Mitkä tiedot ovat henkilötietoja GDPR:n valossa?

Palvelus

Yrityksen pyörittämiseen liittyy väistämättä tietojen kerääminen asiakkaista ja urakoitsijoista. Osa näistä tiedoista on henkilötietoja, jolloin yrittäjä on velvollinen tarjoamaan niille asianmukaista suojaa. Sitä ei edellytä vain ammattitaidolla, vaan myös lakisäännöksillä, jotka antavat yrittäjälle henkilötietojen ylläpitäjän roolin. Mitä on "henkilötiedot"? Selitämme alla.

Henkilötiedot - lakisääteinen määritelmä

"Henkilötietojen" käsitteen lakisääteinen määritelmä sisältyy artiklaan. 6 sek. Henkilötietojen suojasta 29. elokuuta 1997 annetun lain (Lakilehti nro 133, kohta 883, sellaisena kuin se on muutettuna; jäljempänä henkilötietojen suojalaki) 1 §, jonka mukaan henkilötietoja pidetään kaikenlaisena tietona, joka liittyy tunnistettu tai tunnistettavissa oleva fyysinen henkilö.

of Mainitun säännöksen 2 §:ssä todetaan, että tunnistettavissa oleva henkilö on henkilö, jonka henkilöllisyys voidaan tunnistaa suoraan tai välillisesti erityisesti tunnistenumeron tai yhden tai useamman henkilön fyysiset, fysiologiset, henkiset, taloudelliset, kulttuuriset tai sosiaaliset ominaispiirteet määräävän tekijän perusteella. .

Toisaalta tietojen ei katsota mahdollistavan henkilön tunnistamista, jos se vaatisi kohtuuttomia kustannuksia, aikaa tai toimintaa (AUC:n 6 §:n 3 momentti).

25.5.2018 astui voimaan uusi henkilötietojen suojaa koskeva laki, joka korvasi nykyiset säännökset, mutta tämä säännös on poikkeuksellisesti jäänyt voimaan, joten kyseessä olevan käsitteen oikeudellinen määritelmä ei ole muuttunut.

Lainsäätäjä on käyttänyt henkilötiedon oikeudellista määritelmää muotoillessaan yleislauseketta, joka sisältää epämääräisen lausekkeen, mikä tekee henkilötietojen tietoluettelon avoimeksi. Tietyn tiedon luokittelu henkilötiedoiksi edellyttää yksilöllistä arviointia siitä, mahdollistaako se tietyissä olosuhteissa luonnollisen henkilön tunnistamisen tietyin keinoin.

Useimmiten yksittäiset hyvin yleiset tiedot (esim. palkka) eivät ole henkilötietoja. Niistä tulee niitä, kun ne kootaan yhteen, ja ne mahdollistavat kohteensa tarkan tunnistamisen. Esimerkiksi tiedot korvauksen määrästä yhdistettynä osoitetietoihin ja nimeen.

Joskus kuitenkin yksittäinen tieto voi olla henkilötietoa. Tämä pätee PESEL-numeroon, joka Art. 15 sek. Väestörekisteristä 24.9.2010 annetun lain 2 § (Lakilehti 2015, kohta 388) on luonnollisen henkilön yksiselitteisesti tunnistava 11-numeroinen numerotunnus, jonka kuusi ensimmäistä numeroa ilmaisevat syntymäaikaa (vuosi, kuukausi, päivä), seuraavat neljä - henkilön järjestysnumero ja sukupuoli, ja viimeinen on tarkistusnumero, jota käytetään annetun rekisteröintinumeron oikeellisuuden sähköiseen valvontaan.

Henkilötiedot GDPR:n mukaisesti

25.5.2018 Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27.4.2016, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä direktiivin 95/46 kumoaminen tuli voimaan / WE (ns. GDPR-asetus).

Art. GDPR:n 4 §:n mukaan henkilötiedoilla tarkoitetaan tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön ("rekisteröity") liittyviä tietoja.

Tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan suoraan tai välillisesti tunnistaa erityisesti sellaisen tunnisteen perusteella, joka on esim.

  • etunimi ja sukunimi,

  • henkilötunnus,

  • sijaintitiedot,

  • Internet ID tai

  • yksi tai useampi tekijä, joka liittyy luonnollisen henkilön fyysiseen, fysiologiseen, geneettiseen, henkiseen, taloudelliseen, kulttuuriseen tai sosiaaliseen identiteettiin.

GDPR:n johdanto-osassa todetaan, että "Tietosuojaperiaatteita tulee soveltaa kaikkiin tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä koskeviin tietoihin. Pseudonymisoituja henkilötietoja, jotka voidaan jäljittää luonnolliseen henkilöön lisätietojen avulla, olisi pidettävä tietoina tunnistettavissa olevasta luonnollisesta henkilöstä. Sen määrittämiseksi, onko luonnollinen henkilö tunnistettavissa, olisi harkittava kaikkia kohtuullisen todennäköisiä keinoja (mukaan lukien samaa henkilöä koskevien merkintöjen erottaminen), joita rekisterinpitäjä tai muu henkilö kohtuudella todennäköisesti käyttää suoraan tarkoitukseen tai epäsuorasti tunnistaa luonnollisen henkilön. Sen määrittämiseksi, voidaanko menetelmää kohtuudella käyttää yksilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten henkilön tunnistamiseen tarvittava kustannukset ja aika, sekä tietojenkäsittelyhetkellä käytettävissä oleva tekniikka sekä ennakot olisi otettava huomioon.Tietosuojaperiaatteita ei näin ollen pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, jotka on tehty anonyymeiksi siten, että rekisteröityjä ei voida tunnistaa ollenkaan tai ei enää tunnistaa. tunnistettavissa. Tätä asetusta ei näin ollen sovelleta tällaisten anonyymien tietojen käsittelyyn, mukaan lukien käsittely tilastollisiin tai tieteellisiin tarkoituksiin.

GDPR-asetus määrittelee kaksi henkilötietojen luokkaa: ns tavanomaiset henkilötiedot ja erityisiin tietoryhmiin kuuluvat henkilötiedot (aiemmin ns. arkaluonteiset tiedot), jotka sisältävät tietoja, jotka paljastavat:

  • rotuun tai etniseen alkuperään,

  • poliittiset näkemykset, uskonnolliset tai filosofiset vakaumukset,

  • ammattiliittojen jäsenyys,

  • geneettiset tiedot,

  • biometriset tiedot luonnollisen henkilön yksilöimiseksi

  • terveyteen, seksuaalisuuteen tai seksuaaliseen suuntautumiseen liittyvät tiedot.

Henkilötiedot, jotka eivät kuulu mihinkään edellä mainittuihin luokkiin, ovat tavallisia tietoja.

Koskevatko henkilötiedot myös oikeushenkilöitä?

Ei, henkilötiedot koskevat vain luonnollisia henkilöitä.

Onko sähköpostiosoite henkilötietoa?

Henkilötiedot eivät ole vain tietoja, joiden avulla voit suoraan tunnistaa tietyn henkilön, vaan myös sellaisia ​​tietoja, jotka riittävät tietyllä hinnalla, ajalla tai vaivalla sen tunnistamiseen.

Edellä esitetyn perusteella on todettava, että sähköpostiosoite ei pääsääntöisesti ole pykälässä tarkoitettu henkilötieto. 6 sek. 1 u.o.d.o. Jos sen sisältö kuitenkin sisältää sellaisia ​​tietoja, joiden avulla ilman kohtuuttomia kustannuksia, aikaa tai toimintaa voidaan määrittää tietyn henkilön henkilöllisyys niiden perusteella, sitä voidaan pitää henkilötiedona.

Esimerkki 1.

Sähköpostiosoite: [email protected] ei ole henkilötietoja.

Sähköpostiosoite: [email protected] voi olla henkilötietoja.

Aloita ilmainen 30 päivän kokeilujakso ilman ehtoja!

Onko tietokoneen IP-osoite henkilökohtaista tietoa?

Euroopan parlamentin ja Eurooppa-neuvoston asettama tietosuojatyöryhmä sopivat, että tietokoneen IP-osoitetta olisi pidettävä tunnistettavissa olevaan henkilöön liittyvänä tietona, ja totesi, että Internet-palveluntarjoajat ja paikallisten verkkojen ylläpitäjät voivat kohtuullisin keinoin tunnistaa Internetin käyttäjät. joille he ovat määrittäneet IP-osoitteet, koska ne tallentavat tiedostoihin järjestelmällisesti päivämäärät, keston ja dynaamisen IP-osoitteen (eli se muuttuu joka kerta, kun kirjaudut sisään). Ei ole epäilystäkään siitä, että tällaisissa tapauksissa on mahdollista puhua direktiivin 2 artiklassa tarkoitetuista henkilötiedoista."

Mitä elinkeinonharjoittajan tulee tehdä, jos käy ilmi, että hänen keräämänsä tiedot ovat henkilötietoja?

Ensinnäkin on korostettava, että yrittäjästä, joka käyttää henkilötietoja liiketoiminnassaan, tulee lain mukaan hänen ylläpitäjänsä.

Ensinnäkin yrittäjän tulee määrittää, millaisia ​​henkilötietoja hän käsittelee (onko ne tavallisia tietoja vai erityisiä tietoluokkia).

Seuraavaksi on varmistettava, että tietyn luokan tietojen kerääminen yrityksessä on perusteltua ja jos sen jatkokäsittely on tarpeen, tulee täyttää henkilötietojen ylläpitäjän velvollisuudet.

Art. Henkilötietojen suojaamisesta 29. elokuuta 1997 annetun lain 36 §:n mukaan henkilötietojen valvojan tehtäviin kuuluvat:

  • sellaisten teknisten ja organisatoristen toimenpiteiden soveltaminen, joilla varmistetaan käsiteltyjen henkilötietojen suoja uhkien ja suojattujen tietoluokkien mukaisesti, erityisesti tietojen turvaaminen luvattomalta luovuttamiselta, luvattoman henkilön suorittamalta poistamiselta, lain vastaiselta käsittelyltä sekä muuttamiselta, katoaminen, vahingoittuminen tai tuhoutuminen;

  • säilyttää asiakirjat, jotka kuvaavat tietojenkäsittelytapaa ja toimenpiteitä henkilötietojen suojan varmistamiseksi.