GDPR: что такое персональные данные

  • 2 июля 2018 в 9:20
  • 2707
  • 5
  • 15

    Привет всем! 

    В этой статье мы поговорим о том, как определить, являются получаемые данными персональными и попадают ли он под защиту GDPR.

    Предположим у вас онлайн-школа русского языка, находящаяся на территории России, а ваши ученики из стран ЕС, или вы решили выпустить на международный рынок программный продукт, например, CRM, но для начала решили протестировать работу продукта на потенциальных покупателях, которые находятся в том числе на территории ЕС.

    Какую информацию вы собираете?

    Онлайн-школа русского языка

    Для её функционирования нам понадобятся имя (настоящее или вымышленное), контактные данные в Skype, а также данные для выставления счёта на оплату услуг, к примеру имя пользователя в PayPal или реквизиты банка. Полагаю, что это минимум.

    Дополнительно можно узнать пол, возраст, страну и город проживания, цель обучения, уровень владения русским языком, родной язык ученика, информацию о предыдущих курсах. Всё это вам даёт представление о вашей целевой аудитории.

    Вы собрали полученные данные, занесли их в таблицу Excel и храните на своём домашнем компьютере.

    Производители CRM, которые решили протестировать свой продукт на рынке, до старта официальных продаж

    Вы запускаете рекламу в соцсетях, в поисковиках, на тематических площадках с просьбой скачать, установить и протестировать CRMв течение одного месяца бесплатно, а за отзывы готовы предоставить скидку на дальнейшее использование программы. Пользователь регистрируется и предоставляет вам информацию о своём имени или псевдоним, возможно фамилию, должность, название организации, в которой работает, телефон и email, сферу деятельности организации, количество сотрудников компании. Вы при помощи встроенных программ получаете информацию о времени пользования программой, устройстве, на котором происходил вход в программу, IP-адрес входа в программу, месторасположение пользователя и иную информацию, которая наиболее полно отображает картину потенциального пользователя CRM.

    Полученная информация подвергается автоматической обработке, помогая вам составить картину потенциального покупателя и собрать данные об ошибках в CRM. Практически всё информация представленная выше является персональными данными физических лиц, которые попадают под регулирование GDPR. Почему практически? Потому что есть основания как признания информации персональными данными, так и исключения её из данного статуса.

    Как определить, будут ли полученные данные является персональными данными?

    • GDPR говорит нам, что любая информация, которая относится к идентифицированному физическому лицу или физическому лицу, которое можно идентифицировать, является персональными данными (Art.4 GDPR);
    • информация, которая прямо идентифицирует физическое лицо, например, имя, фамилия, номер социального страхования, данные ID-карты, является персональными данными (Art.4, Recital 30 GDPR);
    • косвенная информация, которая в совокупности с дополнительной информацией, позволит идентифицировать физическое лицо (Art.4 GDPR), например, цвет волос, цвет куртки, марка автомобиля, адрес офиса, также является персональными данными;
    • вышеперечисленные данные должны обрабатываться в целях предложения товаров и услуг, независимо от необходимости их оплаты, а также в целях оценки (мониторинга) поведения объекта или объектов персональных данных (Art.3 GDPR).

    Итак, если у нас фамилия и имя, то тут всё предельно ясно. А если их нет, сможем ли мы идентифицировать физическое лицо?

    Задайте себе вопрос: могу ли я описать своему другу человека, имени которого не знаю так, чтобы мой друг смог его найти?

    К примеру, высокий мужчина в жёлтой куртке с лейблом известного бренда «A», который часто обедает в кафе «Х» в период с 13:00 до 14:00 на улице «Y»?

    Возможно ли найти такого человека? Скорее всего да, а следовательно, все данные, корыте я указал выше – это персональные данные в соответствии с GDPR. А если мы укажем такие данные как девушка от 25 до 35 лет в серой куртке, которая проживает в Лондоне. Здесь идентификация невозможна, b соответственно, данные не будут являться персональными.

    Есть ли исключения?

    Конечно, не являются персональными данными и не попадают под действие GDPR:

    NB! Не путать анонимизацию с псевдонимизацией! Персональные данные подвергшиеся псевдонимизации всё еще остаются персональными данными, так как данные всё же возможно сопоставить с физическим лицом, если применить обратный алгоритм сопоставления псевдонима с реальным физическим лицом. Псевдонимизация – это мера по обеспечению сохранности персональных данных, а не мера, которая изменяет статус данных (Art.26, Recital 27 GDPR).

    • данные, которые не подвергаются полностью или частично автоматической обработке; или не предназначаться для обработки системой учёта, в том числе и в ручном режиме (Art.3 GDPR);
    • данные физических лиц не находящихся на территории ЕС и не являющихся гражданами стран-членов ЕС (Art.2 GDPR);
    • данные, собранные в личных бытовых целях (Art.2 GDPR);
    • данные умерших людей (Recital 27 GDPR);
    • случайно полученные данные;
    • данные, собираемые и обрабатываемые органами власти в целях пресечения и раскрытия преступлений, а также в целях применения наказаний за совершённые преступления (Art.2 GDPR);
    • анонимные данные, из которых невозможно идентифицировать субъекта персональных данных (Recital 26 GDPR);
    • данные юридических лиц и должностных лиц, однако данные директора, участников, работников, представителей компании всё же могут являться персональными данными в определённых ситуациях.

    Кстати, корпоративный email несмотря на то, что относится к информации о компании, но позволяющий явно идентифицировать его обладателя, также является персональными данными.

    В целом GDPR советует аккуратно подходить к решению об исключении получаемых или имеющихся данных из числа персональных, так что необходимо тщательно проанализировать все данные физических лиц, которые вы обрабатываете, в том числе не забудьте про данные ваших сотрудников, хранящиеся в отделе кадров компании!

    Добавить
    Для того, чтобы оставить комментарий или проголосовать, вам необходимо войти под своим логином или пройти несложную процедуру регистрации
    Также, вы можете войти используя:
    Илья, интересная статья! Еще будут подобные статьи про GDPR? Например, как избежать рисков в связи с принятием GDPR.
    2 июля 2018 в 11:45
    Спасибо! Да, конечно, будет ряд статей, в которых раскрою как основные понятия, так и проблемы применения в России.
    3 июля 2018 в 9:51
    Вопрос:

    - Является ли ИНН персональными данными ФИО?
    2 июля 2018 в 11:57
    По закону - ИНН это персональные данные. Только почему-то ничего не мешает размещать эти данные в открытых источниках той же ФНС.
    2 июля 2018 в 11:58
    ИНН не является персональными данными, поэтому находится в открытом доступе. Были споры по этому поводу. Есть решения, например, это  http://sudact.ru/regular/doc/JHhJ3JcELkUh/
    3 июля 2018 в 10:01
    Спасибо, вот уж правда век живи - век учись. А адрес электронной почты является персональными данными?
    3 июля 2018 в 12:07
    Сможете ли вы идентифицировать человека по электронной почте? Если да, то является. Кроме того, идентифицировать практически всегда можно добавив ряд иных данных. Например, написав email в строке поисковика. Скорее всего найдёте имя и фамилию обладателя email или вообще его профиль в соцсетях. Так что email - персональные данные по GDPR.
    3 июля 2018 в 15:07

    Сообщение от Илья Мунаев

    «Сможете ли вы идентифицировать человека по электронной почте? Если да, то является. »

    в чём логика?
    размер противогаза или половая принадлежность является ПДн?
    3 июля 2018 в 16:031
    "Любая информация, которая относится к идентифицированному физическому лицу или физическому лицу, которое можно идентифицировать, является персональными данными" (Art.4 GDPR). Если эти данные позволяют идентифицировать, то будут являться, а просто статистическая информация о том, что 60% населения носит противогаз размером N - нет. Необходимо понимать какие данные и для чего собираются в каждом конкретном случае. В одном случае данные не будут являться персональными, в ином будут.
    3 июля 2018 в 16:32
    а нас учили чуть иначе

    ПДн - это данные, позволяющие идентифицировать личность ещё что-то

    т.ч. ИНН - личность идентифицирует, но дополнительной информации об этой идентифицированной им личности не несёт и ПДн не является

    а размер противогаза конкретной идентифицированной личности, не важно - по паспорту или по ИНН, уже несёт дополнительную информацию об этой личности и является её ПДн

    а то, что Иванов Иван Иванович является Ивановым Иваном Ивановичем - не есть его ПДн
    3 июля 2018 в 16:471
    это по российскому законодательству. Я же пишу о GDPR.
    3 июля 2018 в 17:40

    Сообщение от Илья Мунаев

    «email - персональные данные»


    Сообщение от Илья Мунаев

    «идентифицировать практически всегда можно добавив ряд иных данных»


    Сообщение от Илья Мунаев

    «Например, написав email в строке поисковика»

    не соглашусь, т.к. в случае если я наберу в поисковике, то  поисковик мне найдет только то, что кто то разместил, а значит: либо лицо само сделало данные общедоступными, либо кто то обнародовал (но тогда нарушение на стороне того, кто их незаконно обнародовал и не моя забота этим не пользоваться). Скажем так 

    Цитата из статьи

    «Конечно, не являются персональными данными и не попадают под действие GDPR: …..  случайно полученные данные; »


    3 июля 2018 в 21:22
    Дополнение к комментарию
    а вообще - спасибо за поднятую тему!
    3 июля 2018 в 21:24
    Спасибо! Позже погорю о пересечении российского закона о персональных данных с GDPR
    3 июля 2018 в 21:26
    по GDPR  не важно кто разместил, сам факт возможной идентификации - это основа.
    3 июля 2018 в 21:26

    Прямой эфир

    Учредительные документы и здравый смысл – продолжение
    Павелсегодня в 0:13
    Регистрация товарищества собственников недвижимости (ТСН)