Strašák GDPR? SERIÁL O GDPR KROK ZA KROKEM – díl I.

Evropský parlament a rada (EU) schválili dne 27.4.2016 nařízení č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“), které má nabýt účinnosti 25.5.2018. Naše advokátní kancelář se hodlá touto problematikou GDPR zvýšeně zabývat a své klienty co nejlépe připravit (spolu s jinými odvětvími, zejm. IT) na vstup tohoto nařízení v účinnost.

Úvodem je nutné konstatovat, že se toto nařízení dotýká zpracování osobních údajů tzv. SUBJEKTŮ ÚDAJŮ jak ze strany všech podnikatelů bez rozdílu způsobu (živnostníci, velké korporace atd.), tak i orgánů veřejné správy (s výjimkou zpracování údajů za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů), spolků a jiných právnických osob, společenství vlastníků atd., POKUD zpracování těchto osobních údajů souvisí buď:

  • s nabídkou zboží nebo služeb subjektům údajů (chápej jako např. fyzické osoby kupujícího zboží či příjemce služeb) bez ohledu na to, zda je to zpoplatněné či nikoli;
  • s monitorováním jejich chování, pokud k němu dochází v rámci Unie – rozuměj: je-li takové monitorování pravidelné (po delší dobu, opakující se či nepřetržité) a systematické (uspořádané, systematické, součástí strategie firmy). Podle vytvořené pracovní skupiny po ochranu osobních údajů jde o případy monitorování sice nejen v on-line prostředí, ale tam to bude zřejmě převážně dopadat. Příkladem takového pravidelného a systematického monitorování může být poskytování telekomunikačních služeb, RETARGETING k oslovení uživatelů např. po jejich návštěvě www.stránky, jakákoli reklamní sdělení učiněná na základě chování subjektu údajů atd.

Nařízení se naopak se nedotýká zpracování osobních údajů ze strany fyzických osob v průběhu výlučně osobních či domácích činností.

Co se považuje dle GDPR za osobní údaj? Dle nařízení GDPR jsou to informace o identifikované nebo identifikovatelné fyzické osobě (tzn. o shora uvedeném SUBJEKTU ÚDAJŮ). Touto osobu je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno (rozuměj: jméno a příjmení), identifikační číslo (rozuměj: rodné číslo, datum narození či jiné typy identifikací osob jako DIČ, číslo OP, číslo ŘP, pasu), lokační údaje (rozuměj: bydliště, místo pobytu, doručovací adresa atd.), síťový identifikátor (rozuměj: IP adresa, e-mailová adresa, telefon) nebo na jeden či více zvláštních prvků fyzické (rozuměj: pohlaví), fyziologické (rozuměj: věk), genetické, psychické (rozuměj: zdravotní stav, nemoci), ekonomické (rozuměj: příjem, vzdělání), kulturní (rozuměj: zájmy) nebo společenské identity této fyzické osoby.

Jak podotkl náš ÚOOÚ ve svém Desateru omylů o GDPR (https://www.uoou.cz/desatero-omylu-o-nbsp-gdpr/d-23799/p1=0)  „Právní definice osobních údajů nemůže být výčtová, protože počet druhů osobních údajů je přirozeně neuzavřený a osobní údaje vznikají neomezeně nejen jako hodnoty vztažené k novým a novým konkrétním subjektům údajů, ale také s novými technologiemi zpracování osobních údajů…“.

Pro lepší pochopení je možné vysvětlit, že např. údaj Jan Novák bez dalších údajů – viz výše – nebude osobním údajem, protože nedovede konkrétní fyzickou osobu identifikovat sám o sobě, protože takových osob je spousty a nevede zde cesta k jejímu ztotožnění. Naopak opačný případ bude jedinečná e-mailová adresa, která sama o sobě již konkrétní osobu, které patří, identifikuje nebo spojení Jana Nováka s jeho datem narození či rodným číslem. Tedy osobním údajem může být až při spojení s dalšími údaji nebo i sám o sobě (např. rodné číslo, e-mailová adresa).

Co se považuje za zpracování osobních údajů? Dle nařízení DGPR jakákoliv  operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů (rozuměj: nerozhodné či manuálně, poloautomatizovaně či automatizovaně za použití IT bez zásahu člověka), jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění, přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení, kterou provádí správce či zpracovatel údajů.

Mgr. Bc. Kamila Klvačová, advokát