GDPR: что такое персональные данные

Привет всем! 

В этой статье мы поговорим о том, как определить, являются получаемые данными персональными и попадают ли он под защиту GDPR.

Предположим у вас онлайн-школа русского языка, находящаяся на территории России, а ваши ученики из стран ЕС, или вы решили выпустить на международный рынок программный продукт, например, CRM, но для начала решили протестировать работу продукта на потенциальных покупателях, которые находятся в том числе на территории ЕС.

Какую информацию вы собираете?

Онлайн-школа русского языка

Для её функционирования нам понадобятся имя (настоящее или вымышленное), контактные данные в Skype, а также данные для выставления счёта на оплату услуг, к примеру имя пользователя в PayPal или реквизиты банка. Полагаю, что это минимум.

Дополнительно можно узнать пол, возраст, страну и город проживания, цель обучения, уровень владения русским языком, родной язык ученика, информацию о предыдущих курсах. Всё это вам даёт представление о вашей целевой аудитории.

Вы собрали полученные данные, занесли их в таблицу Excel и храните на своём домашнем компьютере.

Производители CRM, которые решили протестировать свой продукт на рынке, до старта официальных продаж

Вы запускаете рекламу в соцсетях, в поисковиках, на тематических площадках с просьбой скачать, установить и протестировать CRMв течение одного месяца бесплатно, а за отзывы готовы предоставить скидку на дальнейшее использование программы. Пользователь регистрируется и предоставляет вам информацию о своём имени или псевдоним, возможно фамилию, должность, название организации, в которой работает, телефон и email, сферу деятельности организации, количество сотрудников компании. Вы при помощи встроенных программ получаете информацию о времени пользования программой, устройстве, на котором происходил вход в программу, IP-адрес входа в программу, месторасположение пользователя и иную информацию, которая наиболее полно отображает картину потенциального пользователя CRM.

Полученная информация подвергается автоматической обработке, помогая вам составить картину потенциального покупателя и собрать данные об ошибках в CRM. Практически всё информация представленная выше является персональными данными физических лиц, которые попадают под регулирование GDPR. Почему практически? Потому что есть основания как признания информации персональными данными, так и исключения её из данного статуса.

Как определить, будут ли полученные данные является персональными данными?

• GDPR говорит нам, что любая информация, которая относится к идентифицированному физическому лицу или физическому лицу, которое можно идентифицировать, является персональными данными (Art.4 GDPR);
• информация, которая прямо идентифицирует физическое лицо, например, имя, фамилия, номер социального страхования, данные ID-карты, является персональными данными (Art.4, Recital 30 GDPR);
• косвенная информация, которая в совокупности с дополнительной информацией, позволит идентифицировать физическое лицо (Art.4 GDPR), например, цвет волос, цвет куртки, марка автомобиля, адрес офиса, также является персональными данными;
• вышеперечисленные данные должны обрабатываться в целях предложения товаров и услуг, независимо от необходимости их оплаты, а также в целях оценки (мониторинга) поведения объекта или объектов персональных данных (Art.3 GDPR).

Итак, если у нас фамилия и имя, то тут всё предельно ясно. А если их нет, сможем ли мы идентифицировать физическое лицо?

Задайте себе вопрос: могу ли я описать своему другу человека, имени которого не знаю так, чтобы мой друг смог его найти?

К примеру, высокий мужчина в жёлтой куртке с лейблом известного бренда «A», который часто обедает в кафе «Х» в период с 13:00 до 14:00 на улице «Y»?

Возможно ли найти такого человека? Скорее всего да, а следовательно, все данные, корыте я указал выше – это персональные данные в соответствии с GDPR. А если мы укажем такие данные как девушка от 25 до 35 лет в серой куртке, которая проживает в Лондоне. Здесь идентификация невозможна, b соответственно, данные не будут являться персональными.

Есть ли исключения?

Конечно, не являются персональными данными и не попадают под действие GDPR:

NB! Не путать анонимизацию с псевдонимизацией! Персональные данные подвергшиеся псевдонимизации всё еще остаются персональными данными, так как данные всё же возможно сопоставить с физическим лицом, если применить обратный алгоритм сопоставления псевдонима с реальным физическим лицом. Псевдонимизация – это мера по обеспечению сохранности персональных данных, а не мера, которая изменяет статус данных (Art.26, Recital 27 GDPR).

• данные, которые не подвергаются полностью или частично автоматической обработке; или не предназначаться для обработки системой учёта, в том числе и в ручном режиме (Art.3 GDPR);
• данные физических лиц не находящихся на территории ЕС и не являющихся гражданами стран-членов ЕС (Art.2 GDPR);
• данные, собранные в личных бытовых целях (Art.2 GDPR);
• данные умерших людей (Recital 27 GDPR);
• случайно полученные данные;
• данные, собираемые и обрабатываемые органами власти в целях пресечения и раскрытия преступлений, а также в целях применения наказаний за совершённые преступления (Art.2 GDPR);
• анонимные данные, из которых невозможно идентифицировать субъекта персональных данных (Recital 26 GDPR);
• данные юридических лиц и должностных лиц, однако данные директора, участников, работников, представителей компании всё же могут являться персональными данными в определённых ситуациях.

Кстати, корпоративный email несмотря на то, что относится к информации о компании, но позволяющий явно идентифицировать его обладателя, также является персональными данными.

В целом GDPR советует аккуратно подходить к решению об исключении получаемых или имеющихся данных из числа персональных, так что необходимо тщательно проанализировать все данные физических лиц, которые вы обрабатываете, в том числе не забудьте про данные ваших сотрудников, хранящиеся в отделе кадров компании!