ПОНЯТТЯ ПЕРСОНАЛЬНИХ ДАНИХ: ДОКТРИНА ТА ПРАКТИЧНЕ ЗАСТОСУВАННЯ
PDF (English)

Ключові слова

загальний регламент про захист даних
персональні дані
псевдонімізовані дані
ідентифікація
концепція персональних даних
абсолютний підхід
відносний підхід

Як цитувати

Лузан, Т. (2021). ПОНЯТТЯ ПЕРСОНАЛЬНИХ ДАНИХ: ДОКТРИНА ТА ПРАКТИЧНЕ ЗАСТОСУВАННЯ. Молодий вчений, 5 (93), 111-117. https://doi.org/10.32839/2304-5809/2021-5-93-22

Анотація

Ця стаття присвячена концепції персональних даних. Хоча поняття персональних даних було впроваджено до законодавства про захист даних досить давно, низка питань все ще залишається невирішеною. Одним із таких питань є ідентифікація, умова кваліфікації певних даних як персональних даних. Зазначена умова розпалила академічну дискусію щодо застосування абсолютного чи відносного підходів до концепції персональних даних і, відповідно, псевдонімізованих даних. Згідно з першим підходом під час кваліфікування даних, як персональних даних, слід брати до уваги як контролера даних, так і будь-яку третю особу. Відповідно до другого підходу з метою проведененя належної кваліфікації даних увагу слід зосередити лише на контролері даних. Проте обидва ці підходи можна знайти в Загальному регламенті про захист даних. Тому, видається за можливе запропонувати застосування поміркованого підходу (між абсолютним та відносним підходами). Така пропозиція може також бути обґрунтована висновками Суду Справедливості ЄС у справі Брейєра. Убачається, що деякі контролюючі органи у сфері захисту персональних даних теж впровадили такий підхід у свою діяльність. Застосування поміркованого підходу є способом гармонізувати захист персональних даних з іншими правами і свободами в ЄС, наприклад, із свободою вести бізнес. Нарешті, застосовуючи поміркований підхід, можливо належним чином відрізнити правовий статус початкового контролера даних від одержувача псевдонімізованих даних. Це означає, що під час визначення правової природи переданих даних слід враховувати й одержувача псевдонімізованих даних (як третю особу). Разом з тим, така оцінка повинна проводитися з урахуванням засобів, які з розумною ймовірністю будуть використані одержувачем для повторної ідентифікації псевдонімізованих даних із застосуванням об’єктивних факторів, згаданих у вказаному Регламенті. Таким чином, застосування поміркованого підходу до поняття персональних даних може також полегшити передачу псевдонімізованих даних між суб’єктами господарювання, якщо запроваджено належні міри захисту таких даних.

https://doi.org/10.32839/2304-5809/2021-5-93-22
PDF (English)

Посилання

Regulation (EU) 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation): the European Parliament and the Council of 27 April 2016. OJ L119/1.

Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data: of the European Parliament and of the Council of 24 October 1995. OJ L281/31.

C-582/14 Breyer v Bundesrepublik Deutschland: Judgement of the Court of Justice of the European Union of 19 October 2016. ECLI:EU:C:2016:779.

Finck M., Pallas F. They Who Must Not Be Identified – distinguishing Personal from Non-Personal Data Under the GDPR. International Data Privacy Law. 2020. Vol. 10, № 1. P. 11–36.

Article 29 Working Party. Opinion 4/2007 on the concept of personal data, WP 136. 20 June 2007. 26 p. URL: https://www.clinicalstudydatarequest.com/Documents/Privacy-European-guidance.pdf.

Oostveen M. Identifiability and the Applicability of Data Protection to Big Data. International Data Privacy Law. 2016. Vol. 6, № 4. P. 299–309.

Spindler G., Schmechel P. Personal Data and Encryption in the European General Data Protection Regulation. Journal of Intellectual Property, Information Technology and Electronic Commerce Law. 2016. Vol. 7, № 2. P. 163–177.

El Emam K., Alvarez C. A Critical Appraisal of the Article 29 Working Party Opinion 05/2014 on Data Anonymization Techniques. International Data Privacy Law. 2015. Vol. 5, № 1. P. 73–87.

Information Commissioner’s Office. Anonymisation: Managing Data Protection Risk Code of Practice. November 2012. 106 p. URL: https://ico.org.uk/media/1061/anonymisation-code.pdf.

Charter of Fundamental Rights of the European Union: the European Parliament, the Council and the Commission of 2012. OJ C 326.

Consolidated version of the Treaty on European Union: 2012. OJ C 326.

Purtova N. The law of everything. Broad concept of personal data and future of EU data protection law. Law, Innovation and Technology. 2018. Vol. 10, № 1. P. 40–81.

Article 29 Working Party. Opinion 05/2014 on Anonymisation Techniques, WP216. 10 April 2014. 37 p. URL: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.

Mourby M., Mackey E., Elliot M., Gowans H., Wallace S. E., Bell J., Smith H., Aidinlis S., Kaye J. Are ‘pseudonymised’ Data Always Personal Data? Implications of the GDPR for Administrative Data Research in the UK. Computer Law & Security Review. Vol. 34, № 2. P. 222–233.

Information Commissioner’s Office. Overview of the General Data Protection Regulation (GDPR). October 2017. 44 p. URL: https://ico.org.uk/media/for-organisations/data-protection-reform/overview-of-the-gdpr-1-13.pdf.

Hintze M. Viewing the GDPR through a de-Identification Lens: a Tool for Compliance, Clarification, and Consistency. International Data Privacy Law. 2018. Vol. 8, № 1. P. 86–101.

Thompson B. Analysis: Research and the General Data Protection Regulation. Welcome Trust. July 2016. 12 p. URL: https://wellcome.ac.uk/sites/default/files/new-data-protection-regulation-key-clauses-wellcome-jul16.pdf.

Stalla-Bourdillon S., Alison Knight A. Anonymous Data v. Personal Data – False Debate: An EU Perspective on Anonymization, Pseudonymization and Personal Data. Wisconsin International Law Journal. 2016. Vol. 34, № 2. P. 284–322.

Zuiderveen Borgesius F. The Breyer Case of the Court of Justice of the European Union: IP Addresses and the Personal Data Definition. European Data Protection Law Review. 2017. Vol. 3, № 1. P. 130–137.

Reid A. S. The European Court of Justice case of Breyer. Journal of Information Rights, Policy and Practice. 2017. Vol. 2, № 1. P. 1–7.

Niemann F., Schüßler L. CJEU decision on dynamic IP addresses touches fundamental DP law questions. October 2016. URL: https://www.twobirds.com/en/news/articles/2016/global/cjeu-decision-on-dynamic-ip-addresses-touches-fundamental-dp-law-questions.

Nespurek R., Richard O., Matysová M. European Union: Breyer Ruling, And Dynamic IP Addresses As Personal Data. February 2018. URL: https://www.mondaq.com/data-protection/677894/breyer-ruling-and-dynamic-ip-addresses-as-personal-data.

Karineva A. Key aspects of GDPR applied by Finnish DPA in two recent cases. September 2020. URL: https://www.lexology.com/library/detail.aspx?g=a92cd7a4-8592-4427-a3e6-50bdceeecf40.

Finnish Social Science Data Archive. Anonymisation and personal data. URL: https://www.fsd.tuni.fi/en/services/data-management-guidelines/anonymisation-and-identifiers/.

Peloquin D., DiMaio M., Bierer B., Barnes M. Disruptive and Avoidable: GDPR Challenges to Secondary Research Uses of Data. European Journal of Human Genetics. 2020. № 28. P. 697–705.