【GDPR】GDPR个人数据

“个人数据”一词是适用《一般数据保护条例》（GDPR）的入口。只有当数据处理涉及个人数据时，才适用《一般数据保护条例》。该术语的定义见第4（1）条。个人数据是与已识别或可识别自然人相关的任何信息。

如果能够直接或间接地识别数据主体，尤其是通过参考一个标识符，如姓名、识别号、位置数据、在线标识符或几个特殊特征中的一个来识别数据主体。这些特征表达了这些自然人的身体、生理、遗传、心理、商业、文化或社会身份。实际上，这些数据还包括以任何方式分配给或可以分配给某人的所有数据。例如，一个人的电话、信用卡或人员号码、账户数据、号码牌、外貌、客户号码或地址都是个人数据。

由于定义包括“任何信息”，因此必须假设“个人数据”一词应尽可能广义地解释。欧洲法院的判例法也提出了这一点，该法院还将不太明确的信息视为个人数据，如工作时间记录，其中包括员工开始和结束工作日的时间，以及不属于工作时间的休息或时间。此外，考生在考试期间的书面回答以及考官对这些回答的任何评论都是“个人数据”，前提是理论上可以确定考生。这同样适用于IP地址。如果控制人有法律选择权要求提供商提交额外信息，使其能够识别IP地址背后的用户，则这也是个人数据。此外，必须注意，个人数据不一定是客观的。主观信息，如意见、判断或估计，可以是个人数据。因此，这包括一个人的信誉评估或雇主对工作表现的估计。

最后但并非最不重要的一点是，法律规定，人员参考信息必须涉及自然人。换言之，数据保护不适用于公司、基金会和机构等法律实体的信息。另一方面，对自然人来说，保护始于法律行为能力，并随着法律行为能力的丧失而消失。基本上，一个人在出生时获得这种能力，在死亡时失去这种能力。因此，数据必须可分配给被认定或可认定为个人的在世人员。

除一般个人数据外，必须首先考虑特殊类别的个人数据（也称为敏感个人数据），这些数据具有高度相关性，因为它们受到更高级别的保护。这些数据包括基因、生物特征和健康数据，以及显示种族和族裔出身、政治观点、宗教或意识形态信仰或工会成员身份的个人数据。

Suitable GDPR articles

• Art. 4 GDPR Definitions 
• Art. 9 GDPR Processing of special categories of personal data

Suitable Recitals

• (26) Not Applicable to Anonymous Data 
• (30) Online Identifiers for Profiling and Identification 
• (34) Genetic Data 
• (35) Health Data 
• (51) Protecting Sensitive Personal Data

External Links

Authorities

• European Data Protection Supervisor ► Security Measures for Personal Data Processing (Link)
• Data Protection Authority Isle of Man ► Know your data – Mapping the 5 W’s (Link)
• Data Protection Authority UK ► Key definitions (Link)
• European Commission ► What is personal data? (Link)
• European Commission ► What personal data is considered sensitive? (Link)
• EU publications ► Handbook on European data protection law – Personal data, page 83 (Link)

Expert contribution

• A&L Goodbody ► The GDPR: A Guide for Businesses – Definition of Personal & Sensitive Data, Page 8 (Link)
• Bird & Bird ► Sensitive data and lawful processing (Link)

本文：