Co jsou osobní údaje?

S problematikou GDPR vznikají komplikace s pochopením celého nařízení jako takového. Mnohdy nalezneme jen strohou citaci z definice nařízení a několik málo příkladů. Spolu se podíváme detailněji, co je osobními údaji myšleno. Na závěr také uvedeme seznam osobních údajů tak, jak se s nimi nejčastěji při zpracování GDPR ve firmách setkáváme.

Podle článku 4 se osobními údaji rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Pokud jde o citlivé údaje neboli zvláštní kategorie osobních údajů, je zde situace jednodušší. Článek 9 jasně definuje, že jde o údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

 

Příklady osobních údajů

Identifikační, adresní a platební údaje:

  • oslovení/pohlaví
  • akademický titul
  • jméno
  • příjmení
  • státní příslušnost
  • místo a stát narození
  • věk
  • datum narození
  • rodné číslo/popř. národní identifikátor
  • údaje o dokladech totožnosti
  • adresa trvalého nebo přechodného bydliště
  • doručovací nebo jiná kontaktní adresa
  • název firmy
  • sídlo podnikání
  • fakturační adresa
  • IČ/DIČ
  • číslo bankovního účtu
  • spojovací číslo SIPO

 

Zaměstnanecké údaje:

  • pracovní pozice
  • informace o vzdělání
  • informace o mzdě
  • informace o exekucích
  • informace o ZTP/P
  • osobní číslo
  • docházka
  • termíny dovolené
  • velikost oděvu/obuvi
  • údaje o manželce/manželovi
  • údaje o dětech

 

Elektronické a kontaktní údaje:

  • telefon
  • mobilní telefon
  • fax
  • e-mailová adresa
  • ID datové schránky
  • IP adresa
  • cookies
  • autentizační certifikáty
  • identifikátory v sociálních sítích a komunikačních platformách (Facebook, Skype apod.)
  • lokační údaje
  • přístupový kód

 

Údaje vzniklé profilováním:

  • údaje získané od subjektu údajů marketingovými průzkumy
  • údaje o využívání produktů a služeb a bonusů
  • údaje o typovém chování uživatele
  • vyhodnocení kreditního rizika
  • záznamy o spotřebitelské historii a plnění platebních povinností
  • prediktivní modely

 

Audio/video:

  • videozáznam
  • fotografie
  • záznam hlasu

 

Biometrické údaje (zvláštní kategorie o. ú.):

  • biometrický elektronický podpis
  • biometrické zpracování fotografie
  • biometrické zpracování otisku prstu
  • analýza hlasu
  • analýza osobnostních projevů

GDPR ve zdravotnictví

Máme bohaté zkušenosti s ochranou osobních údajů a implementací GDPR ve zdravotnických zařízeních. Dokážeme je tedy efektivně a rychle připravovat na soulad s nařízením o ochraně osobních údajů.

Již současná právní úprava na oblast ochrany dat samozřejmě pamatuje v několika zákonech i podzákonných předpisech. Tyto řeší problematiku udělování souhlasu se zpracováním dat, definují možnosti nahlížení do zdravotnické dokumentace a stanovují okruh osob, které tak mohou činit, a dále účely zpracování dat, pro které je nutné data anonymizovat.

GDPR nově definuje, co vše spadá pod pojem „osobní údaje o zdravotním stavu“. Ve stručnosti jde o údaje o zdravotním stavu minulém, současném i budoucím (například rizika), informace poskytnuté při registraci ve zdravotnickém zařízení, výsledky vyšetření a testů, a to vše bez ohledu na způsob získání informace.

Dopad na praxi zpracování dat by měl být následující:

  • Nově bude nutné získat souhlas dané osoby se zpracováním údajů.
  • Bude nutné zrevidovat rozsah zpracovávaných údajů o pacientech, jakož i určit dobu, po jakou budou údaje aktivně zpracovávány, a dále stanovit, jak a po jakou dobu budou tyto údaje archivovány, a v neposlední řadě určit, které subjekty budou mít k těmto údajům přístup, ke kterým kategoriím údajů a v jakém rozsahu.
  • Pacientovi bude muset být umožněno poměrně široce se svými údaji nakládat – nahlížet do nich či umožnit jejich elektronický přenos k jinému správci (lékaři, zdravotnickému zařízení). Pacient bude oprávněn požádat o úpravu údajů vedených o své osobě, či omezit rozsah zpracování těchto údajů. Dále bude mít pacient právo požádat o kompletní výpis činností zpracování svých údajů, tedy o celistvý přehled toho, který subjekt, za jakým účelem a v jakém čase do pacientových dat nahlížel nebo je zpracovával.
  • Pacient bude muset být srozumitelně informován o případné skutečnosti, že došlo k porušení zabezpečení jeho dat, ať v jakémkoliv rozsahu.
  • Na technické úrovni bude nutné zavést vhodná opatření vedoucí ke zvýšení ochrany dat. Půjde o často zmiňovanou pseudonymizaci dat, šifrování dat, zajištění odolnosti dat a služeb, zajištění schopnosti obnovit data a pravidelné testy zavedených procesů.
  • Zdravotnická zařízení budou povinna vytvořit funkci pověřence pro ochranu osobních údajů. Tento pověřenec bude dohlížet na to, aby veškeré činnosti byly prováděny v souladu s pravidly a principy GDPR, a zároveň bude prostředníkem pro komunikaci mezi zdravotnickým zařízením a Úřadem pro ochranu osobních údajů (ÚOOÚ).

Nařízení evropského parlamentu

General Data Protection Regulation, zkráceně GDPR je nařízením Evropské unie, které vstoupí v účinnost 25.5.2018. Hlavní myšlenkou tohoto přímo aplikovatelného nařízení je zvýšit úroveň ochrany osobních údajů a významně posílit práva občanů Evropské unie v tomto odvětví.

Nařízení GDPR podrobně definuje, co to vlastně osobní údaje jsou a jakým způsobem je s nimi možné nakládat. Subjekt údajů, tedy osoba, jejíž osobní údaje jsou shromažďovány, musí být jasně informován o tom, jaké osobní údaje jsou shromažďovány, za jakým účelem, a musí mít možnost získat komplexní přehled o identifikaci své osoby u jednotlivých entit, které s osobními údaji nakládají. Nařízení GDPR si tak klade za cíl nejen zamezit neoprávněnému nakládání s osobními údaji, ale rovněž vytyčit jasné mantinely v moderním světě elektronických dat.

Nařízení GDPR se dotkne každého, kdo na území EU zpracovává a shromažďuje osobní údaje – ať zaměstnanců a klientů, či zákazníků a dodavatelů. Dopadat bude i na webové poskytovatele služeb, či služby, které pouze analyzují chování uživatelů na webu.

Nařízení GDPR je nahradí současný zákon č. 101/2000 Sb., o ochraně osobních údajů. Česká Republika má jako jedna z mála zemí v rámci  EU zmiňovaný zákon přijatý již v současné době na poměrně dobré úrovni. O to snazší bude pro zpracovatele osobních údajů podřídit se nařízení Evropské unie – v zásadě je důležité promyslet své budoucí kroky směřující k navýšení ochrany osobních údajů a získat přehled o interních pohybech dat ve společnosti.

Mezi hlavní povinnosti, které nařízení GDPR ukládá, se řadí povinnost dostatečně informovat fyzické osoby o tom, jakým způsobem je s jejich osobními údaji nakládáno. Další povinností je například zajistit ochránit databáze s osobními údaji proti vnějším útokům, a povinnost vést záznamy o tom, kdo, kdy a jak s těmito osobními údaji nakládá.