GDPR - definícia osobných údajov

Osobné údaje sú definované v nariadení ako akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby. Pod týmto termínom je možné rozumieť napríklad aj online identifikátor ako je IP adresa fyzickej osoby, lokalizačné údaje. Ide o rozširujúcu definíciu osobných údajov za účelom zabezpečenia ochrany akejkoľvek identifikovateľnosti fyzickej osoby.


Citlivé osobné údaje ako sú napr. spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby je možné spracovať len v prípade ak ide o stanovenú výnimku v nariadení. Jednou z výnimiek je aj prípad ak dotknutá osoba tieto údaje preukázateľne zverejní (ako napr. na sociálnej sieti).
Nariadenie nám nehovorí o tom subjekte, kto môže identifikovať fyzickú osobu na základe predmetných údajov, podstatné je že je identifikácia možná. Identifikácia sa môže realizovať aj prostredníctvom kombinácie viacerých údajov, pričom nie všetky údaje musia byť nevyhnutne k dispozícii prevádzkovateľa. Je na mieste sa zamyslieť, či ide o absolútne alebo relatívne kritéria na stanovovanie možnej identifikovateľnosti fyzickej osoby na základe údajov. Ak by sme používali absolútne kritérium na stanovenie možnej identifikovateľnosti fyzickej osoby  znamenalo by to, že by išlo o údaje, v prípade že hocikto by mal možnosť spojiť tieto údaje s konkrétnou osobou. Súdny dvor vo svojom rozhodnutí vo veci Breyer  uviedol, že možnosť osobného údaja s uvedenými ďalšími informáciami, ktoré má k dispozícii predmetná osoba, predstavuje prostriedok, ktorý môže byť rozumne použitý pre identifikáciu dotknutej osoby. Avšak to nenastane vtedy, keď identifikácia dotknutej osoby je zakázaná právnymi predpismi alebo prakticky neuskutočniteľná, napríklad preto, lebo by si vyžadovala neprimerane veľa času, financií alebo ľudských zdrojov, takže pravdepodobnosť identifikácie sa v skutočnosti javí ako zanedbateľná. Uvedené rozhodnutie sa týka síce starej právnej úpravy ale predstavuje zakotvenie relatívnych kritérií pre účely definície možnej identifikovateľnosti fyzickej osoby na základe určitého údaja. Aj všeobecné nariadenie obsahuje v recitali 26 indikácie, že tento spôsob výkladu by mal byť použiteľný aj pre toto nové nariadenie. V zmysle predmetného recitalu zásady ochrany údajov by sa mali vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Osobné údaje, ktoré boli pseudonymizované a ktoré by sa mohli použitím dodatočných informácií priradiť fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby. Na zistenie toho, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, by sa mali zohľadniť všetky objektívne faktory, ako sú náklady a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj.
Čiže v prípade ak bude možné pre prevádzkovateľa na základe jeho možností získať dodatočné informácie o osobe identifikovať osobu bez neprimeraného úsilia, ktoré na získanie dodatočných informácii vynaloží pôjde bez pochyby o osobné údaje chránené nariadením.
Je zrejmé, že nariadenie mení definíciu osobných údajov tak, aby odrážali zmeny technológií a spôsob, akým organizácie či firmy zbierajú a uchovávajú informácie.
Pod definíciu osobných údajov a tak ani pod údaje chránené nariadením nepatria údaje anonymizované a údaje osôb zosnulých.
Anonymizácia údajov je proces modifikácie osobných údajov s výsledkom, že neostane žiadna možnosť spojenia predmetného dáta s konkrétnou osobou. Anonymné dáta je jednak informácia, ktorá neobsahuje údaje na možnú identifikáciu konkrétnej osoby alebo ide o osobné údaje, ktoré už nie je možné priradiť ku konkrétnej osobe. Dá sa dosiahnuť dvoma spôsobmi a to: randomizáciou alebo generalizáciou. Randomizácia predstavuje zmenu presnosti údajov za účelom odstránenia spojenia medzi dátami a osobou. Ak sa dáta stanú nepresné, nie je možné ich ďalej spojiť s konkrétnou osobou. Generalizácia predstavuje zovšeobecnenie dát. Anonymizácia je bežne používaná pre štatistické účely.
Pseudonymizácia je bežný nástroj ako odstrániť možné spojenie medzi jednotlivcom a údajom. Podľa definície nariadenia ide o je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe. Použitie pseudonymizácie osobných údajov môže znížiť riziká pre príslušné dotknuté osoby a pomôcť prevádzkovateľom a sprostredkovateľom pri plnení ich povinností v oblasti ochrany údajov. Výslovné zavedenie „pseudonymizácie“ v tomto nariadení nie je určené na to, aby sa vylúčili akékoľvek iné opatrenia na ochranu údajov.  Pseudonymizácia sa spomína na viacerých miestach nariadenia a to článku 6 ods. 4 písm. e), článok 25 ods. 1 nariadenia podľa ktorého má prevádzkovateľ prijať primerané technické a organizačné opatrenia ak je napríklad pseudonymizácia, čl. 32 ods. 1 v rámci pravidiel bezpečnosti spracúvania osobných údajov.