1.26
Výklad základních pojmů – osobní údaje
Mgr. Ing. Zdeňka Kůsová
Osobními údaji jsou dle definice obsažené v čl. 4 odst. 1 GDPR veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen "subjekt údajů"); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Dle zákona o ochraně osobních údajů se osobním údajem rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.
Z porovnání výše uvedených definic je zřejmé, že obecné nařízení rozšířilo demonstrativní výčet příkladů osobních údajů. Důležité je však poznamenat, že příklady osobních údajů v definici uvedené nepředstavují konečný výčet osobních údajů. U každého identifikátoru (např. čísla či jiného údaje) je tedy zapotřebí důkladně posuzovat, zda naplňuje definiční znaky osobního údaje, tedy zda tento údaj je způsobilý přímo či nepřímo identifikovat konkrétní fyzickou osobu.
Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji.
Změnou oproti definici uvedené v zákoně o ochraně osobních údajů je pak bezesporu rozšíření příkladů osobních údajů o IT identifikátory.
NahoruCitlivý údaj
Zákon o ochraně osobních údajů pak mezi definovanými pojmy uváděl též citlivý údaj, který definoval jako osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, údaj o zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů.
Nařízení GDPR termín citlivý údaj nepřímo definuje ve výčtu důvodů, kvůli kterým bylo obecné nařízení přijato (dále také jako "preambule"): Ve spojení s obecnými a horizontálními právními předpisy o ochraně údajů provádějícími směrnici 95/46/ES existuje v členských státech několik právních předpisů specifických pro určitá odvětví v oblastech, ve kterých je třeba přijmout konkrétnější ustanovení. Toto nařízení rovněž poskytuje členským státům určitý prostor ke stanovení vlastních pravidel, včetně pravidel pro zpracování zvláštních kategorií osobních údajů ("citlivé osobní údaje"). V tomto rozsahu nařízení nevylučuje, aby právo členského státu stanovilo okolnosti konkrétních situací, při nichž dochází ke zpracování, včetně přesnějšího určení podmínek, za nichž je zpracování osobních údajů zákonné.
Mezi definicemi uvedenými v ustanovení článku 4 GDPR však již pojem citlivý osobní údaj absentuje. Toto však neznamená, že by obecné nařízení nikterak nerozlišovalo mezi osobními údaji a zvláštní kategorií osobních údajů, které pojednávají o rase, etnickém původu, zdravotním stavu aj.
Článek 9 GDPR (označený jako "Zpracování zvláštních kategorií osobních údajů") ukládá zákaz zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě…