Co je, co není a co bude osobní údaj podle GDPR

30. 5. 2017 Jitka Kmošková Martin Kornel Právo pro byznys a inovace Právo pro veřejnou správu Ochrana osobních údajů v souladu s GDPR Data veřejné správy v souladu s GDPR

Mnoho subjektů, ať už firem, živnostníků, spolků nebo jiných má pocit, že se jich pravidla pro ochranu osobních údajů netýkají, protože s žádnými nepracují. Přitom ale stačí, aby měli databázi potenciálních klientů, zákazníků, zaměstnanců, dárců a jiných podporovatelů, a to i kdyby se jednalo jen o jméno a e-mail nebo telefonní číslo, a již půjde o zpracování osobních údajů.

Tyto subjekty jsou pak tzv. správcem osobních údajů. Od května 2018 budou pro správce platit nová přísnější pravidla pro zpracování osobních údajů podle tzv. GDPR - Nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Je proto důležité vědět, co všechno se pod pojmem osobní údaje skrývá.

Právní úprava

Osobní údaje jsou chráněny především:

  • zákonem č. 101/2000 Sb., o ochraně osobních údajů
  • směrnicí Evropského parlamentu a Rady 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „směrnice 95/46/ES“), která byla do zmíněného zákona implementována.

Za rok nabude účinnosti další předpis evropského práva, totiž  (dále jen „GDPR“). Nařízení GDPR mírně rozšiřuje okruh údajů, které se za osobní údaje považují.

Co vyplývá ze zákonných definic?

Jakýkoliv údaj, který umožňuje identifikovat konkrétní osobu, je osobním údajem. To, co je u jedné fyzické osoby osobním údajem, protože ji to jasně identifikuje, ještě nemusí být osobním údajem pro další fyzickou osobu. Rozhodující je, zda je možné podle daných údajů určit konkrétní osobu. Proto jméno samo o sobě nebo dokonce e-mail ve spojení jménem nebude osobním údajem, pokud podle něj není možné určitou osobu označit. Například e-mailová adresa jan.novak@... na běžně používaném internetovém serveru může patřit stovkám lidí toho jména, a proto sama o sobě nepředstavuje osobní údaj. Ovšem e-mailová adresa jan.novak@jmenofirmy.cz už osobním údajem je.

Osobním údajem může být jeden údaj nebo i více údajů, které teprve dohromady umožňují konkrétní osobu určit. Správce přitom může mít tyto údaje v jedné databázi nebo ve více oddělených databázích či seznamech. Níže poskytujeme seznam nejčastějších údajů, které mohou být osobními údaji podle zákona o ochraně osobních údajů.

Nejčastější obecné osobní údaje

  • jméno
  • adresa
  • trvalé bydliště
  • doručovací adresa
  • pohlaví
  • věk
  • datum narození
  • místo narození
  • rodné číslo
  • osobní stav
  • zdravotní znevýhodnění
  • fotografický záznam
  • video záznam
  • audio záznam
  • e-mailová adresa (zvláště pokud obsahuje například jméno a firmu)
  • telefonní číslo – soukromé i pracovní
  • IP adresa
  • různé identifikační údaje vydané státem: identifikační číslo, DIČ, číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu a další...
  • vzdělání
  • příjem ze zaměstnání (mzda, plat), příjem z důchodu
  • kulturní profil
  • jiné

+ osobní údaje dětí nebo manžela/manželky resp. partnera/partnerky – obecné i zvláštní

Nejčastější zvláštní osobní údaje

  • údaje o rasovém či etnickém původu (národnost), NE státní občanství
  • politické názory, NE členství v politické straně nebo hnutí, NE členství v komunistické straně před rokem 1989 (dle ÚS)
  • náboženské vyznání
  • filozofické vyznání
  • členství v odborech
  • zdravotní stav - údaje o tělesném nebo dušením zdraví, o poskytnutí zdravotních služeb
  • sexuální orientace
  • trestní delikty
  • pravomocná odsouzení

Genetické údaje *

  • DNA, RNA
  • krevní skupina
  • Rh faktor krve
  • jiné

Biometrické údaje *

  • snímek obličeje,
  • otisk prstu,
  • snímek oční duhovky,
  • snímek sítnice,
  • podpis
  • hlas (zabarvení)
  • jiné

* Takto označené údaje jsou povinně zavedeny teprve v dosud neúčinném GDPR, avšak naše národní právní úprava v zákoně o ochraně osobních údajů již v rámci definice osobních údajů pracuje i s těmito prvky.

S ohledem na právní definici pojmu osobní údaje není ani tento výčet úplný, ale obsahuje údaje nejčastěji zpracovávané podnikateli.

Údaje nepožívající ochranu při zpracování

Primárně můžeme z ochrany osobních údajů vyloučit všechny právnické osoby, stejně tak orgány veřejné moci a jiné instituce. Naopak jejich zaměstnanců se už ochrana týká.

Anonymizované údaje ochranu dle výše uvedených právních předpisů nepožívají, naopak pseudonymizované ano. Jaký je v nich rozdíl?

  • U anonymizovaných údajů nelze ani nepřímo přidělením dalších identifikátorů určit subjekt údajů. Správce údajů například shromažďuje údaje se jménem, příjmením, věkem a nejvyšším dosaženým vzděláním a pro statistické účely zcela vymaže jméno a příjmení, aby nadále zpracovával pouze věk a vzdělání. Zbylé údaje o věku a vzdělání jsou natolik vágní, že nelze určit, koho se týkají, a proto není potřeba je chránit výše uvedenými předpisy.
  • U pseudonymizovaných údajů je možné určit, koho se údaje týkají, ale jen s použitím dodatečných informací. Příklad: Správce údajů shromažďuje údaje se jménem, příjmením, věkem a nejvyšším dosaženým vzděláním. Jméno a příjmení nahradí číselným kódem a zvlášť uchovává soubor se jménem, příjmením a tímto číselným kódem. Kdo má přístup k oběma souborům zároveň, je schopen určit, ke komu se informace o věku a vzdělání vztahují, a proto je tyto údaje potřeba chránit výše uvedenými předpisy. Existence dvou oddělených souborů informací jsou pro pseudonymizaci klíčové.

Ochraně dle zákona nepodléhají dále osobní údaje zemřelých osob. Nakonec není třeba řešit zpracování údajů získaných v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter.

Pokud podnikatel pracuje s některými z výše uvedených údajů, měl by především vědět, za jakým účelem tyto údaje zpracovává, zda ke zpracování potřebuje souhlas, jak má údaje zabezpečeny.

Definice

Zákon o ochraně osobních údajů

  • osobní údaj = Jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.
  • citlivý osobní údaj = Citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů.

Směrnice 95/46/ES

  • osobní údaj = Veškeré informace o identifikované nebo identifikovatelné osobě (subjekt údajů); identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity

GDPR

  • osobní údaj = Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Jitka Kmošková

Advokátní koncipientka

Martin Kornel

Advokát a vedoucí týmu generálního práva

Potřebujete radu právníka ohledně GDPR?

Sejdeme se s vámi a probereme, jaké jsou vaše aktuální potřeby vzhledem k velikosti vaší instituce a množství kontaktů, se kterými pracujete.

Navrhneme vám konkrétní řešení, pokud možno bez složité implementace nových softwarových nástrojů. Budeme vycházet z vašich stávajících vnitřních předpisů a postupů.

Obraťte se na nás

Ozvěte se nám