Co jsou osobní údaje (GDPR)?

GDPR je založeno na ochraně osobních údajů občanů a obyvatel EU. Pochopení toho, co to znamená, umožní vaší firmě zvládnout požadavky GDPR. GDPR se ve skutečnosti vztahuje pouze na osobní údaje. Co jsou ale přesně osobní údaje? Šíře této kategorie vás možná překvapí! V tomto článku vám pomůžeme určit, které z vašich údajů spadají pod nařízení GDPR, a doufejme, že tak zabráníte zbytečnému mazání užitečných informací.

Vysvětlíme vám také rozdíl mezi osobními údaji a citlivými osobními údaji, což je podle GDPR klíčový rozdíl, který má vliv na způsob jejich shromažďování, uchovávání a zpracování.

Co přesně jsou osobní údaje?

Nařízení GDPR bohužel neobsahuje vyčerpávající seznam toho, co považuje za osobní údaje. Nařízení uvádí, že osobními údaji jsou - "Veškeré informace týkající se identifikovatelné fyzické osoby".

Pro laiky to znamená jakoukoli informaci, kterou lze použít - samostatně nebo v kombinaci s jinými informacemi - k identifikaci žijícího subjektu údajů. Osobní údaje mohou být zřejmé, jako je jméno nebo uživatelské jméno, nebo mohou být méně zřejmé, jako je záznam z kamerového systému.

Takové údaje lze totiž použít k potvrzení vaší fyzické přítomnosti na určitém místě. Patří sem také údaje o poloze telefonu, IP adresy a údaje o souborech cookie, stejně jako e-mailové adresy a adresy bydliště.

Je však důležité mít na paměti, že tyto věci samy o sobě nemusí nutně představovat osobní údaje ve smyslu nařízení GDPR - vše závisí na konkrétních okolnostech.

Co s tím má společného okolnost?

Vezměme si například něčí jméno.

Možná byste předpokládali, že to bude podle nařízení GDPR vždy kategorizováno jako osobní údaj, ale mýlili byste se. Vzhledem k tomu, že v USA žije 48 532 Johnů Smithů, nelze toto jméno samo o sobě použít k identifikaci konkrétní osoby(US Census Bureau). Pro srovnání lze pravděpodobně s jistotou říci, že syn Elona Muska je jedinou osobou na planetě, která se jmenuje X Æ A-12 Musk (zatím).

Je tedy logické, že GDPR bude jeho jméno považovat za osobní údaj, protože tato informace sama o sobě stačí k vynulování jeho individuální identity. To se však změní, pokud se zkombinuje s dalšími informacemi v souboru. E-mailová adresa johnsmith@businessx.com by byla považována za osobní údaj, protože z ní vyplývá, že pro tuto konkrétní společnost pracuje pouze jeden John Smith.

Je něco, co se nepovažuje za osobní údaje?

Ve většině případů nejsou údaje mrtvých osob považovány za osobní údaje podle nařízení GDPR. 26. bod odůvodnění rovněž uvádí, že anonymní údaje nespadají pod nařízení GDPR. Anonymizace je proces, při kterém se z údajů vymažou všechny osobní identifikátory. Neměla by být zaměňována s pseudonymními nebo šifrovanými údaji, které lze stále znovu zpracovávat za účelem identifikace osob. Nařízení GDPR však pseudonymizaci osobních údajů aktivně podporuje, protože poskytuje subjektům údajů další úroveň bezpečnosti. K pseudonymizovaným údajům totiž mohou přistupovat pouze oprávnění zaměstnanci - tím se snižuje riziko ohrožení soukromí lidí, kteří své údaje poskytli společnostem.

Co s citlivými osobními údaji podle GDPR?

Na citlivé osobní údaje - neboli "údaje zvláštní kategorie" v oficiálním žargonu článku 9 - upozorňuje nařízení GDPR jako na něco, s čím je třeba zacházet s mimořádným zabezpečením. Zde jsou všechny příklady citlivých osobních údajů:

• Rasový nebo etnický původ
• Politické názory
• Náboženské nebo filozofické přesvědčení
• Členství v odborech
• Trestní rejstřík
• Utajované údaje
• Genetické údaje
• Finanční údaje
• Biometrické údaje
• Zdravotní údaje
• Údaje o sexuálním životě nebo sexuální orientaci
• Obchodní nebo pracovní údaje

Toto rozlišení mezi osobními údaji a citlivými osobními údaji je důležité. Podle GDPR lze citlivé údaje zpracovávat pouze tehdy, pokud splňují jednu nebo více z následujících podmínek:

• Pokud osoba poskytla výslovný souhlas nebo již údaje zveřejnila
• Pokud jsou údaje vyžadovány k ochraně zájmů subjektů údajů, které fyzicky nemohou poskytnout souhlas
• Pokud jsou údaje nezbytné pro splnění požadavků v oblasti zaměstnanosti, sociálního zabezpečení nebo sociální ochrany podle právních předpisů
• pokud údaje potřebuje nezisková organizace k provádění oprávněných činností
• pokud jsou údaje potřebné pro činnosti související s významným veřejným zájmem v oblasti zdraví nebo lékařství

Jste na údaje připraveni

Doufejme, že nyní máte lepší představu o tom, jaké osobní a citlivé údaje máte v souboru. To je první krok k identifikaci a klasifikaci údajů a k zajištění toho, aby způsob, jakým ukládáte osobní údaje, respektoval práva uživatelů internetu v EU podle nařízení GDPR. Zlepšení zabezpečení těchto citlivých údajů vás také lépe ochrání v případě nešťastného úniku dat - snížíte tak pokuty, které by vaše společnost dostala od úřadů pro ochranu osobních údajů.

Více informací o nařízení GDPR a ochraně osobních údajů se dozvíte v našem obsáhlém průvodci.