Hlavní navigace

Víte, co jsou a nejsou osobní údaje? Otestujte své znalosti

Zdeněk Vesecký

Jednoznačně rozpoznat osobní údaje není vůbec jednoduché. Zřejmé to nemusí být ani u těch, které bychom za osobní bez přemýšlení označili.

Doba čtení: 7 minut

S blížícím se termínem účinnosti evropského nařízení o ochraně osobních údajů a přípravami na jeho implementaci do firemních struktur se ukazuje, že ne každému je jasné, co osobní údaj je a co není.

Definici termínu „osobní údaj“ obsahuje jak GDPR, tak český zákon o ochraně osobních údajů. Přesto jsou situace, kdy se dá o tom, co je a co ještě není osobní údaj, spekulovat. Upozornila na to advokátka advokátní kanceláře eLegal Petra Dolejšová, která vystoupila na semináři k GDPR pořádaném TUESDAY Business Network. Ukázala to na několika příkladech a zdůvodnila, kdy a proč je možné něco definovat jako osobní údaj a kdy a za jakých podmínek ne. Berte tento článek i jako malý test vaší právní zdatnosti a před přečtením komentáře si zkuste zdůvodnit, kdy je jaký údaj osobním údajem či nikoli. Nejprve ale trochu teorie.

Pro účely nařízení GDPR se osobními údaji rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je taková fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Podle zákona o ochraně osobních údajů jsou pak za osobní údaje považovány jakékoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze tento subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

K tématu GDPR dále čtěte: Soukromí zaměstnanců je nedotknutelné. Musíte ho zachovávat i ve firmě

Mezi nejčastější osobní údaje řadíme následující: jméno, adresa trvalého bydliště, doručovací adresa, pohlaví, věk, datum a místo narození, rodné číslo, osobní stav, zdravotní znevýhodnění, informace o dosaženém vzdělání, informace o příjmech, fotografický, video a audio záznam, e-mailová adresa, telefonní číslo, IP adresa. A samozřejmě také identifikační údaje vydané státem, jako jsou identifikační číslo, DIČ, číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu.

Definice se ale nedají aplikovat vždy a na všechny. To, co u jedné fyzické osoby osobním údajem je, protože je podle toho jasně identifikovatelná, ještě automaticky nemusí být osobním údajem pro další fyzickou osobu. Vždy je nutné rozhodovat podle toho, jestli je možné na základě dostupných údajů a zákonnou formou konkrétní osobu bezpečně určit. Pokud jde o možnost identifikace osoby, je nutné počítat se všemi formami. Nejen těmi, kterými disponujete vy sami, ale i soudy, policie nebo třeba poskytovatelé internetového připojení, upozorňuje advokátka Petra Dolejšová. Sama svým klientům radí, aby za osobní údaj považovali všechny informace, podle kterých by byla FBI schopna určit konkrétní osobu.

Dále čtěte: Jak se postavit k (ne)povinnosti vedení záznamů o činnostech zpracování?

Jméno

Typickým příkladem situace, kdy informace může a zároveň nemusí být osobním údajem, je uvedení jména. Údaj „Jiří Novák“ ještě sám o sobě osobním údajem není. Uvedené křestní jméno a příjmení jsou totiž v Česku těmi vůbec nejčastěji používanými. Mužů se jménem Jiří u nás žije téměř 30 000 a nositelů příjmení Novák ještě o 4000 víc. Není tedy možné určit, o kterého konkrétního Jiřího Nováka se jedná. K tomu, aby to bylo možné zjistit, by bylo potřeba doplnit ještě další údaje, případně jeden údaj. Pokud jméno Jiří nahradíme Pavlem a doplníme informaci, že dotyčný se živí zpěvem, už se o osobní údaj jedná, protože zpěváků Pavlů Nováků je málo, možná existuje jediný. Pozor tedy na spojení jména s dalším identifikátorem. Pak už se o osobní údaj jednat bude. A neobvyklé jméno, například herečky Carmen Mayerové nebo zpěvačky Anny K., vlastním jménem Luciana Krecarová, je osobním údajem automaticky.

Fotografie bez uvedení jména

Pokud zveřejníte něčí fotografii, musíte zároveň počítat s tím, že někde ve světě se bude vyskytovat někdo, kdo dotyčného zná. Taková fotka je tedy osobním údajem a je potřeba mít souhlas zachyceného člověka s jejím zpracováním. Nezáleží na tom, jestli ho vaše okolí, s nímž fotku sdílíte, zná nebo ne. Výjimku z tohoto mají například novináři nebo umělci, kteří mohou na svou tvorbu a výkon povolání uplatnit licenční výjimky. Pokud ale chcete zveřejnit fotografii pro komerční účely v rámci svého podnikání, musíte od osob na fotografii získat souhlas, říká advokátka Petra Dolejšová. Fotka se dá bez souhlasu použít jen v případě, že se na ní zachycení lidé nebudou dát identifikovat.

Telefonní číslo

Telefonní číslo je jedním z nejcitlivějších osobních údajů vůbec. Spojením tohoto čísla s křestním jménem se totiž dá v dnešním online světě dostat prakticky ke všem informacím o dotyčném člověku. Petra Dolejšová to dokládá na své osobní zkušenosti, kdy se souhlasem dotyčné osoby vložila křestní jméno a číslo telefonu do internetového vyhledávače: Google mi okamžitě našel starý inzerát, v němž dotyčný člověk s odpovídajícím křestním jménem a telefonním kontaktem nabízel k prodeji uhlí. U inzerátu bylo uvedeno i příjmení. Tyto tři údaje pak stačilo zadat na sociální síti a za chvíli jsem věděla, kolik dotyčnému je, kde žije, čím se živí, jaké jsou jeho zájmy, jaký je jeho partnerský život, kde byl na dovolené a tak dále.

Číslo mobilního telefonu určité osoby, jakkoli může být používáno jen dočasně a zároveň nijak nespecifikuje její fyzickou, psychickou, ekonomickou, kulturní nebo sociální identitu, musí být považováno za osobní údaj. Podle Nejvyššího správního soudu je totiž subjekt osobních údajů jeho prostřednictvím dosažitelný a jistým způsobem i určitelný, a to případně i bez znalosti jeho jména a dalších údajů, které už vazbu na jeho fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu mají.

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Bude se vám hodit vědět: Chybějící zpracovatelské smlouvy. Dlouhodobý prohřešek firem má napravit GDPR

E-mailová adresa

Složité je určení u e-mailových adres a právní názory se v závěrech, zda se jedná o osobní údaje či nikoli, rozcházejí. Adresa jana.svobodova@seznam.cz ještě sama o sobě osobním údajem není. Křestní jméno Jana je totiž v Česku mezi ženami tím nejběžnějším a nositelek příjmení Svobodová jsou také desítky tisíc. Není tak možné určit konkrétní osobu a o osobní údaj by se jednat nemělo. Pokud už ale dotyčná Jana Svobodová ze svého e-mailu komunikovala, dá se tato historie dohledat a na základě toho ji pak určit. V tom případě by se o osobní údaj jednat mohlo, protože se pojí ke konkrétní fyzické osobě.

Osobním údajem je i e-mail ve tvaru jméno.příjmení@firemní doména.cz, protože se pojí ke konkrétnímu člověku. Pozor na to, že za jistých situací může být za osobní údaj považována i tak obecná adresa, jakou je info@gmail.com. Podle Úřadu pro ochranu osobních údajů se tak může stát v momentě, kdy z této adresy někdo prováděl komunikaci a podepsal se svým jménem.

EBF18_tip_v_clanku_obecny

IP adresa

IP adresa je osobním údajem, což mimo jiné potvrdil i Evropský soudní dvůr. Ten konstatoval, že IP adresy se mohou stát osobními údaji ve spojení s dalšími informacemi. Zejména statické IP adresy představují neměnný údaj a umožňují trvalou identifikaci zařízení, z něhož byla uskutečněna komunikace mezi uživatelem zařízení a poskytovatelem obsahu. Sporné je to u dynamických IP adres. Taková adresa je uživateli přidělována na základě komunikace jeho zařízení s poskytovatelem připojení na takzvanou dobu zapůjčení. Následně je takto přidělená dynamická IP adresa sdělena provozovateli dané internetové stránky, který komunikuje zprostředkovaně přes poskytovatele připojení se zařízením uživatele. Samotná dynamická IP adresa, oproštěná od dalších údajů, podle evropských soudců v zásadě neodhaluje totožnost fyzické osoby, která je majitelem zařízení, z něhož byla internetová stránka navštívena, nebo totožnost jiné osoby, která by mohla počítač používat.

Číslo bankovního účtu a IČO

V tomto případě musíme rozlišovat, zda jde o číslo účtu soukromé nebo firemní. V prvním případě se o osobní údaj jedná, v druhém už ne. Nezapomínejte na to, že osobním údajem ale číslo účtu není jen v případě firem, tedy právnických osob. V okamžiku, kdy se bude jednat o číslo účtu patřící OSVČ, už se o osobní údaj jedná, protože se váže ke konkrétní fyzické osobě, připomíná advokátka eLegal Petra Dolejšová. Stejné je to v případě, pokud jde o IČO. U fyzické osoby se o osobní údaj jedná, u právnické nikoli.