GDPR: Co je to osobní údaj
V minulém příspěvku jsem se pokusil stručně shrnout o čem obecné nařízení o ochraně osobních údajů je.
V tomto příspěvku bych se chtěl zamyslet nad tím, co všechno je považováno za osobní údaje. GDPR to samozřejmě nijak exaktně, stejně, jako jiné důležité pojmy, nedefinuje, jak jinak.
Co je tedy vlastně považováno za osobní údaj? V zásadě cokoliv, podle čeho lze jednoznačně identifikovat konkrétní fyzickou osobu. Může se jednat jak o jeden údaj, tak i sadu údajů, podle kterých lze danou osobu jednoznačně identifikovat.
GDPR nijak nespecifikuje, jak náročné a pro koho by mělo být na základě těchto údajů danou osobu identifikovat. Skutečnost je bohužel taková, že s větším či menším úsilím a dostatečným množstvím času a rovněž i finančních prostředků by v zásadě neměl být problém přímo i nepřímo identifikovat jakoukoliv osobu. Za osobní údaj lze považovat např.:
- jméno a příjmení;
- adresu trvalého bydliště;
- e-mailovou adresu;
- věk;
- pohlaví;
- fotografii;
- rodné číslo;
- číslo občanky;
- číslo bankovního účtu;
- e-mailovou adresu;
- genetické údaje;
- biometrické údaje;
ale i údaje, podle kterých se v zásadě konkrétní fyzická osoba identifkovat nedá, ale zákonodárce si to jen myslí. Takovými údaji je např. IP adresa, ta je osobním údajem rozhodnutím Soudu EU z podzimu roku 2016.
Nemá smysl diskutovat o tom, zda se podle ní dá přesně identifikovat konkrétní fyzická osoba. Samozřejmě, že nedá, maximálně lze identifikovat počítač, a pak se ještě musí zjistit, kdo u něj v dané době seděl, a i to je problém.
Asi se vám to nebude líbit, ale z principu je téměř každá adresa, pokud je veřejně dostupná, veřejným údajem. De facto, nikoli de jure, bohužel anebo snad bohudík. A nic na tom, nemění skutečnost, že je vystavena na internetu (e-mail), komunikována po síti (IP adresa), anebo prostě napsána na schránce na dopisy (adresa bydliště).
A pokud si teď říkáte, sakra, vždyť tím osobním údajem může být za určitých podmínek skoro všechno. Máte pravdu. Nicméně i kdyby to tak bylo, tak se vůbec nic neděje, protože jestliže tyto údaje potřebujete zpracovávat, abyste vůbec mohli poskytovat své služby, tak stačí zavést jen pár bezpečnostních opatření a máte po starostech.
Štítky: GDPR
K článku “GDPR: Co je to osobní údaj” se zde nachází 2 komentáře.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Není pravda, že osobní údaj je informace, na základě které můžete někoho identifikovat (ať už jakkoli složitě a v jakýchkoli kombinacích). Toto je jeden z nejčastějších omylů. Zákon 101 i GDPR jasně uvádí, že jsou to !veškeré informace o! identifikované/telné osobě.
Neboli Vy spravujete nějaký soubor informací o FO. V tom souboru je x informací, díky nimž lze osobu identifikovat (typicky jméno, příjmení, datum narození…). Ale je třeba si uvědomit, že osobními údaji je naprosto vše, co se v tom souboru nachází. Například její číslo bot, oblíbené jídlo, oblíbená barva, prostě vše, co se k ní vztahuje. A na to je třeba pamatovat při vyřizování její případné žádosti.
Snad jsem to smysluplně osvětlil. Lze doporučit komentáře k zákonu 101 a GDPR.
Všimněte si, že píši, může se jednat… a dále, … lze identifikovat. Tedy ne nutně. Netřeba v tom hledat nic složitého, stačí jen na pojem osobní údaj nahlížet jako na jakýkoliv údaj o osobě, a pak jím může být skutečně cokoliv. (Zajímavé, někdy stačí k lepšímu porozumění jen prohodit dvě slova.)
A jestliže konkrétní osoba požádá o sdělení, jaké informace o ní uchováváte, musíte ji tyto informace poskytnout a stejně tak je i všechny na její žádost ze svého systému odstranit, tedy pokud k jejich uchování nebudete mít jiný pádný důvod.
Ovšem na druhou stranu připusťme, že zcela jistě můžete soustavně sbírat osobní údaje, ale jestliže z nich nelze identifikovat konkrétní osobu, nemůže nikomu vzniknout škoda, tak nemusíte ani nic řešit. Tu identifikovatelnost vnímám jako klíčovou.
Představte si situaci, že v okamžiku, kdy odstraníte z databáze onen jednoznačný identifikátor nebo skupinu identifikátorů, tak najednou ze všech ostatních osobních údajů a mohou jich být desítky, již nejste schopni určit, jaké osobě původně patřily.