi kết hợp với các dữ liệu khác, có thể nhận dạng một cá nhân. Ví dụ bao gồm ngày sinh, dữ liệu vị trí, nghề nghiệp, và thậm chí cả các dấu hiệu nhận dạng đặc trưng về thể chất, sinh lý, di truyền, tâm thần, kinh tế, văn hóa hoặc xã hội.
- Yếu tố nhận dạng trực tuyến: GDPR công nhận cụ thể rằng thông tin kỹ thuật số—chẳng hạn như địa chỉ IP, cookie, mã nhận dạng thiết bị và siêu dữ liệu vị trí—cấu thành dữ liệu cá nhân nếu nó có thể được liên kết với một cá nhân.
- Các hạng mục đặc biệt: Dữ liệu được coi là đặc biệt nhạy cảm—bao gồm nguồn gốc chủng tộc hoặc dân tộc, quan điểm chính trị, niềm tin tôn giáo hoặc triết học, tư cách thành viên công đoàn, dữ liệu di truyền, dữ liệu sinh trắc học cho mục đích nhận dạng, dữ liệu sức khỏe—được phân loại là ‘các hạng mục đặc biệt’ và phải tuân theo các biện pháp bảo vệ nghiêm ngặt hơn.
Kết quả của các hướng dẫn pháp lý và quyết định của tòa án gần đây củng cố cách diễn giải rộng này. Ví dụ:
- Tòa án Công lý của Liên minh Châu Âu (CJEU) cho rằng ngay cả địa chỉ IP động cũng có thể cấu thành dữ liệu cá nhân nếu bên kiểm soát có các phương tiện hợp pháp để xác định danh tính của chủ thể dữ liệu thông qua thông tin bổ sung.
- Dữ liệu được ẩn danh hóa vẫn nằm trong định nghĩa về dữ liệu cá nhân miễn là còn tồn tại khả năng tái nhận dạng bằng các phương tiện hợp lý.
Tóm lại, theo GDPR, bất kỳ thông tin nào có thể được liên kết—trực tiếp hoặc gián tiếp—với một cá nhân đang sống đều thuộc phạm vi điều chỉnh. Việc quy định nhấn mạnh vào khả năng nhận dạng có nghĩa là ngay cả thông tin không nêu tên một người một cách rõ ràng vẫn có thể được bảo vệ nếu việc tái nhận dạng là khả thi với dữ liệu có sẵn hoặc có thể truy cập được. Cách tiếp cận mở rộng này đảm bảo mức độ bảo vệ quyền riêng tư cao nhưng đòi hỏi các tổ chức phải đánh giá cẩn thận khi xử lý bất kỳ dữ liệu nào liên quan đến cá nhân.
