SK

Čo je osobný údaj podľa GDPR?

 

Jedným z dôvodov zavedenia GDPR bolo presnejšie definovať to, čo sa dá klasifikovať ako údaj, ktorým je možné identifikovať konkrétnu osobu. Nové Nariadenie GDPR mení definíciu osobných údajov tak, aby odrážali zmeny technológií a spôsob, akým organizácie či firmy zbierajú a uchovávajú informácie. Čo presne znamená pojem osobný údaj a ako sa jeho definícia zmení po nadobudnutí účinnosti GDPR od 25. 5. 2018?

Osobný údaj podľa Zákona č. 122/2013 Z. z. o ochrane osobných údajov

Podľa § 4 ods. 1 aktuálne platného slovenského zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov osobnými údajmi sú „údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu“.

Bežne spracovanými osobnými údajmi sú napríklad:

  • titul, meno, priezvisko,

  • adresa trvalého alebo prechodného pobytu,

  • dátum narodenia,

  • e-mail, telefónne číslo.

 

Okrem toho poznáme takzvanú osobitnú kategóriu osobných údajov, ktorých spracovanie je povolené iba v zákonom stanovených výnimkách. Ide najmä o údaje o rase, náboženstve, politickom príslušenstve, údaje týkajúce sa zdravia alebo pohlavného života osôb. Za osobitnú kategóriu v súčasnosti platný Zákon o ochrane osobných údajov považuje aj fotografiu alebo videozáznam.

 

Osobný údaj podľa GDPR

GDPR zachováva rovnako širokú definíciu osobných údajov, dokonca ju ešte spresňuje a rozširuje.

Podľa Čl. 4 ods. 1 nariadenia európskeho parlamentu a rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „GDPR“): „osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby; identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby“.

 

Za osobné údaje už budú podľa GDPR považované aj:

  • Online identifikátory osôb (napríklad IP adresa, cookies, identifikátory mobilných zariadení) – ak sa napr. IP adresa dá použiť na zistenie, kde sa jednotlivec nachádza, ide o osobné údaje.

  • Elektronické identifikátory (napríklad RFID technológie).

  • Lokalizačné údaje – klasifikujú sa ako osobné, pretože sa dajú použiť na identifikáciu toho, kde jednotlivec žije, kde pracuje.

 

Nariadenie považuje za spracovanie osobných údajov aj sledovanie správania fyzických osôb na internete s využitím technológií, ktoré vytvárajú profily týchto osôb za účelom prijatia rozhodnutia týkajúceho sa týchto osôb alebo analýzy či predvídania ich osobných preferencií, správania a postojov. Profilovanie je v súčasnosti bežne používaný marketingový nástroj pri maloobchodnom predaji cez internet, GDPR stanovuje prevádzkovateľom podmienky, pri ktorých môžu tento nástroj využívať.

 

Osobitné kategórie osobných údajov (tzv. citlivé údaje) podľa GDPR

 

Ako podkategória osobných údajov sa citlivé údaje vzťahujú na konkrétnejší typ osobných údajov, s ktorými by sa malo zaobchádzať s dostatočnou ochranou a starostlivosťou.

 

Podľa Čl. 9 ods. 1 GDPR sa zakazuje:

  • spracovanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách,

  • spracovanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby,

  • údajov týkajúcich sa zdravia alebo

  • údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

 

Genetické údaje podľa GDPR sú osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby. Genetické údaje sa používajú na účely lekárskej a výskumnej činnosti.

 

Biometrické údaje GDPR charakterizuje ako osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje. Typickým biometrickým údajom je napríklad fotografia tváre, rozpoznanie sietnice či odtlačok prsta.

 

Upozornenie!

Spracovanie fotografie alebo grafického zobrazenia podpisu bez získavania biometrických údajov osobitnými technickými prostriedkami sa nebude považovať za spracovanie osobitných kategórií osobných údajov.

 

Rodné číslo podľa GDPR

 

V článku č. 87 Nariadenia je ustanovené spracovanie národného identifikačného čísla. Členské štáty môžu stanoviť podrobnejšie osobitné podmienky spracovania národného identifikačného čísla. Predpokladáme, že jeho používanie bude upravené v pripravovanom novom slovenskom Zákone o ochrane osobných údajov. Je vysoko pravdepodobné, že zverejňovanie rodného čísla bude aj v novom Zákone o ochrane osobných údajov zakázané, tak ako to je aj teraz.

 

Záznamy z kamerových systémov podľa GDPR

 

Nariadenie nehovorí takmer nič o spracovaní videozáznamu z kamier. Videozáznam a zvukové záznamy sa považujú za osobné údaje. Očakáva sa, že podmienky pre ich spracovanie budú spresnené novým slovenským Zákonom o ochrane osobných údajov.

 

Kedy sa podľa GDPR neuplatňuje zákaz spracúvania osobitných kategórií údajov?

Zákaz spracúvania osobitných kategórií osobných údajov sa neuplatňuje napríklad, ak:

  • dotknutá osoba vyjadrila výslovný súhlas so spracovaním týchto osobných údajov

  • spracovanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany,

  • spracovanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby

 

Aké osobné údaje GDPR vylučuje?

 

Z pôsobnosti GDPR sú vylúčené:

  • anonymizované údaje – ide o také údaje, ktoré ani nepriamo nepomáhajú identifikovať určitú osobu a nemožno ich teda s danou osobou spojiť.

  • údaje zomretých osôb - zákon č. 122/2013 Z. z. považuje za osobný údaj aj údaje zomretých osôb. Toto sa príchodom GDPR zmení a spracúvanie takýchto údajov už nebude považované za spracúvanie osobných údajov.

 

TIP PRE VÁS:

Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!

GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút.  Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!

Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!

My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.

Objednajte si u nás nezáväznú Rozdielovú analýzu

Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.