Osobní údaj

Osobní údaje, známé také jako osobní informace nebo údaje umožňující zjištění totožnosti, jsou jakékoli informace týkající se identifikovatelné osoby (subjektu údajů). V USA se běžně používá zkratka PII, která pochází z amerického ekvivalentu Personally Identifiable Information (někdy též personal nebo identifying). Identifikovatelnou osobou se rozumí fyzická osoba, kterou lze přímo či nepřímo ztotožnit, zejména odkazem na určitý identifikátor (jméno, vlastnost, identifikátor uživatele) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.^[1]

Ztotožnění osoby podle jedinečného souboru osobních údajů se někdy nesprávně zaměňuje za autentizaci, což je ověření proklamované identity^[2] subjektu v informačním systému.

Příklady osobních údajů[editovat | editovat zdroj]

Jde především o:

údaje jako např. jméno a příjmení
adresa
telefonní číslo
lokační údaje (např. funkce využívající údaje o poloze v mobilním telefonu)*
e-mailová adresa ve formátu: jméno.příjmení@firma.com
pohlaví
věk a datum narození
osobní stav
adresa IP (Internetový protokol)
ID souboru cookie*
identifikátor telefonu pro inzerenty^[3]
fotografický záznam
osobním údajem však může být např. i způsob vystupování advokáta v soudním řízení^[4]^[5].

*Poznámka: *V některých případech existují zvláštní odvětvové právní předpisy, které regulují například využívání lokačních údajů nebo souborů cookie – směrnice o e-soukromí (směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 (Úř. věst. L 201, 31.7.2002, s. 37) a nařízení Evropského parlamentu a Rady (ES) č. 2006/2004 ze dne 27. října 2004 (Úř. věst. L 364, 9.12.2004, s. 1).^[6]

Co se nepovažuje za osobní údaj[editovat | editovat zdroj]

Jde predevším o:

registrační číslo společnosti
e-mailová adresa, jako je například info@firma.com
anonymizované údaje.^[7]

Obecné nařízení o ochraně osobních údajů[editovat | editovat zdroj]

Nakládání s osobními údaji může být vzhledem k právu na soukromí omezováno, přičemž v Evropské unii je ochrana osobních údajů upravena evropským nařízením GDPR (anglická zkratka General Data Protection Regulation, Obecné nařízení o ochraně osobních údajů). Jde o narizeni Evropskeho parlamentu a Rady (EU) 2016/2019 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů).^[8]

Jde o novou změnu tykající se právního rámce ochrany osobních údajů platného od 25. května 2018. Toto nařízení představuje změnu ve zpracování nejen osobních údajů, ale i údajů práv subjektů (fyzické osoby). Co se tyká české legislativy, zákon č.101/ 2000 Sb., o ochraně osobních údajů a o změně některých zákonů, resp. zákon o ochraně osobních údajů upravil jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.).^[9]

Toto nařízení je platné pro všechny státy Evropské unie (zahrnující také Island, Norsko a Lichtenštejnsko). Ke změně došlo kvůli nevyhovujícímu právnímu rámci založenému na směrnici 95/46/ES tykající se ochrany údajů fyzických osob (tento rámec přestal odpovídat nárokům současné doby). To se týká především prostředků, které jsou použity ke zpracování.^[10]

Adaptační zákon[editovat | editovat zdroj]

Adaptačním zákonem rozumíme zákon č. 110/2019 o zpracování osobních údajů. Tento zákon provádí určitá ustanovení obecného nařízení směrující k členským státům, jde především o postavení a pravomoci Úřadu pro ochranu osobních údajů. Zákon stanoví některá práva subjektů údajů, věk dítěte pro udělení souhlasu v souvislosti s nabídkou služeb informační společnosti (dovršením 15 let), rozsah povinnosti jmenovat pověřence pro ochranu osobních údajů. Stanoví také použití zásad zpracování a ochrany osobních údajů i na zpracování, na něž se obecné nařízení nevztahuje.^[11]

Souhlas se zpracováním osobních údajů[editovat | editovat zdroj]

Souhlas, ktery je definovan podle článku 4 odst. 1 bod 11 obecného nařízení jako svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů (nemohou být vynuceny). Souhlas se podává pouze za konkrétním účelem zpravování, který musí subjekt údajů znát. Souhlas je odvolatelný, avšak to automaticky neznamená, že správce musí osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány. Pokud dojde k odvolání souhlasu je správce povinen přestat zpracovávat osobní údaje pro účely definované v souhlasu.

Správce nemusí mít ke každému zpracování osobních údajů souhlas subjektu údajů např. v zájmu plnění smlouvy či plnění právní povinnosti. Souhlas subjektu údajů není typicky uplatňován např. při zpracování nezbytné pro dodání zboží v rámci objednávky v e-shopu, zpracování osobních údajů zaměstnanců pro pracovněprávní účely).

Základní pojmy tykající se ochrany osobních údajů[editovat | editovat zdroj]

Správce[editovat | editovat zdroj]

Pod pojmem správce rozumíme organ, který rozhoduje o klíčových prvcích zpracování. Pravomoc může vyplývat ze zákona nebo z analýzy skutečnosti, popř. z okolnosti případu. Některé činnosti zpracování lze povazovat za přirozené spojené s úlohou subjektu (zaměstnavatele vůči zaměstnancům, vydavatele vůči předplatitelům nebo sdružení vůči jeho členům). Správce zodpovídá za důvod a způsob zpracování. V některých případech se můžeme setkat i s pojmem společní správci. Tento pojem používáme, pokud se na zpracování podílí více aktérů.^[12]

Zpracovatel[editovat | editovat zdroj]

Může být fyzická či právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Zpracovatel musí splňovat dvě podmínky: jedná se o samostatný subjekt ve vztahu ke správci a osobní údaje zpracovává jménem správce.^[13]

Vztah spravce - zpracovatel[editovat | editovat zdroj]

Správce může ke zpracování osobních údajů přibrat i jiný subjekt, který bude pro něho osobní data zpracovávat. Správce by měl využít pouze takového zpracovatele, který s ohledem na povahu, kontext, kategorii osobních údajů a jejich možností, poskytuje dostatečné záruky vhodných technických a organizačních opatření, tak aby zpracování osobních údajů prostřednictvím zpracovatele splňovalo požadavky obecného nařízení a byla zajištěna ochrana práv subjektů údajů. Z tohoto důvodu by měla být mezi těmito dvěma subjekty uzavřena písemná smlouva.^[14]

Zpracování osobních údajů[editovat | editovat zdroj]

Zpracováním osobních údajů rozumíme jakoukoliv operaci, popř. soubor operací, která je prováděna s osobními údaji nebo se soubory osobních údajů jako např.: shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.^[15]

Subjekt údajů[editovat | editovat zdroj]

Subjektem údajů je fyzická osoba, již se osobní údaje týkají. Subjekt údajů není např. právnická osoba, neboť údaje vztahující se k právnické osobě nejsou osobními údaji.^[16]

Záznamy o povinnostech[editovat | editovat zdroj]

Jde o jistou náhradu za zrušenou oznamovací povinnost. Úkolem správce a zpracovatele je vést záznamy s určitými informacemi. Tyto záznamy by měly být v souladu s obecním nařízením. Není stanovena forma záznamu, ale nezbytné minimum záznamu je uvedeno v článku 30 odst. 1 obecného nařízení.

Zásady a pravní důvody zpracování[editovat | editovat zdroj]

Obecné nařízení by mělo splnovat následující zásady:

zákonnost, korektnost, transparentnost
omezení účelu
minimalizace údajů
přesnost
omezení uložení
integrita a důvěrnost

Jednotlivé zásady jsou rozvinuty v článku 5 odst. 1 obecného nařízení. Vymezení, resp. dodržování těchto zásad, je pro správce zásadní, nejen z toho důvodu, že to jsou de facto zároveň povinnosti, ale i proto, že v článku 5 odst. 2 obecného nařízení je stanovena odpovědnost správce za jejich dodržování a zároveň povinnost správce být schopen dodržování těchto zásad (povinností) doložit.

Právními důvody zpracování osobních údajů znamená oprávnění správce osobní údaje zpracovávat. Správce může osobní údaje pro různé účely, pro každý účel je nezbytný právní důvod zpracování osobních údajů. Správce je povinen přistoupit k likvidaci osobních údajů, kdy správce pozbude poslední právní důvod ke zpracování osobních údajů.

Práva subjektu údajů[editovat | editovat zdroj]

Obecne narizeni podobne jako predchozi zakon č. 101/2000 Sb., o ochraně osobních údajů, přiznává subjektům údajů určitá práva. Ukolem je nastolit jakousi rovnovahu mezi spravcem a subjektem udaju, tim potvrzuji roli modelu ochrany osobnich udaju v evropskem prostoru. Spravce je povinnen reagovat na podanou zadost subjektu udaju neodkladne v pripade ze se jedna o zadost podle clanku 15 az 22 obecneho narizeni. V ostatnich pripadech nejpozdeji do jednoho mesice.

Subjekt udaju ma pravo na informace ohledne zpracovani svych osobnich udaju. Jedna se o pravo na urcite informace z o zpracovani jeho osobnich udaju, v zasade nam jde o transparentnost zpracovani (informace o ucelu zpracovani, toznost spravce: proc se zajima o ososbni udaje, prijemce osobnich udaju).

Úplný výčet informací, které správce poskytuje při shromažďování osobních údajů, lze nalézt v článcích 13 a 14 obecného nařízení. Mezi další práva subjektu údajů, patří:

právo na přístup k osobním údajům,
právo na opravu, resp. doplnění,
právo na výmaz,
právo na omezení zpracování,
právo na přenositelnost údajů,
právo vznést námitku,
právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.

Zvláštní kategorie osobních údajů[editovat | editovat zdroj]

Citlivé osobní údaje[editovat | editovat zdroj]

Některé osobní údaje jsou takového charakteru, že mohou subjekt údajů samy o sobě poškodit ve společnosti, v zaměstnání, ve škole či mohou zapříčinit jeho diskriminaci. Z tohoto důvodu je taxativně (úplným výčtem) vymezena skupina osobních údajů, které jsou považovány s ohledem na osobu (subjekt) údajů za citlivé a jimž je proto poskytnuta zvýšená ochrana při jejich zpracování. Zvláštní kategorie osobních údajů jsou taková osobní data, která vypovídají o rasovém (či etnickém) původu, politických názorech, náboženském vyznání, filozofickém přesvědčení, členství v odborových organizacích, zdravotním stavu či o sexuálním životě anebo sexuální orientaci fyzické osoby.

Biometrické osobní údaje[editovat | editovat zdroj]

Za zvláštní kategorii osobních údajů jsou považovány i genetické a biometrické osobní údaje, a to pokud jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.^[17] Příkladem je otisk prstu, snímek oční duhovky, sítnice nebo obličeje, DNA a podobně. Biometrická autentizace vychází z přesvědčení, že některé biologické charakteristiky (morfologické, fyziologické) jsou pro každého živého člověka jedinečné a neměnné. Proto se používají k identifikaci osob a jedná se tak o osobní údaj. Jejich nezměnitelnost je ovšem nevýhoda z hlediska bezpečnostních systémů. Při vyzrazení nelze biometrické charakteristiky jednoduše změnit, jako to umožňuje heslo.

Biometrické osobní údaje jsou důležitou složkou tzv. "silného ověření uživatele" (anglicky Strong Customer Authentication, SCA) ve směrnici Evropské unie o platebních službách. Pro podrobnosti viz samostatné články Směrnice PSD2 a Vícefázové ověření (2FA).

Zabezpeceni osobnich udaju[editovat | editovat zdroj]

Spravce musi prijmout takova technicka a organizacni opatreni, aby mohl dolozit, ze zpracovani osobnich udaju je provadeno v souladu s obecnim narizenim. To znamena prijmout adekvatni bezpecnostni opatreni. Jako jeden z pravu rozumime sifrovani nebo pseudonymizace, oba prvky vsak nejsou povinne. Za poruseni zabezpeceni bezpecnostnich osobnich udaju se povazuje poruseni zabepeceni, ktere vede k nahodnemu nebo protipravnimu zniceni, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Pokud dojde k porušení zabezpečení osobních údajů, musí správce toto porušení bez zbytného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu (Úřadu pro ochranu osobních údajů). Pokud je ale nepravděpodobné, že by toto poruseni mohlo mit za nasledek riziko práva a svobody fyzických osob, nemusi se nic oznamovat. Oznamují se tedy jen rizikové incidenty pro práva a svobody fyzických osob, nikoli bagatelní záležitosti, které jsou nerizikové.

Reference[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku Personal data na anglické Wikipedii.

↑ čl. 4 odst. 1 GDPR
↑ Autentizace. ABZ.cz: slovník cizích slov [online]. [cit. 2022-06-29]. Dostupné online.
↑ Co jsou to osobní údaje?. commission.europa.eu [online]. [cit. 2023-03-18]. Dostupné online.
↑ LOBOTKA, Andrej. Způsob vystupování advokáta v soudním řízení je osobním údajem. SMART LAW [online]. 2019-02-08 [cit. 2020-03-07]. Dostupné v archivu pořízeném z originálu dne 2020-07-10.
↑ Rozsudek Krajského soudu v Brně ze dne 7. 11. 2018, č. j. 31 A 68/2018–177
↑ Co jsou to osobní údaje?. commission.europa.eu [online]. [cit. 2023-03-20]. Dostupné online.
↑ Co jsou to osobní údaje?. commission.europa.eu [online]. [cit. 2023-03-18]. Dostupné online.
↑ Co je GDPR - Ochrana osobních údajů. www.mvcr.cz [online]. [cit. 2023-03-20]. Dostupné online.
↑ Co je GDPR - Ochrana osobních údajů. www.mvcr.cz [online]. [cit. 2023-03-20]. Dostupné online.
↑ Co je GDPR - Ochrana osobních údajů. www.mvcr.cz [online]. [cit. 2023-03-20]. Dostupné online.
↑ 3. Nejdůležitější pojmy: Úřad pro ochranu osobních údajů. www.uoou.cz [online]. [cit. 2023-03-20]. Dostupné online.
↑ EU GDPR RESOURCES. [s.l.]: IT Governance Publishing Dostupné online. S. 73–75.
↑ EU GDPR RESOURCES. [s.l.]: IT Governance Publishing Dostupné online. S. 73–75.
↑ 7. Správce, zpracovatel: Úřad pro ochranu osobních údajů. www.uoou.cz [online]. [cit. 2023-03-20]. Dostupné online.
↑ 3. Nejdůležitější pojmy: Úřad pro ochranu osobních údajů. www.uoou.cz [online]. [cit. 2023-03-20]. Dostupné online.
↑ VOLLMER, Nicholas. Článek 4 EU obecné nařízení o ochraně osobních údajů. www.privacy-regulation.eu [online]. 2022-08-22 [cit. 2023-03-20]. Dostupné online.
↑ čl. 9 odst. 1 GDPR

Externí odkazy[editovat | editovat zdroj]

[1] čl. 4 odst. 1 GDPR

[2] Autentizace. ABZ.cz: slovník cizích slov [online]. [cit. 2022-06-29]. Dostupné online.

[3] Co jsou to osobní údaje?. commission.europa.eu [online]. [cit. 2023-03-18]. Dostupné online.

[4] LOBOTKA, Andrej. Způsob vystupování advokáta v soudním řízení je osobním údajem. SMART LAW [online]. 2019-02-08 [cit. 2020-03-07]. Dostupné v archivu pořízeném z originálu dne 2020-07-10.

[5] Rozsudek Krajského soudu v Brně ze dne 7. 11. 2018, č. j. 31 A 68/2018–177

[6] Co jsou to osobní údaje?. commission.europa.eu [online]. [cit. 2023-03-20]. Dostupné online.

[7] Co jsou to osobní údaje?. commission.europa.eu [online]. [cit. 2023-03-18]. Dostupné online.

[8] Co je GDPR - Ochrana osobních údajů. www.mvcr.cz [online]. [cit. 2023-03-20]. Dostupné online.

[9] Co je GDPR - Ochrana osobních údajů. www.mvcr.cz [online]. [cit. 2023-03-20]. Dostupné online.

[10] Co je GDPR - Ochrana osobních údajů. www.mvcr.cz [online]. [cit. 2023-03-20]. Dostupné online.

[11] 3. Nejdůležitější pojmy: Úřad pro ochranu osobních údajů. www.uoou.cz [online]. [cit. 2023-03-20]. Dostupné online.

[12] EU GDPR RESOURCES. [s.l.]: IT Governance Publishing Dostupné online. S. 73–75.

[13] EU GDPR RESOURCES. [s.l.]: IT Governance Publishing Dostupné online. S. 73–75.

[14] 7. Správce, zpracovatel: Úřad pro ochranu osobních údajů. www.uoou.cz [online]. [cit. 2023-03-20]. Dostupné online.

[15] 3. Nejdůležitější pojmy: Úřad pro ochranu osobních údajů. www.uoou.cz [online]. [cit. 2023-03-20]. Dostupné online.

[16] VOLLMER, Nicholas. Článek 4 EU obecné nařízení o ochraně osobních údajů. www.privacy-regulation.eu [online]. 2022-08-22 [cit. 2023-03-20]. Dostupné online.

[17] čl. 9 odst. 1 GDPR

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]