Co jsou osobní údaje, a co ne?

V souvislosti s GDPR se začal podrobně rozebírat i samotný pojem „osobní údaj“. Nejasná definice uvedená v GDPR poskytuje prostor pro různé výklady, které často vedou k nafukování jeho rozsahu. A tak se můžeme setkat s tím, že firmy aplikují pravidla GDPR i tam, kde o osobní údaje vůbec nejde.

Česká legislativa, konkrétně zákon č. 101/2000 Sb., o ochraně osobních údajů, definuje osobní údaj následovně:

Osobní údaj je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

Jsou tedy osobními údaji například IP adresa nebo cookies? Aby jimi byly, musely by vést k jednoznačné identifikaci osoby nebo se týkat osoby, jejíž identita už je známá. Na tuto otázku jasná odpověď není, posuzuje se dle individuálních okolností. Konkrétní informace může v jednom případě posloužit jako osobní údaj, v jiném se o osobní údaj nejedná.

„Je trochu zavádějící, že GDPR vyjmenovává příklady osobních údajů, jako jsou třeba lokační údaje nebo síťový identifikátor. Lidi to mate a myslí si, že jde o osobní údaje v každém případě. Tak to ale není. Pokud jimi nedokážete (ani ve spojení s dalšími údaji) osobu přesně identifikovat nebo nevypovídají o osobě už identifikované, jsou to jen údaje. Stejně tak jméno nemusí být nutně osobní údaj, pokud jde o běžné jméno, jako je Jan Novák, nebo ho kupříkladu ve stejném místě má více lidí a nelze jej spojit se nějakým dalším, zpřesňujícím identifikátorem,“ vysvětluje za Ochránce údajů Matěj Hruška.