GDPR last minute: Co všechno je osobním údajem?

Každý den v květnu nabídneme odpověď na jednu praktickou otázku týkající se dopadu GDPR na online podnikání. 

Ať už si o GDPR myslíte cokoli, jedno je jisté: 25. května vstoupí obecné nařízení o ochraně osobních údajů v účinnost a všechny firmy i jednotlivci v EU se jím budou muset řídit. Pokud stále hledáte odpovědi na praktické otázky spojené s ochranou osobních údajů, nabízíme vám informace od právníků a dalších expertů na tuto oblast.

Dnes se budeme zabývat základem: co můžeme za osobní údaje pokládat a co jimi už není a jak to je s IP adresami a cookies? Odpovídá právník Josef Aujezdský, partner advokátní kanceláře Mašek, Kočí, Aujezdský, která provozuje server e-Advokacie:

Jak GDPR mění definici osobních údajů?

Dle našeho názoru nedochází v souvislosti s účinností nařízení k posunu ve vymezení pojmu „osobní údaj“. Současná právní úprava (konkrétně ustanovení § 4 odst. 1 zákona o ochraně osobních údajů) stanoví, že osobním údajem je „jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu…“ Důležitá je zejména první část této definice, tedy že „osobním údajem je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů.“

Názornější je v tomto ohledu české znění směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, jež ve svém čl. 2 písm. a) stanoví, že osobními údaji jsou „veškeré informace o identifikované nebo identifikovatelné osobě“. Ze stejných zásad vychází i nařízení, když ve svém čl. 4 odst. 1 stanoví, že osobními údaji jsou „veškeré informace o identifikované nebo identifikovatelné fyzické osobě …; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby…“

Bod 26 preambule (recitálu) nařízení k tomuto doplňuje, že „zásady ochrany osobních údajů by se proto neměly vztahovat na anonymní informace, totiž informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů není nebo již přestal být identifikovatelným.“ Pro vyloučení všech pochybností uvádíme, že osobními údaji také nejsou a nebudou samotné identifikační údaje právnických osob.

Co všechno se dá za osobní údaj pokládat?

Z výše uvedeného vyplývá, že pokud lze na základě nějakých informací fyzickou osobou identifikovat či pokud jde o informace o nějaké identifikované fyzické osobě (přestože takové informace nijak nespecifikují její fyzickou, psychickou, ekonomickou, kulturní nebo sociální identitu), jsou a budou takové informace osobními údaji. Okruh informací, které mohou být z pohledu právního osobním údajem, tak není uzavřený, a ochraně nařízením tak mohou podléhat i zcela nedůležité informace.

Je osobním údajem např. IP adresa, přestože neidentifikuje osobu, ale „jen“ počítač? A jak je to s cookies? Je to s nimi podobné – neidentifikují osobu, ale prohlížeč, jsou tedy osobními údaji, nebo ne?

Jak bylo naznačeno výše, z pohledu právního nelze provést jednoznačnou kategorizaci v tom smyslu, že některé informace určitě nebudou osobními údaji. Do jisté míry to platí i opačně. Kupříkladu pro osobu, která si nemůže informace z cookie spojit s konkrétním uživatelským účtem, cookies osobním údajem být nemusí. Zatímco z pohledu internetového obchodníka, který cookies přiřazuje k informacím z konkrétního uživatelského účtu fyzické osoby, se o osobní údaj jednat bude (a ze strany takového internetového obchodníka tak půjde o zpracování osobních údajů).

Bod 26 preambule (recitálu) nařízení k této problematice uvádí, že „při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům…, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji.“

Zdali cookies či IP adresa budou osobními údaji, tak bude záležet na okolnostech konkrétního případu, tedy zdali lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Bod 30 preambule (recitálu) nařízení toto výslovně a možná i nadbytečně zmiňuje: „Fyzickým osobám mohou být přiřazeny síťové identifikátory, které využívají jejich zařízení, aplikace, nástroje a protokoly, jako například adresy internetového protokolu či identifikátory cookies…“

Už zítra se v našem seriálu podíváme na to, kdy musí online firma mít pověřence pro ochranu osobních údajů a jaké výhody či nevýhody představuje na této pozici interní zaměstnanec oproti externistovi.