S problematikou GDPR vznikají komplikace s pochopením celého nařízení jako takového. Mnohdy nalezneme jen strohou citaci z definice nařízení a několik málo příkladů. Spolu se podíváme detailněji, co je osobními údaji myšleno. Na závěr také uvedeme seznam osobních údajů tak, jak se s nimi nejčastěji při zpracování GDPR ve firmách setkáváme.
Podle článku 4 se osobními údaji rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Pokud jde o citlivé údaje neboli zvláštní kategorie osobních údajů, je zde situace jednodušší. Článek 9 jasně definuje, že jde o údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
Příklady osobních údajů
Identifikační, adresní a platební údaje:
- oslovení/pohlaví
- akademický titul
- jméno
- příjmení
- státní příslušnost
- místo a stát narození
- věk
- datum narození
- rodné číslo/popř. národní identifikátor
- údaje o dokladech totožnosti
- adresa trvalého nebo přechodného bydliště
- doručovací nebo jiná kontaktní adresa
- název firmy
- sídlo podnikání
- fakturační adresa
- IČ/DIČ
- číslo bankovního účtu
- spojovací číslo SIPO
Zaměstnanecké údaje:
- pracovní pozice
- informace o vzdělání
- informace o mzdě
- informace o exekucích
- informace o ZTP/P
- osobní číslo
- docházka
- termíny dovolené
- velikost oděvu/obuvi
- údaje o manželce/manželovi
- údaje o dětech
Elektronické a kontaktní údaje:
- telefon
- mobilní telefon
- fax
- e-mailová adresa
- ID datové schránky
- IP adresa
- cookies
- autentizační certifikáty
- identifikátory v sociálních sítích a komunikačních platformách (Facebook, Skype apod.)
- lokační údaje
- přístupový kód
Údaje vzniklé profilováním:
- údaje získané od subjektu údajů marketingovými průzkumy
- údaje o využívání produktů a služeb a bonusů
- údaje o typovém chování uživatele
- vyhodnocení kreditního rizika
- záznamy o spotřebitelské historii a plnění platebních povinností
- prediktivní modely
Audio/video:
- videozáznam
- fotografie
- záznam hlasu
Biometrické údaje (zvláštní kategorie o. ú.):
- biometrický elektronický podpis
- biometrické zpracování fotografie
- biometrické zpracování otisku prstu
- analýza hlasu
- analýza osobnostních projevů