JUDr. Eva Wierzbicka Mendrok, LL.M, Mgr. Tomáš Vavro, Mgr. Marek Zeman
Pro účely správného pochopení smyslu GDPR a následného řádného nakládání s osobními údaji je nezbytné seznámit se s definicemi pojmů a postupů uvedenými zejména v čl. 4 GDPR. Znalost daných pojmů je pro práci s GDPR a jeho správnou aplikaci do praxe zcela stěžejní. Níže uvádíme vybrané nejdůležitější definice, nicméně pro aplikaci GDPR nelze než doporučit pečlivé prostudování všech definic, neboť bez toho bude poměrně obtížné pochopit smysl jednotlivých ustanovení GDPR nebo jeho částí.
NahoruOsobní údaje
Osobní údaje GDPR definuje jako „veškeré informace o identifikované nebo identifikovatelné fyzické osobě”. Identifikovatelnou osobou se pak rozumí „fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby”.
Z uvedeného je zřejmé, že osobním údajem může být v podstatě jakýkoliv údaj, který je sám o sobě nebo ve spojení s jiným údajem schopen identifikovat konkrétní fyzickou osobu, tedy v podstatě každý údaj nějakým způsobem související s konkrétní fyzickou osobou. Je rovněž zřejmé, že oproti dosavadní právní úpravě obsažené v zákoně o ochraně osobních údajů nebyl tento stěžejní pojem v podstatě nijak změněn, tedy v tomto směru GDPR žádnou změnu nepřineslo.
NahoruPseudonymní osobní údaje
GDPR rozeznává tzv. pseudonymní osobní údaje, což jsou takové údaje, které jsou zpracovány takovým způsobem, že bez použití jiných dodatečných informací uchovaných odděleně a v určitém zabezpečeném prostředí není možné identifikovat konkrétní fyzickou osobu. Pseudonymním osobním údajem je například nahrazení jména a příjmení fyzické osoby určitým číselným nebo písmenným kódem, přičemž zpravidla se bude jednat o nějaké číslo, např. klienta, žáka či pacienta. I přes to, že samotný pseudonymní osobní údaj, např. číselný kód bez použití dodatečných informací, zejména jmenného seznamu klientů s příslušnými číselnými kódy, není způsobilý identifikovat konkrétní fyzickou osobu, pseudonymní osobní údaje plně podléhají režimu GDPR. Na rozdíl od těch anonymních, na které GDPR nedopadá.
V oblasti školství budou nejčastějšími osobními údaji zpravidla jméno, příjmení, datum narození, bydliště, ale rovněž se může jednat o fotografii, videozáznam, informaci o zdravotním stavu žáka (nemoci, alergie, intolerance na určité potraviny apod.), případně emailovou adresu či IP adresu apod. Pro úplnost již na tomto místě upozorňujeme, že osobní údaje se nemusejí týkat pouze žáků, ale samozřejmě i učitelského sboru nebo rodičů a příbuzných žáků či třetích osob, které žáky například vyzvedávají z družiny. Rovněž o těchto osobách totiž školská zařízení shromažďují informace mající charakter osobních údajů, a proto je nutné GDPR aplikovat i ve vztahu k údajům týkajícím se těchto osob.
NahoruZvláštní osobní údaje
Zvláštními osobními údaji GDPR rozumí osobní údaje týkající se rasového či etnického…
