Víte, co jsou a nejsou osobní údaje?

16.02.2018

Jednoznačně rozpoznat osobní údaje není vůbec jednoduché. Zřejmé to nemusí být ani u těch, které bychom za osobní bez přemýšlení označili.

S blížícím se termínem účinnosti evropského nařízení o ochraně osobních údajů a přípravami na jeho implementaci do firemních struktur se ukazuje, že ne každému je jasné, co osobní údaj je a co není.

Definici termínu "osobní údaj" obsahuje jak GDPR, tak český zákon o ochraně osobních údajů. Přesto jsou situace, kdy se dá o tom, co je a co ještě není osobní údaj, spekulovat. Upozornila na to advokátka advokátní kanceláře eLegal Petra Dolejšová, která vystoupila na semináři k GDPR pořádaném TUESDAY Business Network. Ukázala to na několika příkladech a zdůvodnila, kdy a proč je možné něco definovat jako osobní údaj a kdy a za jakých podmínek ne. Berte tento článek i jako malý test vaší právní zdatnosti a před přečtením komentáře si zkuste zdůvodnit, kdy je jaký údaj osobním údajem či nikoli. Nejprve ale trochu teorie.

Pro účely nařízení GDPR se osobními údaji rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je taková fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Podle zákona o ochraně osobních údajů jsou pak za osobní údaje považovány jakékoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze tento subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

Mezi nejčastější osobní údaje řadíme následující: jméno, adresa trvalého bydliště, doručovací adresa, pohlaví, věk, datum a místo narození, rodné číslo, osobní stav, zdravotní znevýhodnění, informace o dosaženém vzdělání, informace o příjmech, fotografický, video a audio záznam, e-mailová adresa, telefonní číslo, IP adresa. A samozřejmě také identifikační údaje vydané státem, jako jsou identifikační číslo, DIČ, číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu.

Definice se ale nedají aplikovat vždy a na všechny. To, co u jedné fyzické osoby osobním údajem je, protože je podle toho jasně identifikovatelná, ještě automaticky nemusí být osobním údajem pro další fyzickou osobu. Vždy je nutné rozhodovat podle toho, jestli je možné na základě dostupných údajů a zákonnou formou konkrétní osobu bezpečně určit. Pokud jde o možnost identifikace osoby, je nutné počítat se všemi formami. Nejen těmi, kterými disponujete vy sami, ale i soudy, policie nebo třeba poskytovatelé internetového připojení, upozorňuje advokátka Petra Dolejšová. Sama svým klientům radí, aby za osobní údaj považovali všechny informace, podle kterých by byla FBI schopna určit konkrétní osobu.