Definiții, termeni, drepturi și prevederi ale GDPR-ului

Pentru a deveni compatibil cu GDPR, nu aveți nevoie doar de niște instrumente. Aveți nevoie de o analiză aprofundată, de un plan și de o listă detaliată de verificare.Ele trebuie să acopere toate aspectele și procele implicate. Prima etapă a unei astfel de strategii, a unei liste de verificare sau a unui plan de conformitate este conștientizarea.

Deși este vorba mai mult de conștientizarea  tuturor părților interesate din organizație , trebuie să înțelegem câțiva termeni-cheie, concepte, drepturi și îndatoriri în GDPR. Probabil că aveți deja cele mai multe dintre acestea și există ghiduri mult mai  detaliate.

GDPR se referă la prelucrarea datelor personale ale cetățenilor UE, numiți  „subiecții datelor” din regulament.

„Procesare” înseamnă orice operațiune  care se efectuează pe datele cu caracter personal sau pe seturi de date  (GDPR)

Procesarea acoperă o realitate vastă a acțiunilor și include stocarea, difuzarea, modificarea și gestionarea datelor cu caracter personal. Datele personale acoperă, de asemenea, o realitate largă a criteriilor, a identificatorilor de date, cât și a datelor pseudonime. Acest lucru tinde să fie trecut cu vederea, fie că este vorba despre prelucrarea datelor , fie că prelucrarea are loc cu mijloace automate sau nu. Cu alte cuvinte: utilizarea manuală a datelor cu caracter personal (operatorii de transport) este inclusă.

„prelucrare“ înseamnă orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal sau pe seturi de date cu caracter personal, indiferent dacă sunt sau nu prin mijloace automate , cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în alt mod, alinierea, combinarea, restricționarea, ștergerea sau distrugerea.

Dacă începeți să vă gândiți la cine prelucrează datele persoanelor, începeți să vedeți vârful aisbergului. Definiția procesării este clară și indică modul în care GDPR implică TOATE activitățile privind datele personale. Aceasta include, de asemenea, capturarea, scanarea și prelucrarea datelor personale pe care le conțin documentele pe suport de hârtie și chiar simplul fapt de a avea „date personale”  sau „a avea acces la ele”.

De asemenea, definiția UE privind datele cu caracter personal nu permite prea multă interpretare. 

„date cu caracter personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental, economic, cultural sau social al acelei
persoane fizice ; 

Pe de altă parte, există câteva excepții privind datele cu caracter personal în domenii precum sănătatea publică și cercetarea științifică. Este important să înțelegeți impactul GDPR pentru industria dvs. Acesta este un argument pentru a vă pregăti din timp și pentru a înțelege cum influențează organizarea  activitățile dvs. individuale.

Datele personale care au fost supuse unei pseudonimii,  ar putea fi atribuite unei persoane fizice prin utilizarea unor informații suplimentare.

EU GDPR nu acoperă date anonime. Acoperă așa numitele date cu caracter personal pseudonimizate , deoarece este o „tactică” adesea folosită în securitate și analiza. Ea poate fi inversată și, spre deosebire de datele anonime, poate fi urmărită de o persoană fizică identificabilă. Pseudonimizarea împreună cu criptarea , este una dintre metodele recomandate de GDPR ca fiind „o măsură tehnică și organizatorică  pentru a asigura un nivel de securitate adecvat riscului”.

Considerentul 26 din GDPR este esențial pentru înțelegerea principiilor protecției datelor. El prevede că GDPR se aplică oricărei informații referitoare la o persoană identificată sau identificabilă.

Oferă o imagine de ansamblu esențială a tipului de informații privind o persoană fizică identificată sau identificabilă care se aplică Regulamentului general privind protecția datelor. Acesta oferă o imagine cu o persoană fizică  identificabilă și afirmă că datele pseudonime se încadrează în GDPR și că datele anonime nu.

În GDPR, definiția datelor cu caracter personal a fost extinsă (important atât pentru consimțământ, cât și pentru protecție).

Acestea includ identificatori, cum ar fi date genetice și toate datele referitoare la starea de sănătate a unui subiect de date. De asemenea, sunt incluse date pentru cercetarea științifică, dar numai într-o oarecare măsură.

Datele genetice includ rezultatele analizei ADN.  Datele privind starea de sănătate includ date despre tratamente, istoricul medical, bolile și mult mai mult. Identificatorii sunt elemente de date care ar putea face o persoană fizică identificabilă și există o mulțime de acestea. Unele sunt mai generale, altele sunt „sensibile”. Este important să înțelegeți toți acești identificatori și modul în care o persoană fizică poate deveni un subiect de date . Pentru a vă oferi o idee: unul dintre tipurile de identificatori , și anume identificatorii online, pot fi de la o adresă IP și un modul cookie la o etichetă RFID.

Principalul lucru de reținut este faptul că identificatorii online, cum ar fi cei menționați, sunt considerați date cu caracter personal deoarece, în combinație cu identificatori unici, pot conduce la identificarea unui subiect de date și deoarece acești identificatori online, din nou în combinație cu alți identificatori pot să fie utilizați pentru profilare.

Vedem că mulți oameni nu știu acest lucru și de multe ori chiar văd sondaje care indică faptul că profesioniștii din diferite sectoare nu consideră alți identificatori, cum ar fi chiar adresele de e-mail sau fotografii ca identificatori.

Datele genetice sunt în mod clar considerate date cu caracter personal. În plus, datele genetice sunt considerate date sensibile și merită o protecție specială. Același lucru este valabil și pentru datele privind sănătatea personală, care includ informații derivate din datele genetice, dar care merg mult mai departe, așa cum se explică și care cuprind diferite forme de date cu caracter personal referitoare la asistența medicală care intră sub incidența GDPR (și pentru care există norme speciale de protecție).