Une définition large des données, des fichiers, de leur traitement

Široka definicija podataka, datoteka i njihove obrade

Ulomak iz knjige Bruna DUMAYA: DEŠIFRACIJA GDPR-a – Za menadžere, strateške odjele i zaposlenike tvrtki i organizacija – Predgovor Gaëlle MONTEILLER

Mislimo da znamo što su osobni podaci (imajte na umu da se pojam ne koristi u jednini, vjerojatno zato što je potrebno prikupiti barem dva podatka - primjerice ime i adresu - da bi se započela njihova obrada). No, budite oprezni, kako bismo izbjegli pogreške, uzmite u obzir definiciju kako je formulirana u članku 4. Uredbe: „bilo koja informacija koja se odnosi na identificiranu ili prepoznatljivu fizičku osobu; „identificirana fizička osoba“ je ona koja se može identificirati, izravno ili neizravno, posebno pozivanjem na identifikator kao što je ime, identifikacijski broj, podaci o lokaciji, online identifikator ili na jedan ili više čimbenika specifičnih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet te fizičke osobe.“

Iako formulacija nije fluidna, ne ostavlja nikakvu sumnju u široko značenje u kojem se taj pojam treba shvaćati. „Svaka informacija“ vezana uz osobu predstavlja osobni podatak. Popis pridjeva povezanih s „identitetom“ osobe naglašava, ako je potrebno, opseg riječi informacija. 

CNIL je pojasnio koncept osobnih podataka u komentaru na članak 2. Zakona o zaštiti podataka: „Podaci se smatraju „osobnim“ kada se odnose na izravno ili neizravno identificirane fizičke osobe. Osoba je identificirana kada se, na primjer, njezino ime pojavi u datoteci.“

Osoba je prepoznatljiva kada datoteka sadrži informacije koje neizravno omogućuju njezinu identifikaciju (npr.: IP adresa, ime, matični broj, telefonski broj, fotografija, biometrijski elementi poput otiska prsta, DNK, nacionalnog studentskog identifikacijskog broja (INE), skup informacija koje omogućuju diskriminaciju osobe unutar populacije (određene statističke datoteke) kao što su, na primjer, mjesto prebivališta i zanimanje te spol i dob). Podaci koje biste mogli smatrati anonimnima mogu predstavljati osobne podatke ako omogućuju neizravnu identifikaciju određene osobe ili unakrsnim upućivanjem na informacije. To zapravo mogu biti informacije koje nisu povezane s imenom osobe, ali koje lako omogućuju njezinu identifikaciju i prepoznavanje njezinih navika ili ukusa.

U tom smislu, osobni podaci također uključuju sve informacije koje, kada se usporede, omogućuju identifikaciju određene osobe (npr. otisak prsta, DNK, datum rođenja povezan s općinom prebivališta)...

GDPR iz svog područja primjene isključuje aktivnosti država vezane uz njihovu sigurnost (16e uvodna izjava), i naravno aktivnosti isključivo domaće prirode (čl. 2). S druge strane, uredba se odnosi na sve tvrtke (i uprave i organizacije i udruge) koje obrađuju podatke europskih građana, bez obzira imaju li poslovni na kontinentu ili ne. Slično tome, ako tvrtka koristi podizvođača sa sjedištem izvan EU, potonji također mora djelovati u skladu s njom (čl. 3).

Budući da se ovi podaci pohranjuju u datotekama, uočimo i definiciju ove riječi: „bilo koji strukturirani skup osobnih podataka dostupan prema određenim kriterijima, bez obzira je li taj skup centraliziran, decentraliziran ili distribuiran funkcionalno ili geografski.“ Ovdje je ponovno jasno da ne možemo biti lukavi u pokušaju pohranjivanja podataka u baze podataka koje se ne bi mogle nazvati „datotekama“. Ne samo da bi naš alat bio reklasificiran, već bi i nadzorno tijelo to nedvojbeno smatralo otegotnom okolnošću.

Slično tome, obrtnik koji se opire informatizaciji i koji vodi papirnate datoteke o svojim kupcima po abecednom redu ne može izbjeći GDPR (čl. 2., stavak 1.).

Upravo zato što su namijenjeni obradi, podaci koji čine datoteke moraju biti zaštićeni. Što je obrada? „Svaka operacija ili skup operacija koje se izvode na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim sredstvima ili ne, kao što su prikupljanje, snimanje, organiziranje, strukturiranje, pohranjivanje, prilagodba ili izmjena, pronalaženje, konzultacije, korištenje, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje“ (čl. 4., st. 2.). Popis riječi je gotovo iscrpan: čim dotaknemo podatke, obrađujemo ih i stoga podliježemo uredbi. Tim više, profiliranje – obrada podataka na način koji procjenjuje ili predviđa ponašanje – mora se strogo pratiti.

GDPR preporučuje pseudonimizaciju gdje je to moguće, tako da se podaci više ne mogu pripisati fizičkoj osobi bez upotrebe dodatnih informacija. „Pseudonimizacija osobnih podataka može smanjiti rizike za ispitanike i pomoći kontrolorima i obrađivačima da ispune svoje obveze zaštite podataka“ (28).e s obzirom).  

Kontrola nad obradom je dovedena do krajnjih granica jer se proteže preko granica. Doista, podaci preneseni izvan Europske unije ostaju podložni europskom pravu, naravno za prijenos, ali i za svaku naknadnu obradu. Također se može postaviti pitanje mogu li nastati pravni sporovi, posebno s Kinom ili Sjedinjenim Američkim Državama. Kako bi se unaprijed obavijestili partneri izvan EU-a, uredba preporučuje potpisivanje obvezujućih korporativnih pravila (BCR) ili usvajanje standardnih ugovornih klauzula koje je potvrdilo europsko tijelo.

Konačno, pojasnimo da je povreda osobnih podataka „kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji se prenose, pohranjuju ili na drugi način obrađuju“ (čl. 4., st. 12.). I ovdje se pojam stoga treba shvatiti u vrlo širokom smislu.

Otkrijte Viqtor®
hrHR
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL hrHR