DEFINICE OSOBNÍCH ÚDAJŮ PODLE GDPR
Definice osobních údajů v GDPR se ve srovnání se směrnicí 95/46/ES nemění, přestože se často hovoří/píše o opaku. Dle čl.4 odst. 1 Obecného nařízení jsou osobními údaji veškeré informace o identifikované či identifikovatelné osobě. Identifikovatelnou osobou je fyzická osoba, kterou je možné přímo či nepřímo identifikovat.
GDPR však rozšiřuje identifikátory, podle nichž je možné fyzickou osobu identifikovat, zejména se jedná o identifikátory síťového charakteru, např: IP adresa.
Možné rozdělení kategorií osobních údajů:
1. Údaje vedoucí k přímé identifikaci FO
Do této skupiny lze zařadit informace, které jsou jednoznačně ztotožnitelné s konkrétní FO. Příkladem může být: Příjmení, adresa, rodné číslo, číslo OP, číslo pasu, atd.
2. Údaje vedoucí k nepřímé identifikaci FO
Jsou informace, jejichž účelem je identifikace, nicméně nelze FO identifikovat přímo. Příkladem jsou již výše zmíněné síťové identifikátory (IP adresa), ale i telefonní číslo, email, cookies.
3. Další údaje, které jsou o FO shromažďovány
Toto je velmi specifická kategorie. Osobními údaji může být „úplně vše“, existuje-li někde „protikus“, který vede k identifikaci.
To znamená, shromažďuje-li instituce informace typu: Věk, vzdělání, pohlaví, velikost bot, míry, váha, atd., které slouží např. ke statistickém zpracování, o osobní údaje se nejedná. Je-li ale možné dohledat, že muž s velikostí bot 44, je pan Omáčka, pak již instituce spravuje osobní údaje.
4.Citlivé osobní údaje
Jsou zvláštní kategorií osobních údajů zahrnující informace o rasovém původu, politických názorech, příslušnosti k náboženství či vyznání, členství v odborech, zdravotním stavu, sexuální orientaci, trestních deliktech, genetických a biometrických prvcích nebo veškeré osobní údaje dětí.
Z výše neměně uvedeného výčtu citlivých osobních údajů jsou v Obecném nařízení definovány 3 údaje:
-
Údaje o zdravotním stavu: Informace o tělesném nebo duševním zdraví subjektu údajů, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jeho zdravotním stavu.
-
Genetické údaje: Osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby.
-
Biometrické údaje: Jsou osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků, nebo znaků chování fyzické osoby, které umožňují jedinečnou identifikaci. Příkladem může být: Detailní fotografie obličeje, daktyloskopické údaje nebo podpis.
Aby se jednalo o zvláštní kategorii osobních údajů, musí být genetické i biometrické prvky zpracovány za účelem jedinečné identifikace fyzické osoby, v opačném případě se o zpracování citlivých údajů nejedná.
-
Příklad 1: Společnost využívá v rámci docházkového systému pro zaměstnance čtečku otisků prstů – jedná se o zpracování osobních údajů.
-
Příklad 2: Klient při schůzce zanechá na sklenici s vodou své otisky prstů i rtů – pokud je nikdo nebude snímat a ukládat tyto údaje k jeho složce - nejedná se o zpracování osobních údajů.
-
Příklad 3: Společnost sbírá vzorky vlasů pro kvalitativní hodnocení šamponů. Jsou-li vzorky spojeny pouze s druhem užívané kosmetiky nikoli s konkrétní fyzickou osobou - nejedná se o zpracování citlivých osobních údajů.
Citlivým osobním údajům věnuje Obecné nařízení zvláštní pozornost. Jejich zpravování je možné pouze za předpokladu dodržování přísnějších bezpečnostních pravidel:
-
Vedení záznamu o činnostech zpracování.
-
Posouzení vlivu zpracování na ochranu osobních údajů (DPIA) – v případě rozsáhlého zpracování zvláštní kategorie osobních údajů.
-
Jmenování pověřence pro ochranu osobních údajů (DPO) – v případě rozsáhlého zpracování v rámci hlavní činnosti správce.
Co tedy není považováno za osobní údaje?
Ochraně dle GDPR nepodléhají anonymizované údaje, informace o zemřelých osobách, ani údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter.
V případě dotazů k tomuto článku prosím kontaktuje jeho autora (Jana Pavlovičová).
Tento i všechny ostatní články zveřejněné na těchto stránkách vyjadřují názor jejich autorů, nejde o právně závazné dokumenty.