Co jsou osobní údaje?

S problematikou GDPR vznikají komplikace s pochopením celého nařízení jako takového. Mnohdy nalezneme jen strohou citaci z definice nařízení a několik málo příkladů. Spolu se podíváme detailněji, co je osobními údaji myšleno. Na závěr také uvedeme seznam osobních údajů tak, jak se s nimi nejčastěji při zpracování GDPR ve firmách setkáváme.

Podle článku 4 se osobními údaji rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Pokud jde o citlivé údaje neboli zvláštní kategorie osobních údajů, je zde situace jednodušší. Článek 9 jasně definuje, že jde o údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

 

Příklady osobních údajů

Identifikační, adresní a platební údaje:

  • oslovení/pohlaví
  • akademický titul
  • jméno
  • příjmení
  • státní příslušnost
  • místo a stát narození
  • věk
  • datum narození
  • rodné číslo/popř. národní identifikátor
  • údaje o dokladech totožnosti
  • adresa trvalého nebo přechodného bydliště
  • doručovací nebo jiná kontaktní adresa
  • název firmy
  • sídlo podnikání
  • fakturační adresa
  • IČ/DIČ
  • číslo bankovního účtu
  • spojovací číslo SIPO

 

Zaměstnanecké údaje:

  • pracovní pozice
  • informace o vzdělání
  • informace o mzdě
  • informace o exekucích
  • informace o ZTP/P
  • osobní číslo
  • docházka
  • termíny dovolené
  • velikost oděvu/obuvi
  • údaje o manželce/manželovi
  • údaje o dětech

 

Elektronické a kontaktní údaje:

  • telefon
  • mobilní telefon
  • fax
  • e-mailová adresa
  • ID datové schránky
  • IP adresa
  • cookies
  • autentizační certifikáty
  • identifikátory v sociálních sítích a komunikačních platformách (Facebook, Skype apod.)
  • lokační údaje
  • přístupový kód

 

Údaje vzniklé profilováním:

  • údaje získané od subjektu údajů marketingovými průzkumy
  • údaje o využívání produktů a služeb a bonusů
  • údaje o typovém chování uživatele
  • vyhodnocení kreditního rizika
  • záznamy o spotřebitelské historii a plnění platebních povinností
  • prediktivní modely

 

Audio/video:

  • videozáznam
  • fotografie
  • záznam hlasu

 

Biometrické údaje (zvláštní kategorie o. ú.):

  • biometrický elektronický podpis
  • biometrické zpracování fotografie
  • biometrické zpracování otisku prstu
  • analýza hlasu
  • analýza osobnostních projevů

Firmy nevědí o výši pokut

S tímto zjištěním přišel server Connect.zive.cz ve svém článku „Nařízení na ochranu osobních údajů přitvrdí, pokuty se budou počítat z obratu firmy.“ Informace vycházejí z průzkumu ve 151 firmách s více jak 100 zaměstnanci v České republice a na Slovensku. Ač většina firem již o GDPR slyšela, jen 8 % firem ví, jaké sankce jim hrozí.

Jaké pokuty za porušení ochrany osobních údajů od 25. května 2018 tedy hrozí? To záleží na mnoha okolnostech. Rozhodujícími faktory jsou závažnost porušení ochrany osobních údajů, délka trvání tohoto porušení, počet osob, jejichž údaje byly dotčeny, způsobená škoda, zda o porušení úmyslné či toliko nedbalostní, ale rovněž i jaké byly podniknuty kroky k nápravě konkrétního porušení.

Zjednodušeně řečeno bude porušení pravidel „ohodnoceno“ jednou ze dvou kategorií sankcí. Tou „mírnější“ sankcí je pokuta do výše až 10 miliónů EUR, nebo – jedná-li se o podnik – až do výše 2 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, v závislosti na tom, která hodnota je vyšší. Přísnější sankcí je pak pokuta ve výši dvojnásobku zmíněných hodnot, tedy do výše až 20 miliónů EUR či 4 % z  celkového ročního obratu podniku.


Mezi prohřešky spadající pod „mírnější“ sankci patří:

  • porušení pravidel při získávání osobních údajů nezletilých osob
  • nezajištění vhodných technických a organizačních opatření k ochraně osobních údajů
  • chybějící záznamy o činnostech zpracování
  • porušení ohlašovací povinnosti (data breach)
  • chybějící posouzení vlivu na ochranu osobních údajů při využití nových technologií
  • nejmenování pověřence pro ochranu osobních údajů


Mezi závažné prohřešky sankcionované přísnější sazbou patří:

  • porušení zásad zpracování osobních údajů („zákonnost, korektnost a transparentnost“)
  • zpracování dat ve větším než nezbytném rozsahu ve vztahu k účelu
  • zpracování osobních údajů bez souhlasu subjektu
  • porušení zásad zpracování zvláštních kategorií údajů (upřesnění viz níže)
  • porušení práv subjektu údajů – právo na poskytování informací o zpracování údajů, právo na přístup k údajům, právo na opravu a výmaz, právo na omezení zpracování, právo na přenositelnost údajů, právo vznést námitku proti zpracování dat a profilování.
  • porušení pravidel pro předávání údajů do třetích zemí nebo mezinárodním organizacím.

 

Zvláštní kategorie osobních dat: osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Nařízení evropského parlamentu

General Data Protection Regulation, zkráceně GDPR je nařízením Evropské unie, které vstoupí v účinnost 25.5.2018. Hlavní myšlenkou tohoto přímo aplikovatelného nařízení je zvýšit úroveň ochrany osobních údajů a významně posílit práva občanů Evropské unie v tomto odvětví.

Nařízení GDPR podrobně definuje, co to vlastně osobní údaje jsou a jakým způsobem je s nimi možné nakládat. Subjekt údajů, tedy osoba, jejíž osobní údaje jsou shromažďovány, musí být jasně informován o tom, jaké osobní údaje jsou shromažďovány, za jakým účelem, a musí mít možnost získat komplexní přehled o identifikaci své osoby u jednotlivých entit, které s osobními údaji nakládají. Nařízení GDPR si tak klade za cíl nejen zamezit neoprávněnému nakládání s osobními údaji, ale rovněž vytyčit jasné mantinely v moderním světě elektronických dat.

Nařízení GDPR se dotkne každého, kdo na území EU zpracovává a shromažďuje osobní údaje – ať zaměstnanců a klientů, či zákazníků a dodavatelů. Dopadat bude i na webové poskytovatele služeb, či služby, které pouze analyzují chování uživatelů na webu.

Nařízení GDPR je nahradí současný zákon č. 101/2000 Sb., o ochraně osobních údajů. Česká Republika má jako jedna z mála zemí v rámci  EU zmiňovaný zákon přijatý již v současné době na poměrně dobré úrovni. O to snazší bude pro zpracovatele osobních údajů podřídit se nařízení Evropské unie – v zásadě je důležité promyslet své budoucí kroky směřující k navýšení ochrany osobních údajů a získat přehled o interních pohybech dat ve společnosti.

Mezi hlavní povinnosti, které nařízení GDPR ukládá, se řadí povinnost dostatečně informovat fyzické osoby o tom, jakým způsobem je s jejich osobními údaji nakládáno. Další povinností je například zajistit ochránit databáze s osobními údaji proti vnějším útokům, a povinnost vést záznamy o tom, kdo, kdy a jak s těmito osobními údaji nakládá.