Osobný údaj

Nová definícia nariadenia hovorí o tom, že za osobný údaj považujeme:

akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby

Samotná definícia je zámerne široká,  a to z toho dôvodu, že nevieme presne vymenovať všetky súbory údajov, ktoré je potrebné za každých okolností považovať za osobné údaje, a teda ich aj primerane chrániť.

V definícii nachádzame dva dôležité pojmy, ktorým je potrebné dobre porozumieť:

  • identifikovaná
  • a identifikovateľná.

Pozrime sa na ne bližšie.

Kedy je jednotlivec identifikovaný?

Jednotlivca vieme identifikovať vtedy, keď ho vieme označiť – odlíšiť od ostatných, na základe údajov, ktoré máme o ňom v organizácii k dispozícii.

Príklad:

Spoločnosť s ručením obmedzeným spracúva o svojich zákazníkoch tieto údaje: titul, meno, priezvisko, adresu a dátum narodenia. Túto skupinu údajov považujeme za osobné údaje, keďže podľa nich- na základe titulu, mena, priezviska, dátumu narodenia a adresy, ktorú máme k dispozícii, vieme jednotlivca identifikovať.

Nie vždy je posúdenie skupiny údajov, ktoré máme k dispozícii, jednoduché. To, či súbor údajov nakoniec budeme nazývať  osobným údajom, a teda, či povedú k identifikácii jednotlivca alebo nie, vždy hodnotíme individuálne, pričom dôležitými faktormi sú aj:

  • kvalita údajov, ktoré máme k dispozícii
  • a veľkosť geografického priestoru,  v ktorom chceme fyzickú osobu (jednotlivca) identifikovať.

Pokiaľ ide o veľkosť geografického priestoru, tu platí zásada, že čím menší geografický priestor, tým je väčšia pravdepodobnosť, že súbor údajov, ktorý máme k dispozícii bude osobných údajom.

Príklad:

V malej firme mnohokrát stačí k jednoznačnej identifikácii jednotlivca len jeho priezvisko a meno. Tieto dva údaje preto považujeme za osobné údaje. Ak by sme však veľkosť geografického priestoru zväčšili napríklad na územie mesta, potom meno a priezvisko pravdepodobne nebude postačovať  k tomu, aby sme jednotlivca identifikovali. Je totiž možné, že by sme v meste  našli viac nositeľov rovnakého mena a priezviska. Preto by sme potrebovali ďalší údaj k tomu, aby sme konkrétneho jednotlivca identifikovali. Napríklad jeho dátum narodenia.

Kedy je jednotlivec identifikovateľný?

Jednotlivca považujeme za identifikovateľného vtedy, keď existuje istá priemerná pravdepodobnosť, že niekto (ľubovoľná osoba) s využitím všetkých prostriedkov (napríklad pomocou vyhľadávača v sieti internet), dokáže na základe údajov jednotlivca identifikovať. To znamená, že neuvažujeme len o údajoch, ktoré máme v organizácii k dispozícii, ale zvažujeme aj možnosť, že ktokoľvek iný dokáže k súboru priradiť ďalšie údaje, ktoré by už boli postačujúce k tomu, aby sme jednotlivca určili. Pod „ktokoľvek iný“ si môžeme predstaviť napríklad orgány činné v trestnom konaní a súdy.

Príklad:

Malá rodinná firma prevádzkuje penzión. Pre zasielanie aktuálnych informácií klientom (o zľavách, novinkách, akciách) spracúva ich e-mailové adresy. Žiadne iné údaje z tohto dôvodu nepoužíva. To znamená, že ani meno, ani priezvisko. Je e-mailová adresa považovaná za osobný údaj?

Všeobecná e-mailová adresa, napríklad v podobe prezývky a “gmail.com“ obvykle nie je považovaná za osobný údaj. Skutočne, len pomocou e-mailovej adresy by sme v praxi s veľkými  ťažkosťami hľadali jej majiteľa. V teoretickej rovine však musíme rátať aj s možnosťou, že existuje pravdepodobnosť, že niekto dokáže aj na základe takejto „ničnehovoriacej“ e-mailovej adresy jednotlivca identifikovať, a to postupným priraďovaním ďalších údajov. Napríklad tak, že pomocou internetového vyhľadávača pripojí k e-mailovej adrese telefónne číslo a meno (majiteľ e-mailovej adresy totiž pred časom inzeroval ohľadom predaja notebooku a v rámci kontaktných údajov uviedol okrem e-mailu aj svoje telefónne číslo a krstné meno), potom priezvisko, adresu…

Taktiež je možné, že klient penziónu poskytne pracovnú e-mailovú adresu, ktorá môže pozostávať z jeho mena, priezviska a označenia organizácie, v ktorej pracuje (napríklad ako meno.priezvisko“zav“zamestnavatel.sk). Geografický priestor sa v tomto prípade zmenšil na veľkosť organizácie (zamestnávateľa) a opäť je pravdepodobné, že na základe mena a priezviska v tejto organizácii dokážeme jednotlivca identifikovať.

Odporúčanie na záver

Keď budete vo firme posudzovať, či súbor údajov je alebo nie je osobným údajom, uvažujte nielen s údajmi a možnosťami, ktoré máte vy sami momentálne k dispozícii. Vždy rátajte aj s možnosťami niekoho iného. Z tohto dôvodu bola definícia osobného údaju konkretizovaná napríklad vo vzťahu k lokalizačným údajom, online identifikátorom a pod.  Za online identifikátor považujeme napríklad cookies a IP adresu. Preverte si preto, či vaša internetová stránka pracuje s cookies a či je návštevník stránok o cookies správne informovaný.

2018-12-02T19:31:28+00:00