Informasi mana yang merupakan data pribadi berdasarkan GDPR?

Melayani

Menjalankan bisnis pasti melibatkan pengumpulan informasi tentang klien dan kontraktor. Sebagian dari informasi ini merupakan data pribadi, maka pengusaha wajib memberikan perlindungan yang sesuai. Hal ini diperlukan tidak hanya oleh profesionalisme, tetapi juga oleh ketentuan hukum yang memberikan pengusaha peran sebagai administrator data pribadi. Apa itu "data pribadi"? Kami jelaskan di bawah ini.

Data pribadi - definisi undang-undang

Definisi undang-undang dari konsep "data pribadi" terkandung dalam Art. 6 detik 1 Undang-Undang 29 Agustus 1997 tentang Perlindungan Data Pribadi (Jurnal Hukum No. 133, butir 883, sebagaimana telah diubah; selanjutnya: Undang-Undang Perlindungan Data Pribadi), yang menurutnya data pribadi dianggap sebagai informasi yang berkaitan dengan diidentifikasi atau diidentifikasi orang fisik.

Dari 2 dari ketentuan yang dikutip menyatakan bahwa orang yang dapat diidentifikasi adalah orang yang identitasnya dapat diidentifikasi secara langsung atau tidak langsung, khususnya dengan mengacu pada nomor identifikasi atau satu atau lebih faktor spesifik yang menentukan karakteristik fisik, fisiologis, mental, ekonomi, budaya atau sosialnya. .

Di sisi lain, informasi tidak dianggap memungkinkan untuk mengidentifikasi seseorang, jika memerlukan biaya, waktu, atau kegiatan yang berlebihan (Pasal 6 (3) AUC).

Pada tanggal 25 Mei 2018, undang-undang baru tentang perlindungan data pribadi mulai berlaku, menggantikan peraturan yang ada, namun ketentuan ini, secara khusus, tetap berlaku, oleh karena itu definisi hukum dari istilah yang dimaksud tidak berubah.

Saat merumuskan definisi hukum data pribadi, pembuat undang-undang menggunakan klausa umum yang berisi frasa tidak terbatas, yang membuat katalog informasi yang merupakan data pribadi terbuka. Mengklasifikasikan informasi yang diberikan sebagai kumpulan data pribadi memerlukan penilaian individu apakah, dalam keadaan tertentu, hal itu memungkinkan identifikasi orang alami menggunakan cara tertentu.

Paling sering, informasi tunggal yang sangat umum (misalnya gaji) bukanlah data pribadi. Mereka menjadi mereka ketika mereka disatukan dan memungkinkan identifikasi yang tepat dari orang yang mereka pedulikan. Misalnya informasi besaran remunerasi yang digabungkan dengan data alamat dan nama.

Namun, ada kalanya bahkan satu informasi pun dapat menjadi data pribadi. Ini adalah kasus dengan nomor PESEL, yang sesuai dengan Art. 15 detik 2 Undang-Undang 24 September 2010 tentang catatan kependudukan (Jurnal Hukum 2015, item 388) adalah simbol numerik 11 digit yang secara unik mengidentifikasi orang alami, di mana enam digit pertama menunjukkan tanggal lahir (tahun, bulan, hari), empat berikutnya - nomor urut dan jenis kelamin orang tersebut, dan yang terakhir adalah digit cek yang digunakan untuk kontrol elektronik atas kebenaran nomor registrasi yang ditetapkan.

Data pribadi menurut GDPR

Pada tanggal 25 Mei 2018, Peraturan (EU) 2016/679 Parlemen Eropa dan Dewan 27 April 2016 tentang perlindungan individu sehubungan dengan pemrosesan data pribadi dan pergerakan bebas data tersebut, dan pencabutan Directive 95/46 mulai berlaku / WE (yang disebut regulasi GDPR).

Sesuai dengan Seni. 4 dari GDPR, data pribadi berarti informasi yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi ("subjek data").

Orang alami yang dapat diidentifikasi adalah orang yang dapat diidentifikasi secara langsung atau tidak langsung, khususnya berdasarkan pengenal seperti:

  • nama depan dan nama belakang,

  • Nomor ID,

  • data lokasi,

  • ID Internet atau

  • satu atau lebih faktor khusus untuk fisik, fisiologis, genetik, mental, ekonomi, budaya atau identitas sosial dari seseorang.

Pembukaan GDPR menyatakan bahwa “Prinsip-prinsip perlindungan data harus berlaku untuk informasi apa pun yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi. Data pribadi pseudonim yang dapat dilacak ke orang alami menggunakan informasi tambahan harus dianggap sebagai informasi tentang orang alami yang dapat diidentifikasi. Untuk menentukan apakah seseorang dapat diidentifikasi, pertimbangan harus diberikan pada setiap cara yang mungkin secara wajar (termasuk pemisahan entri untuk orang yang sama) yang kemungkinan besar akan digunakan oleh pengontrol atau orang lain untuk tujuan langsung atau secara tidak langsung mengidentifikasi orang alami. Untuk menentukan apakah suatu metode dapat digunakan secara wajar untuk mengidentifikasi individu, semua faktor objektif seperti biaya dan waktu yang diperlukan untuk mengidentifikasi individu harus diperhitungkan, dan teknologi yang tersedia pada saat pemrosesan data serta teknologi uang muka harus diperhitungkan. Oleh karena itu, prinsip perlindungan data tidak boleh berlaku untuk informasi anonim, yaitu informasi yang tidak berhubungan dengan orang yang teridentifikasi atau dapat diidentifikasi, atau data pribadi yang diberikan anonim sedemikian rupa sehingga subjek data tidak dapat diidentifikasi sama sekali atau tidak lagi dapat diidentifikasi. Oleh karena itu, Peraturan ini tidak berlaku untuk pemrosesan informasi anonim tersebut, termasuk pemrosesan untuk tujuan statistik atau ilmiah.'

Peraturan GDPR mendefinisikan dua kategori data pribadi: yang disebut data pribadi biasa dan data pribadi yang termasuk dalam kategori data khusus (sebelumnya disebut data sensitif), yang mencakup pengungkapan data:

  • asal ras atau etnis,

  • pandangan politik, keyakinan agama atau filosofis,

  • keanggotaan serikat pekerja,

  • data genetik,

  • data biometrik untuk mengidentifikasi orang secara unik,

  • data yang berkaitan dengan kesehatan, seksualitas atau orientasi seksual.

Data pribadi yang tidak termasuk dalam kategori yang disebutkan di atas adalah data biasa.

Apakah data pribadi juga berlaku untuk badan hukum?

Tidak, data pribadi hanya terkait dengan orang perseorangan.

Apakah alamat email itu data pribadi?

Data pribadi bukan hanya informasi yang memungkinkan Anda mengidentifikasi orang tertentu secara langsung, tetapi juga informasi yang, dengan sejumlah biaya, waktu, atau upaya tertentu, akan cukup untuk mengidentifikasinya.

Dengan mempertimbangkan hal-hal di atas, harus dinyatakan bahwa, sebagai suatu peraturan, alamat email bukan merupakan data pribadi dalam pengertian Seni. 6 detik 1 u.o.d.o. Namun, jika isinya mencakup informasi yang memungkinkan, tanpa biaya, waktu, atau aktivitas yang berlebihan, untuk menentukan identitas seseorang berdasarkan mereka, itu dapat dianggap sebagai data pribadi.

Contoh 1.

Alamat email: [email protected] bukan merupakan data pribadi.

Alamat email: [email protected] mungkin merupakan data pribadi.

Mulai masa percobaan 30 hari gratis tanpa pamrih!

Apakah alamat IP komputer adalah data pribadi?

Partai Kerja Perlindungan Data yang dibentuk oleh Parlemen Eropa dan Dewan Eropa setuju bahwa alamat IP komputer harus dianggap sebagai data yang berkaitan dengan orang yang dapat diidentifikasi, dengan menyatakan bahwa: "ISP dan manajer jaringan lokal dapat, dengan menggunakan cara yang wajar, mengidentifikasi pengguna internet yang mereka berikan alamat IP karena mereka secara sistematis mencatat tanggal, durasi, dan alamat IP dinamis (yaitu, berubah setiap kali Anda masuk) yang ditetapkan untuk seseorang dalam file. Tidak ada keraguan bahwa dalam kasus seperti itu dimungkinkan untuk berbicara tentang data pribadi dalam arti Pasal 2 Arahan."

Apa yang harus dilakukan trader jika ternyata informasi yang dia kumpulkan adalah data pribadi?

Pertama-tama, harus ditekankan bahwa seorang pengusaha yang menggunakan data pribadi dalam menjalankan bisnis - menjadi administrator mereka secara hukum.

Pertama-tama, pengusaha harus menentukan jenis data pribadi apa yang dia proses (apakah itu data biasa atau kategori data khusus).

Selanjutnya, Anda perlu memastikan bahwa pengumpulan kategori data tertentu di perusahaan dibenarkan, dan jika pemrosesan lebih lanjut diperlukan, kewajiban administrator data pribadi harus dipenuhi.

Sesuai dengan Seni. 36 Undang-Undang 29 Agustus 1997 tentang perlindungan data pribadi, tugas pengelola data pribadi meliputi:

  • penerapan langkah-langkah teknis dan organisasi yang memastikan perlindungan data pribadi yang diproses sesuai dengan ancaman dan kategori data yang dilindungi, khususnya, mengamankan data dari pengungkapan yang tidak sah, penghapusan oleh orang yang tidak berwenang, pemrosesan yang melanggar Undang-undang, serta perubahan, kehilangan, kerusakan atau kehancuran;

  • menyimpan dokumentasi yang menjelaskan metode pemrosesan data dan langkah-langkah untuk memastikan perlindungan data pribadi.