Une définition large des données, des fichiers, de leur traitement

Široka definicija podatkov, datotek in njihove obdelave

Odlomek iz knjige Bruna DUMAYA: DEŠIFRIRANJE GDPR – Za vodje, strateške oddelke in zaposlene v podjetjih in organizacijah – Predgovor Gaëlle MONTEILLER

Mislimo, da vemo, kaj so osebni podatki (upoštevajte, da se izraz ne uporablja v ednini, verjetno zato, ker je za začetek obdelave treba zbrati vsaj dva podatka – na primer ime in naslov). Vendar bodite previdni, da se izognemo napakam, upoštevajmo definicijo, kot je oblikovana v 4. členu Uredbe: »vse informacije, ki se nanašajo na identificirano ali določljivo fizično osebo; ‚določljiva fizična oseba‘ je tista, ki jo je mogoče neposredno ali posredno identificirati, zlasti s sklicevanjem na identifikator, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator ali na enega ali več dejavnikov, značilnih za fizično, fiziološko, genetsko, duševno, ekonomsko, kulturno ali socialno identiteto te fizične osebe.«

Čeprav besedilo še zdaleč ni spremenljivo, ne pušča dvoma o širokem pomenu, v katerem je treba izraz razumeti. „Vsaka informacija“, povezana z osebo, predstavlja osebni podatek. Seznam pridevnikov, povezanih z „identiteto“ osebe, po potrebi poudarja obseg besede informacija. 

CNIL je v komentarju k 2. členu Zakona o varstvu podatkov pojasnil koncept osebnih podatkov: »Podatki se štejejo za 'osebne', kadar se nanašajo na neposredno ali posredno identificirane fizične osebe. Oseba je identificirana, ko se na primer njeno ime pojavi v datoteki.«

Oseba je prepoznavna, kadar datoteka vsebuje informacije, ki posredno omogočajo njeno identifikacijo (npr.: IP-naslov, ime, registracijska številka, telefonska številka, fotografija, biometrični elementi, kot so prstni odtis, DNK, nacionalna študentska identifikacijska številka (INE), niz informacij, ki omogočajo diskriminacijo osebe znotraj populacije (določene statistične datoteke), kot so na primer kraj prebivališča in poklic ter spol in starost). Podatki, ki bi jih lahko šteli za anonimne, lahko predstavljajo osebne podatke, če omogočajo posredno ali s sklicem na informacije identifikacijo določene osebe. To so lahko dejansko informacije, ki niso povezane z imenom osebe, vendar omogočajo enostavno identifikacijo in poznavanje njenih navad ali okusa.

V tem smislu osebni podatki vključujejo tudi vse informacije, ki ob navzkrižni primerjavi omogočajo identifikacijo določene osebe (npr. prstni odtis, DNK, datum rojstva, povezan z občino stalnega prebivališča) ...

GDPR iz svojega področja uporabe izključuje dejavnosti držav, povezane z njihovo varnostjo (16e uvodna izjava) in seveda dejavnosti povsem domače narave (2. člen). Po drugi strani pa se uredba nanaša na vsa podjetja (ter uprave ter organizacije in združenja), ki obdelujejo podatke evropskih državljanov, ne glede na to, ali imajo sedež na celini ali ne. Podobno mora tudi slednji, če uporablja podizvajalca s sedežem zunaj EU, ravnati v skladu s predpisi (3. člen).

Ker so ti podatki shranjeni v datotekah, si zapomnimo tudi definicijo te besede: »vsak strukturiran niz osebnih podatkov, dostopnih po določenih merilih, ne glede na to, ali je ta niz centraliziran, decentraliziran ali funkcionalno oziroma geografsko porazdeljen.« Tudi tukaj je jasno, da ne moremo biti zviti pri poskusu shranjevanja podatkov v podatkovnih bazah, ki jih ne bi mogli imenovati »datoteke«. Ne le, da bi bilo naše orodje prerazvrščeno, ampak bi to nadzorni organ nedvomno štel tudi za oteževalno okoliščino.

Prav tako se obrtnik, ki se upira informatizaciji in hrani papirnate datoteke o svojih strankah po abecednem vrstnem redu, ne more izogniti GDPR (2. člen, 1. odstavek).

Podatki, ki sestavljajo datoteke, morajo biti zaščiteni, ker so namenjeni obdelavi. Kaj je obdelava? »Vsak postopek ali niz postopkov, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov, ne glede na to, ali se izvaja z avtomatiziranimi sredstvi ali brez njih, kot so zbiranje, beleženje, organiziranje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, pridobivanje, vpogled, uporaba, razkritje s prenosom, razširjanjem ali drugačno omogočanje dostopa, usklajevanje ali kombiniranje, omejevanje, izbris ali uničenje« (člen 4, odstavek 2). Seznam besed je skoraj izčrpen: takoj ko se dotaknemo podatkov, jih obdelujemo in zato za nas velja uredba. Še toliko bolj je treba profiliranje – obdelavo podatkov na način, ki ocenjuje ali napoveduje vedenje – strogo spremljati.

GDPR priporoča psevdonimizacijo, kjer je to mogoče, tako da podatkov ni več mogoče pripisati fizični osebi brez uporabe dodatnih informacij. »Psevdonimizacija osebnih podatkov lahko zmanjša tveganja za posameznike, na katere se nanašajo osebni podatki, in pomaga upravljavcem in obdelovalcem pri izpolnjevanju njihovih obveznosti glede varstva podatkov« (28).e upoštevajoč).  

Nadzor nad obdelavo je potisnjen na mejo, saj sega preko meja. Dejansko za podatke, prenesene zunaj Evropske unije, še vedno velja evropska zakonodaja, seveda za prenos, pa tudi za morebitno nadaljnjo obdelavo. Lahko se vprašamo tudi, ali bi lahko prišlo do pravnih sporov, zlasti s Kitajsko ali Združenimi državami. Da bi partnerje s sedežem zunaj EU vnaprej obvestili, uredba priporoča podpis zavezujočih poslovnih pravil (BCR) ali sprejetje standardnih pogodbenih klavzul, ki jih potrdi evropski organ.

Na koncu naj pojasnimo, da je kršitev varnosti osebnih podatkov »kršitev varnosti, ki vodi do naključnega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so posredovani, shranjeni ali kako drugače obdelani« (člen 4, odstavek 12). Tudi tukaj je treba izraz razumeti v zelo širokem pomenu.

Odkrijte Viqtor®
sl_SISL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL