有时,“数据保护”一词会被误解并错误地与任何类型的数据相关联。重要的是要明白,数据保护专门指的是特定类型的数据,即个人数据。但是个人数据到底是什么?为什么它与公司如此相关?在本文中,我们解释这种类型的数据是什么。
个人资料的定义
《通用数据保护条例》对该术语作出了决定性定义。根据 GDPR 第 4 条第 1 款,“个人数据”是指:
“与已识别或可识别的自然人有关的任何信息; “如果自 RCS 数据荷兰 然人能够被直接或间接地识别,特别是通过姓名、身份证号、位置数据、在线标识符或特定于自然人身体、生理、遗传、精神、经济、文化或社会身份的一个或多个特定因素,则该自然人被视为可识别的;”
下面将更详细地探讨这一定义的基本要素。
所有信息
“所有信息”这一术语有时会引起混淆。这是指有关某人的任何类型的信息,即任何信息,无论看起来多么微不足道,只要与某人有关,就是相关的。此外,对于数据保护目的而言,信息是否公开或保密并不重要。
个人身份信息示例:
姓名
身份特征(例如出生地)
联系方式(例如地址)
身体特征(例如头发颜色)
联系和关系(例如与雇主的关系)
健康数据(例如身体残疾迹象)
其他数据(例如购买的产品)
已识别或可识别
只有与已识别或可识别的自然人相关的数据才被视为个人数据。这两个法律术语的解释如下:
已识别
这些数据可以直接引用相关人员,因为其中包含姓名等信息。
可识别
可能无法立即看出数据指的是哪个特定的人。然而,借助额外的知识,可以建立个人参考。一个很好的例子就是车辆牌照——在权威机构的支持下,可以建立个人参考。
相关个人参考
根据这一概念,有关机构(例如员工或部门)是否能够利用其掌握的手段建立个人参考非常重要。如果这些资源不是立即可用的,而必须付出相应的努力才能获得,那么可以有相关的个人推荐。
绝对个人参考
如果办公室或其他人都无法建立任何个人证明,则无法进行身份识别。从理论上来说,建立个人联系肯定是不可能的。
这两种不同的观点已经引发了许多争议,并最终需要由法院来裁决。一个很好的例子就是 IP 地址的处理。大多数公司无法将这些地址分配给特定的人(相对个人参考)。然而,如果具备适当的额外知识(例如来自互联网提供商的知识),在许多情况下还是可以完成任务的(绝对的个人参考)。
自然人与法人的区别
GDPR 的进一步推导如下:必须提及自然人。然而,如果数据与法人有关,则不被视为个人数据。因此,只有明确存在个人数据的情况下,数据保护法才能适用。因此,有必要检查此类数据是否正在被处理,如果是,具体涉及哪些数据。
从法律意义上来说,自然人是活着的人。该人的年龄、性别或国籍并不重要。然而,死者数据的处理不属于数据保护法的主题,这就是为什么数据保护不直接适用于这些数据。
法人与自然人不同,法人并不存在于现实生活中,而仅存在于法律意义上。法人实体的例子有公司、协会或基金会。有关法人实体的信息不被视为个人数据。
然而,处理法人数据时必须谨慎。有些情况下会提及自然人。如果例如例如,如果数据显示哪些人在一家公司工作,那么由于存在链接,这又构成了个人参考。
假名和匿名数据
一些公司处理以前已假名化或匿名化的数据。对数据进行适当的调整可能会使识别有关人员变得更加困难甚至不可能。从数据保护的角度来看,精确区分是重要的。必须明确这些数据是否仍然被视为个人数据。
假名化是用标识符替换姓名和其他识别特征,以排除或显著复杂化数据主体的身份识别。
匿名化是指对个人数据进行某种形式的修改,使得有关个人或事实情况的个人详细信息不再能够分配给特定或可识别的自然人,或者只能花费不成比例的时间、成本和精力才能分配给特定或可识别的自然人。
匿名数据是无法确定或无法识别参考人的数据。这意味着它不再是个人数据。假名数据的情况则有所不同。结合其他知识,就可以进行识别。这些数据最终是否应被视为个人数据取决于所适用的理论(相对个人参照或绝对个人参照)。