Základní kritéria pro uplatnění GDPR
Pro posouzení, jestli určitá činnost je či není v působnosti obecného nařízení o ochraně osobních údajů (GDPR), jsou klíčové dva pojmy: osobní údaj a zpracování osobních údajů.
Proč?
Jednoduše proto, že GDPR se vztahuje právě a pouze na ty činnosti, při kterých dochází ke zpracování osobních údajů. Jinak řečeno, pokud některé informace charakteru osobního údaje nedosahují, nevypovídají o fyzických osobách, není jejich využití GDPR regulováno. A obdobně, je-li do soukromí lidí zasahováno způsobem, který nelze označit za (systematické) zpracování osobních údajů za určitých účelem, pak takové jednání opět nepodléhá režimu GDPR.
Osobní údaje jsou víc než identifikátory
V praxi se často chybuje v tom, že jsou zaměňovány pojmy osobní údaj a identifikační údaj. Jak vyplývá z definice v čl. 4 GDPR, množina osobních údajů je výrazně širší, než „pouhé“ identifikátory. Osobním údaje je totiž nutno rozumět každou informaci, který se týká určené nebo určitelné fyzické osoby, bez ohledu na to, jestli ji lze na základě tohoto údaje ztotožnit.
Zní to trochu teoreticky, že? Nebojte, pomohou nám příklady.
Údaje identifikační...
Identifikačním údaje je taková informace, která jednoznačně určuje konkrétního člověka, odlišuje ho od všech ostatních. Typickými identifikátory jsou:
Jméno a příjmení, zejména v kombinaci s adresou či datem narození
Rodné číslo
Číslo identifikačního dokladu
Jednoznačné identifikátory fyzické osoby v systému základních registrů
Zaměstnanecké číslo či kód
Všechny identifikační údaje jsou rovněž údaji osobními, protože se týkají konkrétní a jedinečné fyzické osoby.
... a údaje osobní
Pokud organizace dokáže k jednoznačně identifikované fyzické osobě přidat další informace, pak i tyto další informace jsou osobními údaji. Právě proto, že se týkají konkrétní člověka. A i přesto, že pouze z nich tuto osobu není možné odlišit od ostatních.
Jednat se může opravdu o cokoliv, včetně takových informací a dat, jako je:
Spotřebitelský profil a chování
Znamení horoskopu
Majetek, pohledávky a závazky
Sociodemografické zařazení či kategorizace
Nákupní zvyklosti
Oblíbený fotbalový klub, restaurace nebo film
Vnitřní procesy musí pokrývat zpracování osobních údajů bez rozdílu
GDPR se uplatní stejně na identifikátory i na další osobní údaje. Ať už z informace lze přímo určit konkrétního člověka, nebo informace „pouze“ vypovídá o jeho dalších vlastnostech, majetku, chování či charakteristikách, GDPR se na ně uplatní stejně. Obě kategorie informací, osobních údajů, je pak nutno podřídit stejnému vnitřnímu režimu a pravidlům pro zajištění souladu s regulací.
Registrační značka auta, IP adresa i označení soudního spisu jsou osobními údaji v režimu GDPR
Soudní dvůr Evropské unie už před časem dovodil, že za osobní údaj je nutné považovat i dynamickou IP adresu. Český Nejvyšší správní soud (NSS) podobně rozhodl o registrační značce vozidla.
A soudy nepolevují. NSS v aktuálním rozsudku z 24. srpna 2023 uvádí, že osobním údajem může být i spisová značka trestního spisu. Analogicky je tento výkladu nutno vztáhnout i na jakékoliv jiné označení spisu, který se týká řízení vedeného proti fyzické osobě nebo vztahu s fyzickou osobou, například klientskou složku.
Jak říká NSS: „Při posuzování, zda může být určitá informace osobním údajem ve smyslu čl. 4 odst. 1 GDPR, je třeba postupovat v souladu s tzv. objektivním pojetím osobních údajů. V tomto pojetí se naplnění definice osobního údaje neposuzuje ze subjektivního pohledu správce či zpracovatele, který údaji v daný moment disponuje, ale zjišťuje se, zda někde existuje další informace, která by, ve spojení s původní informací, mohla vést k identifikaci subjektu údajů… S ohledem na výše uvedené je zřejmé, že osobním údajem … může být také spisová značka trestní věci …, a to pokud existují další informace, které má (nebo by mohl mít) k dispozici jiný subjekt, jenž by pomocí nich identifikoval konkrétní fyzickou osobu obžalovaného v řízení, k němuž se spisová značka vztahuje.“
Dlužno dodat, že NSS se přiklonil k dosti široce pojatému objektivnímu výkladu pojmu osobní údaj. Přitom i v GDPR nalezneme jisté mantinely, abychom tuto regulaci nemuseli aplikovat opravdu na každý údaj, který lze teoreticky, s vynaložením mimořádného úsilí a s trochou štěstí, spojit s konkrétní osobou.
V recitálu č. 26 GDPR se mj. uvádí, že „Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji.“
Jinak řečeno, i objektivní a široké pojetí osobního údaje má svoje hranice. Pro zařazení informací do regulované skupiny osobních údajů proto musíme vycházet z rozumně očekávatelné či reálně existující možnosti, že tyto informace, např. o majetku, o spotřebitelských preferencích či o správním řízení, mohou být s fyzickou osobou propojeny. Spisová značka trestního spisu v řízení, které se týká fyzické osoby, nicméně tuto podmínku určitě splňuje.
Jaká jsou vaše „GDPR slepá místa“?
Zavedli jste GDPR pravidla a postupy do všech svých činností? Chráníte osobní údaje nejen svých zákazníků, ale i zaměstnanců, stážistů či pracovníků dodavatele?
Výborně!
GDPR se totiž vztahuje na všechny fyzické osoby bez rozdílu.
A chráníte opravdu všechny osobní údaje? Nebo „jenom“ jednoznačné identifikátory, jejichž pomocí lze přímo určit konkrétního člověka?
Pokud řešíte „pouze“ identifikační údaje, pak vaše procesy nejsou úplné. Nejste v souladu s GDPR a riskujete únik osobních údajů, soudní spor či pokutu. I na zpracování „dodatečných“ osobních údajů, byť je vedete v samostatné nebo oddělené databázi, dopadají veškeré požadavky GDPR, zejména:
Určit účel a právní titul pro jejich zpracování
Omezení rozsahu zpracovávaných dat
Nastavení retenčních lhůt a následného výmazu či anonymizace údajů
Plnění informační povinnosti
Zabezpečení osobních údajů, jejich integrity, dostupnosti a důvěrnosti
Vylepšete data governance a vyhněte se pokutě
Chcete si být jisti, že vaše interní pravidla pokrývají všechny kategorie osobních údajů? Že máte zpracování všech osobních dat pod kontrolou? A to i ve světle aktuálního rozsudku Nejvyššího správní soudu?
Děláte dobře.
I pro oblast zpracování a ochrany osobních údajů platí, že nic není neměnné. Interní prostředí v organizaci, ani externí podmínky. A na změny je nutno reagovat, jinak váš GDPR compliance systém bude zastaralý, nefunkční a zbytečný.
Jak na to? Postupujte podle těchto 6 základních kroků:
Zmapujte veškerá data a informace, které vaše organizace zpracovává a využívá. Bez ohledu na to, jestli je v tuto chvíli posuzujete jako osobní údaje nebo nikoliv.
Vyhodnoťte všechna zpracovávaná data v kontextu účelu jejich využití, způsobu zpracování a vazby na další informace. Je možné některé z nich spojit s určitými nebo určitelnými fyzickými osobami, byť za využití dodatečných informací?
Aktualizujte kategorizaci dat, zahrňte do interních GDPR procesů i osobní údaje v širokém slova smyslu.
Revidujte procesy, které s „nově objevenými“ osobními údaji pracují. Je ke každé zpracovatelské operaci stanoven jednoznačný účel, disponujete právním titulem, jsou o zpracování informovány dotčené osoby?
Ověřte, a případně doplňte, pravidla pro zabezpečení všech osobních údajů. Jak ve vašem prostředí, tak i při jejich sdílení či předávání dalších subjektům, ať už dalším správcům či zpracovatelům.
Nastavte proces pro pravidelné hodnocení a kategorizaci informací, které zpracováváte. Se zohledněním změn ve vaší činnosti i výkladu soudů a regulátorů. Abyste jednou nebyli překvapeni…