Plaša datu, failu un to apstrādes definīcija

Fragments no Bruno DUMAY grāmatas: GDPR ATŠĶIRŠANA – uzņēmumu un organizāciju vadītājiem, stratēģiskajiem departamentiem un darbiniekiem – Gaëlle MONTEILLER priekšvārds

Mēs domājam, ka zinām, kas ir personas dati (ņemiet vērā, ka šis termins netiek lietots vienskaitlī, iespējams, tāpēc, ka, lai sāktu apstrādi, ir jāapkopo vismaz divi datu elementi – piemēram, vārds un adrese). Taču esiet uzmanīgi, lai izvairītos no kļūdām, ņemsim vērā definīciju, kas formulēta Regulas 4. pantā: “jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu; “identificējama fiziska persona” ir tāda, kuru var identificēt tieši vai netieši, jo īpaši atsaucoties uz identifikatoru, piemēram, vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem faktoriem, kas raksturīgi minētās fiziskās personas fiziskajai, fizioloģiskajai, ģenētiskajai, garīgajai, ekonomiskajai, kultūras vai sociālajai identitātei.”

Lai gan formulējums nebūt nav plūstošs, tas neatstāj nekādas šaubas par plašo nozīmi, kādā šis termins būtu jāsaprot. “Jebkura informācija”, kas saistīta ar personu, ir personas dati. Ar personas “identitāti” saistīto īpašības vārdu saraksts vajadzības gadījumā pasvītro vārda “informācija” tvērumu. 

CNIL komentārā par Datu aizsardzības likuma 2. pantu precizēja personas datu jēdzienu: "Dati tiek uzskatīti par "personas datiem", ja tie attiecas uz tieši vai netieši identificētām fiziskām personām. Persona ir identificēta, piemēram, ja tās vārds parādās failā."

Persona ir identificējama, ja fails satur informāciju, kas netieši ļauj to identificēt (piemēram, IP adrese, vārds, reģistrācijas numurs, tālruņa numurs, fotogrāfija, biometriskie elementi, piemēram, pirkstu nospiedumi, DNS, valsts studentu identifikācijas numurs (INE), informācijas kopums, kas ļauj diskriminēt personu populācijā (noteiktas statistikas datnes), piemēram, dzīvesvieta un profesija, kā arī dzimums un vecums). Dati, kurus jūs varētu uzskatīt par anonīmiem, var būt personas dati, ja tie ļauj netieši vai ar savstarpēju atsauču palīdzību identificēt konkrētu personu. Faktiski tā var būt informācija, kas nav saistīta ar personas vārdu, bet kas ļauj to viegli identificēt un uzzināt tās paradumus vai gaumi.

Šajā ziņā personas dati ietver arī visu informāciju, kas, savstarpēji atsaucoties, ļauj identificēt konkrētu personu (piemēram, pirkstu nospiedums, DNS, ar dzīvesvietas pašvaldību saistīts dzimšanas datums).

GDPR no tās darbības jomas izslēdz valstu darbības, kas saistītas ar to drošību (16^e (apsvērums), un, protams, darbības, kurām ir tikai iekšzemes raksturs (2. pants). No otras puses, regula attiecas uz visiem uzņēmumiem (un administrācijām, organizācijām un apvienībām), kas apstrādā Eiropas pilsoņu datus neatkarīgi no tā, vai tie ir reģistrēti kontinentālajā Eiropā vai ārpus tās. Līdzīgi, ja uzņēmums izmanto apakšuzņēmēju, kas atrodas ārpus ES, arī pēdējam ir jārīkojas atbilstoši (3. pants).

Tā kā šie dati tiek glabāti failos, ievērosim arī šī vārda definīciju: "jebkurš strukturēts personas datu kopums, kas pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai šis kopums ir centralizēts, decentralizēts vai funkcionāli vai ģeogrāfiski izkliedēts." Arī šeit ir skaidrs, ka mēs nevaram būt viltīgi, mēģinot glabāt datus datubāzēs, kuras nevarētu saukt par "failiem". Mūsu rīks ne tikai tiktu pārklasificēts, bet arī uzraudzības iestāde neapšaubāmi uzskatītu to par atbildību pastiprinošu apstākli.

Līdzīgi, amatnieks, kurš pretojas datorizācijai un glabā papīra dokumentus par saviem klientiem alfabētiskā secībā, nevar izvairīties no GDPR (2. panta 1. punkts).

Tieši tāpēc, ka tie ir paredzēti apstrādei, dati, kas veido datnes, ir jāaizsargā. Kas ir apstrāde? “Jebkura darbība vai darbību kopums, ko veic ar personas datiem vai personas datu kopumiem, neatkarīgi no tā, vai tas notiek ar automatizētiem līdzekļiem, piemēram, vākšana, reģistrēšana, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana” (4. panta 2. punkts). Vārdu saraksts ir gandrīz izsmeļošs: tiklīdz mēs pieskaramies datiem, mēs tos apstrādājam, un tāpēc uz mums attiecas regula. Vēl jo vairāk, profilēšana – datu apstrāde tādā veidā, lai novērtētu vai prognozētu uzvedību – ir stingri jāuzrauga.

GDPR iesaka pseidonimizāciju, kad vien iespējams, lai datus vairs nevarētu saistīt ar fizisku personu, neizmantojot papildu informāciju. “Personas datu pseidonimizācija var samazināt riskus datu subjektiem un palīdzēt pārziņiem un apstrādātājiem izpildīt savus datu aizsardzības pienākumus” (28).^e ņemot vērā).  

Apstrādes kontrole ir ierobežota līdz robežām, jo tā sniedzas pāri robežām. Patiešām, dati, kas tiek pārsūtīti ārpus Eiropas Savienības, joprojām ir pakļauti Eiropas tiesību aktiem, protams, gan attiecībā uz pārsūtīšanu, gan arī attiecībā uz jebkādu turpmāku apstrādi. Varētu arī rasties jautājums, vai varētu rasties juridiski strīdi, jo īpaši ar Ķīnu vai Amerikas Savienotajām Valstīm. Lai iepriekš informētu partnerus, kas reģistrēti ārpus ES, regula iesaka parakstīt saistošus uzņēmuma noteikumus (SUN) vai pieņemt standarta līguma klauzulas, ko apstiprinājusi Eiropas iestāde.

Visbeidzot, precizēsim, ka personas datu pārkāpums ir "drošības pārkāpums, kas izraisa nejaušu vai nelikumīgu pārsūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšanu, nozaudēšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi tiem" (4. panta 12. punkts). Tāpēc arī šajā gadījumā šis termins ir jāsaprot ļoti plašā nozīmē.