Mnoho subjektů, jako jsou firmy, živnostníci, spolky nebo jiné organizace, má dojem, že se na ně pravidla ochrany osobních údajů nevztahují, protože s takovými údaji nepracují. Nicméně stačí, aby měli databázi potenciálních klientů, zákazníků, zaměstnanců, dárců nebo jiných podporovatelů, ať už se jedná jen o jméno a e-mailovou adresu nebo telefonní číslo, a již se jedná o zpracování osobních údajů.

Tyto subjekty jsou potom označovány jako „správci osobních údajů“. Od května 2018 budou platit nová, přísnější pravidla pro zpracování osobních údajů pro tyto správce, dle tzv. GDPR – Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Je proto důležité znát, co všechno spadá do pojmu osobní údaje.

Právní úprava, která definuje osobní údaje

Osobní údaje jsou především chráněny:

• Zákonem č. 101/2000 Sb., o ochraně osobních údajů
• Směrnicí Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „směrnice 95/46/ES“), která byla implementována do zmíněného zákona.
• Od roku nabude účinnosti další předpis evropského práva, a to GDPR. Nařízení GDPR rozšiřuje mírně okruh údajů, které se považují za osobní údaje.

Zákonná definice osobních údajů

• Jméno
• Adresa
• Trvalé bydliště
• Doručovací adresa
• Pohlaví
• Věk
• Datum narození
• Místo narození
• Rodné číslo
• Osobní stav
• Zdravotní znevýhodnění/postižení
• Fotografický záznam
• Video záznam
• Audio záznam
• E-mailová adresa (zejména pokud obsahuje jméno a firmu)
• Telefonní číslo – soukromé i pracovní
• IP adresa
• Různé identifikační údaje vydané státem: identifikační číslo, DIČ, číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu a další…
• Vzdělání
• Příjem ze zaměstnání (mzda, plat), příjem z důchodu
• Kulturní profil
• Jiné – jako například i osobní údaje dětí nebo manžela/manželky, partnera/partnerky – jak obecné, tak i zvláštní osobní údaje.

Zvláštní osobní údaje – jaké informace a údaje sem spadají?

• Údaje o rasovém či etnickém původu (národnost), NE státní občanství
• Politické názory, NE členství v politické straně nebo hnutí, NE členství v komunistické straně před rokem 1989 (dle ÚS)
• Náboženské vyznání
• Filozofické vyznání
• Členství v odborech
• Zdravotní stav – údaje o tělesném nebo duševním zdraví, o poskytnutí zdravotních služeb
• Sexuální orientace
• Trestní delikty
• Pravomocná odsouzení

Genetické údaje *

• DNA, RNA
• Krevní skupina
• Rh faktor krve
• Jiné

Biometrické údaje *

• Snímek obličeje
• Otisk prstu
• Snímek oční duhovky
• Snímek sítnice
• Podpis
• Hlas (zabarvení)
• Jiné

* Takto označené údaje jsou povinně zavedeny teprve v dosud neúčinném GDPR, avšak naše národní právní úprava v zákoně o ochraně osobních údajů již v rámci definice osobních údajů pracuje i s těmito prvky.

S ohledem na právní definici pojmu osobní údaje není ani tento výčet úplný, ale obsahuje údaje nejčastěji zpracovávané podnikateli.

Údaje nepožívající ochranu při zpracování

Údaje nepožívající ochranu při zpracování mohou zahrnovat:

• Právnické osoby, orgány veřejné moci a jiné instituce, které jsou vyloučeny z ochrany osobních údajů. Nicméně, ochrana se již vztahuje na jejich zaměstnance.

Anonymizované údaje nepodléhají ochraně podle uvedených právních předpisů, zatímco pseudonymizované údaje ano. Zde je rozdíl mezi nimi:

• Anonymizované údaje – u anonymizovaných údajů nelze ani nepřímo pomocí přidělení dalších identifikátorů určit subjekt údajů. Například, správce údajů shromažďuje údaje obsahující jméno, příjmení, věk a nejvyšší dosažené vzdělání. Poté úplně vymaže jméno a příjmení z těchto údajů a dále zpracovává pouze věk a vzdělání pro statistické účely. Zbývající údaje o věku a vzdělání jsou natolik nepřesné, že není možné určit, o kterou osobu se jedná, a proto nejsou chráněny uvedenými předpisy.
• Pseudonymizované údaje – u pseudonymizovaných údajů je možné s použitím dodatečných informací určit, o kterou osobu se údaje jednají. Například, správce údajů shromažďuje údaje obsahující jméno, příjmení, věk a nejvyšší dosažené vzdělání. Jméno a příjmení jsou nahrazeny číselným kódem a zvlášť uchovávány společně soubor s tímto kódem. Pokud někdo má přístup k oběma souborům, je schopen identifikovat, o kterou osobu se informace o věku a vzdělání jednají. Proto jsou tyto údaje chráněny uvedenými předpisy. Existence dvou oddělených souborů informací je pro pseudonymizaci klíčová.

Ochraně dle zákona nepodléhají osobní údaje zemřelých osob. Zároveň není nutné se zabývat zpracováním údajů získaných v rámci činnosti, která je čistě osobní a nemá obchodní nebo institucionální charakter.

Pokud podnikatel pracuje s některými z výše uvedených údajů, je důležité, aby si uvědomoval následující informace: Za jakým účelem zpracovává tyto údaje, zda je pro toto zpracování vyžadován souhlas a jak jsou údaje zabezpečeny.

Definice osobních údajů dle zákona o ochraně osobních údajů

• Osobní údaj: Jakákoli informace týkající se konkrétního subjektu údajů, který je identifikovatelný nebo identifikovatelný přímo nebo nepřímo, zejména na základě čísla, kódu nebo jednoho nebo více prvků specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.
• Citlivý osobní údaj: Citlivý osobní údaj je osobní údaj týkající se národnostního, rasového nebo etnického původu, politických názorů, členství v odborových organizacích, náboženství a filozofického přesvědčení, odsouzení za trestný čin, zdravotního stavu a sexuálního života subjektu údajů, stejně jako genetické údaje subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů.

Definice osobních údajů dle směrnice 95/46/ES

• Osobní údaj: Všechny informace o identifikované nebo identifikovatelné osobě (subjektu údajů); identifikovatelnou osobou se rozumí osoba, kterou lze přímo nebo nepřímo identifikovat, zejména na základě identifikačního čísla nebo jednoho nebo více zvláštních prvků týkajících se její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity.

Definice osobních údajů dle GDPR

• Osobní údaj: Osobní údaj představuje jakákoli informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo nebo nepřímo identifikovat, zejména prostřednictvím určitého identifikátoru, jako je jméno, identifikační číslo, lokační údaje, síťový identifikátor, nebo na základě jednoho nebo více zvláštních prvků týkajících se fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.