Kdy se jedná o osobní údaje?

Kdy se skutečně jedná o osobní údaje? Rozklíčování identity v digitálním věku.

V dnešní informační společnosti se setkáváme s osobními údaji prakticky na každém kroku. Ale kdy se vlastně jedná o osobní údaj v pravém slova smyslu? Není to vždy tak jasné, jak by se na první pohled mohlo zdát. Zatímco jméno a adresa jsou typickými příklady, hranice toho, co lze považovat za osobní údaj, se neustále posouvá, zejména v kontextu digitálních technologií a rostoucího objemu dat.

Základní definice říká, že osobní údaj je jakákoliv informace, na základě které lze přímo či nepřímo identifikovat konkrétní fyzickou osobu. Klíčové slovo je zde identifikace. Nejde jen o to, zda se jedná o informaci o osobě, ale zda tato informace, samostatně nebo v kombinaci s dalšími údaji, umožňuje osobu jednoznačně odlišit od ostatních.

Ne vždy je jméno osobním údajem. Pokud se jmenujete Jan Novák a žijete v České republice, kde je toto jméno velmi časté, samotné jméno nepředstavuje osobní údaj. Ale, Jan Novák s datem narození, adresou a číslem bankovního účtu už osobní údaj představuje, protože tato kombinace informací téměř jistě vede k identifikaci konkrétní osoby.

Kontext je klíčový. Informace, která v jednom kontextu nepředstavuje osobní údaj, jím může být v jiném. Například, informace o preferencích ve stravování v rámci anonymní ankety mezi zaměstnanci firmy není osobní údaj. Ale pokud jsou tyto preference spárované s identifikátorem zaměstnance v databázi HR oddělení, stávají se osobním údajem.

Nepřímá identifikace je také důležitá. Identifikace nemusí být nutně přímá. Například, IP adresa, sama o sobě, nemusí být osobní údaj. Ale pokud se IP adresa používá k trackování online chování a profilování uživatele, a je spojena s dalšími údaji, které umožňují jeho identifikaci, stává se osobním údajem.

Záleží na posouzení správce dat. Správce dat (osoba nebo organizace, která zpracovává osobní údaje) nese odpovědnost za to, že zhodnotí, zda daná informace umožňuje identifikaci konkrétní osoby, a to s ohledem na dostupné technologie a náklady na identifikaci. Pokud by identifikace vyžadovala nepřiměřené úsilí a náklady, nemusí se nutně jednat o osobní údaj.

Příklady méně zřejmých osobních údajů:

• Poloha: Informace o poloze, ať už prostřednictvím GPS, Wi-Fi signálu nebo mobilní sítě, může vést k identifikaci osoby, zejména pokud je tato poloha sledována v čase.
• Cookies a identifikátory zařízení: Cookies a další identifikátory zařízení, které se používají ke sledování online aktivity, mohou být v kombinaci s dalšími údaji považovány za osobní údaje.
• Biometrické údaje: Otisk prstu, sken obličeje nebo duhovky jsou jednoznačnými identifikátory a vždy se jedná o osobní údaje.
• Zdravotní údaje: Jakákoliv informace o zdravotním stavu, včetně krevní skupiny, alergií nebo užívaných léků, je osobním údajem.

Závěrem:

Otázka, zda se jedná o osobní údaj, vyžaduje vždy individuální posouzení. Důležitá je nejen samotná informace, ale i kontext, ve kterém se nachází, a potenciál k identifikaci konkrétní osoby. V digitálním věku, kdy se data shromažďují a zpracovávají ve velkém měřítku, je porozumění tomuto konceptu klíčové pro ochranu soukromí a dodržování platných právních předpisů, jako je GDPR. Vždy je lepší postupovat opatrně a raději s informací nakládat jako s osobním údajem, než riskovat porušení soukromí.