Osobní údaje: ochrana, zpracování a práva GDPR

Co jsou osobní údaje

Osobní údaje představují jakoukoli informaci, která se vztahuje k identifikované nebo identifikovatelné fyzické osobě. Tento koncept je klíčový pro nařízení GDPR, tedy Obecné nařízení o ochraně osobních údajů, které v Evropské unii platí od května 2018. Podle článku 4 GDPR je osobním údajem veškerá informace o subjektu údajů, tedy o člověku, jehož totožnost lze přímo či nepřímo určit. Do této kategorie spadá například jméno, identifikační číslo, polohové údaje, online identifikátor nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této osoby. V praxi to znamená, že osobní údaje zahrnují mnohem více než jen základní kontaktní informace. Každá stopa, kterou po sobě člověk zanechá v digitálním světě, se může stát osobním údajem, pokud ji lze přiřadit ke konkrétnímu jedinci. Ochrana těchto dat je proto nesmírně důležitá a její porušení může mít pro jednotlivce závažné důsledky, jako je krádež identity, zneužití financí nebo narušení soukromí.

Příkladem běžných osobních údajů jsou jméno a příjmení, adresa bydliště, e-mailová adresa, telefonní číslo, datum narození, rodné číslo, číslo občanského průkazu, pasu nebo řidičského průkazu. Dále sem patří IP adresa zařízení, cookies, které sledují chování na webu, GPS poloha mobilního telefonu, historie nákupů, bankovní výpisy, daňové přiznání, zdravotní záznamy, fotografie na sociálních sítích nebo hlasové záznamy. Důležité je, že i zdánlivě anonymní informace se mohou stát osobními údaji, pokud je lze v kombinaci s jinými daty přiřadit ke konkrétní osobě. GDPR chrání všechny tyto údaje bez ohledu na to, zda jsou zpracovávány automatizovaně, například v počítačovém systému, nebo manuálně, pokud tvoří součást kartotéky nebo jiného strukturovaného souboru. Každý, kdo s takovými daty pracuje, musí dodržovat přísná pravidla a zajistit, aby nedošlo k jejich zneužití.

Osobní údaje: ochrana, zpracování a práva GDPR - 1

Kdo je identifikovatelná osoba

Identifikovatelnou fyzickou osobou je někdo, kdo může být přímo či nepřímo určen zejména pomocí identifikátoru, jako je jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo pomocí jednoho či více faktorů specifických pro fyzickou, fyziologickou, genetickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Tato definice z GDPR je velmi široká a zahrnuje prakticky každého, jehož data jsou nějakým způsobem zpracovávána. Pokud například webová stránka ukládá cookies, které sledují chování návštěvníka, a tento návštěvník má u sebe zapnuté zařízení s unikátní IP adresou, stává se identifikovatelným. Stejně tak je identifikovatelný člověk, jehož hlas je nahrán na záznamníku, nebo jehož obličej je zachycen na bezpečnostní kameře. Cílem GDPR je chránit všechny tyto osoby bez ohledu na to, zda o sobě samy aktivně poskytly informace.

Následující seznam ukazuje nejčastější identifikátory, které činí osobu identifikovatelnou:

Osobní údaje: ochrana, zpracování a práva GDPR - 2
  • Jméno a příjmení v kombinaci s dalšími údaji.
  • Rodné číslo, číslo pasu nebo občanského průkazu.
  • Telefonní číslo a e-mailová adresa.
  • IP adresa, MAC adresa zařízení nebo cookies.
  • GPS poloha z mobilního telefonu nebo navigace.
  • Biometrické údaje, jako otisk prstu, sken sítnice nebo hlasový otisk.
  • Genetické informace z testů DNA.
  • Faktory ekonomické identity, například historie plateb nebo úvěrový rating.
  • Faktory kulturní identity, například preference umění nebo členství v kulturních spolcích.
  • Faktory sociální identity, jako členství v politické straně nebo odborové organizaci.

Každý z těchto identifikátorů může sám o sobě nebo v kombinaci s dalšími daty vést k určení konkrétního člověka. Proto je při zpracování osobních údajů nutné pečlivě zvažovat, jaká data jsou shromažďována a jak dlouho jsou uchovávána. Čím více identifikátorů je k dispozici, tím snazší je propojit data s konkrétní osobou a tím vyšší je riziko zneužití.

Citlivé osobní údaje

Citlivé osobní údaje představují zvláštní kategorii dat, která vyžaduje ještě přísnější ochranu. Patří sem informace o rasovém či etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení, členství v odborech, zdravotním stavu, sexuálním životě nebo sexuální orientaci, genetické údaje a biometrické údaje zpracovávané za účelem jedinečné identifikace osoby. Zpracování těchto dat je obecně zakázáno, pokud neexistuje některý z výjimečných důvodů uvedených v GDPR, jako je výslovný souhlas subjektu, nezbytnost pro pracovněprávní účely, ochrana životně důležitých zájmů nebo zpracování v oblasti veřejného zdraví. Tabulka níže přehledně shrnuje hlavní kategorie citlivých údajů a příklady k nim.

Osobní údaje: ochrana, zpracování a práva GDPR - 3
Kategorie citlivých údajů Příklady
Rasový nebo etnický původ Informace o příslušnosti k etnické skupině, barvě pleti, původu
Politické názory Členství v politické straně, účast na demonstracích, volební preference
Náboženské vyznání Víra v určité náboženství, účast na bohoslužbách, nošení náboženských symbolů
Filozofické přesvědčení Světonázor, etické principy, příslušnost k humanistickým organizacím
Členství v odborech Registrace v odborové organizaci, účast na stávkách
Zdravotní stav Diagnózy, léčebné záznamy, výsledky testů, informace o alergiích
Sexuální život nebo orientace Údaje o sexuální orientaci, partnerském životě, genderové identitě
Genetické údaje DNA testy, genetické predispozice k nemocem, rodokmeny
Biometrické údaje Otisk prstu, sken sítnice, rozpoznávání obličeje, hlasový otisk

Zpracování citlivých údajů s sebou nese vysoké riziko diskriminace, stigmatizace nebo jiného poškození subjektu. Proto musí mít každý, kdo taková data zpracovává, jasný právní důvod a musí zavést mimořádná bezpečnostní opatření. Subjekty údajů mají právo být informovány o tom, jak jsou jejich citlivé údaje používány, a mohou požadovat jejich výmaz, pokud neexistuje zákonný důvod pro jejich uchování.

Zpracování osobních údajů

Zpracováním osobních údajů se rozumí jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů, a to automatizovanými nebo neautomatizovanými prostředky. Patří sem shromažďování, zaznamenávání, uspořádání, strukturování, ukládání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Tato definice z článku 4 GDPR je velmi široká a pokrývá prakticky všechny činnosti, které mohou být s daty prováděny. Každý správce, tedy subjekt, který určuje účely a prostředky zpracování, musí mít pro svou činnost platný právní základ. Těmito základy mohou být souhlas subjektu údajů, plnění smlouvy, plnění právní povinnosti, ochrana životně důležitých zájmů, splnění úkolu prováděného ve veřejném zájmu nebo oprávněný zájem správce.

Osobní údaje: ochrana, zpracování a práva GDPR - 4

Prakticky to znamená, že pokud firma shromažďuje e-maily zákazníků pro zasílání newsletteru, musí mít jejich souhlas. Pokud lékař zpracovává zdravotní záznamy pacienta, opírá se o právní povinnost nebo ochranu životních zájmů. Pokud obec zpracovává údaje občanů pro účely sčítání lidu, jedná se o úkol ve veřejném zájmu. Každé zpracování musí být transparentní, účelově omezené, minimalizované, přesné, časově omezené a bezpečné. Správce je odpovědný za to, že prokáže soulad s GDPR, tedy že je schopen doložit, jakým způsobem data zpracovává a jaká opatření přijal k jejich ochraně.

Práva subjektů údajů podle GDPR

GDPR přiznává subjektům údajů řadu práv, která jim umožňují mít kontrolu nad svými osobními údaji. Mezi nejdůležitější práva patří právo na informace, právo na přístup, právo na opravu, právo na výmaz, právo na omezení zpracování, právo na přenositelnost údajů, právo vznést námitku a právo nebýt předmětem automatizovaného rozhodování. Každé z těchto práv má své specifické podmínky a výjimky, ale společným cílem je posílit postavení jednotlivce vůči správcům dat. Subjekt údajů může například požadovat, aby mu správce sdělil, jaké údaje o něm zpracovává, a to bezplatně a bez zbytečného odkladu. Může také požádat o výmaz svých dat, pokud již nejsou potřebná pro účel, pro který byla shromážděna, nebo pokud odvolá souhlas.

Osobní údaje: ochrana, zpracování a práva GDPR - 5

Právo na přenositelnost umožňuje subjektu získat svá data ve strojově čitelném formátu a předat je jinému správci, což je užitečné například při změně poskytovatele služeb. Právo vznést námitku dává subjektu možnost bránit se zpracování založenému na oprávněném zájmu správce, včetně profilování. Pokud správce neprokáže, že jeho zájem převažuje nad zájmy subjektu, musí zpracování ukončit. Automatizované rozhodování, včetně profilování, může subjekt odmítnout, pokud má takové rozhodování právní účinky nebo se ho podobně dotýká. Všechna tato práva lze uplatnit u správce, a pokud správce nevyhoví, může se subjekt obrátit na dozorový úřad, kterým je v České republice Úřad pro ochranu osobních údajů.

Kde hledat další informace

Pro podrobnější informace o ochraně osobních údajů je vhodné sledovat oficiální zdroje. Evropská unie poskytuje komplexní přehled na svém portálu GDPR.eu, kde jsou k dispozici průvodci, šablony a vysvětlení jednotlivých článků. V České republice je hlavním dozorovým orgánem Úřad pro ochranu osobních údajů, jehož webové stránky uoou.cz obsahují aktuální informace o právních předpisech, stanovisko úřadu i praktické rady pro občany a firmy. Důležité je také sledovat změny v národní legislativě, protože některé státy EU mají vlastní zákony, které GDPR doplňují. Pro firmy, které působí přeshraničně, je užitečné využít služeb evropských sítí, jako je European Data Protection Board, která vydává závazná rozhodnutí a pokyny.

Ochrana osobních údajů není jen povinností, ale také příležitostí k budování důvěry mezi zákazníky a firmami. Transparentní přístup ke zpracování dat, respektování práv subjektů a odpovědné nakládání s informacemi jsou dnes standardem, který očekává každý spotřebitel. Investice do bezpečnosti a dodržování předpisů se vyplácí nejen kvůli možným pokutám, ale především kvůli udržení dobrého jména a loajality klientů. Každý, kdo s osobními údaji pracuje, by měl znát základní principy GDPR a umět je aplikovat v praxi.

Zdroje

Seznam použitých zdrojů pro tento článek zahrnuje oficiální text nařízení GDPR dostupný na portálu Eur-Lex, informace z webu Úřadu pro ochranu osobních údajů České republiky a odborné publikace zaměřené na ochranu dat. Dalším důležitým zdrojem je portál Gov.br, konkrétně stránka ANPD, který poskytuje definice a příklady osobních údajů podle brazilské LGPD, jež jsou v mnoha ohledech podobná evropskému GDPR. Pro zájemce o hlubší studium doporučujeme navštívit web Gov.br ANPD a dále oficiální znění zákona LGPD na GDPR osobní údaje ochrana dat soukromí zpracování údajů práva uživatelů

Upozornění Tento text má pouze informativní charakter a nenahrazuje právní poradenství.
Autor

Stefano Barcellos

Přispěvatel na Visite Barbados.

« Předchozí příspěvek
Etický kodex ošetřovatelství: pravidla a zásady

Související příspěvky