Статья 4 Определения

О чём эта статья

Статья 4 — словарь GDPR, 26 определений ключевых терминов. Самая длинная статья регламента и одна из главных для аудитов.

Ключевые определения

4(1) — Персональные данные. Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Идентифицируемое лицо — то, которое может быть идентифицировано прямо или косвенно: по имени, идентификационному номеру, данным о местонахождении, онлайн-идентификатору, или по факторам физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности.

Это шире, чем кажется. Cookie ID, IP-адрес, отпечаток браузера, рекламный ID — всё это персональные данные, потому что позволяют косвенно идентифицировать лицо. Этот пункт — центральный почти во всех AdTech-спорах.

4(2) — Обработка. Любое действие с персональными данными: сбор, запись, организация, хранение, изменение, извлечение, использование, передача, распространение, удаление. Даже чтение — это обработка.

4(7) — Контролёр. Лицо, которое определяет цели и средства обработки. Несёт основные обязанности GDPR.

4(8) — Обработчик. Лицо, обрабатывающее данные по поручению контролёра.

4(11) — Согласие. Свободно данное, конкретное, информированное и недвусмысленное указание желания субъекта данных посредством заявления или ясного активного действия. Если хотя бы одно из этих качеств отсутствует — согласие недействительно.

4(12) — Нарушение защиты данных. Нарушение безопасности, приводящее к уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным.

4(16) — Главное местонахождение (main establishment). Для контролёра с подразделениями в нескольких странах — место центральной администрации в Союзе, если только решения о целях и средствах обработки не принимаются в другом подразделении. От этого зависит ведущий DPA (Art. 56).

Почему это важно

Большинство споров по GDPR решаются на уровне определений. Если технически зафиксировано наличие cookie-идентификатора без согласия пользователя — это уже нарушение: cookie ID попадает под Art. 4(1), а согласие отсутствует по Art. 4(11).