Čo patrí medzi osobné údaje?

Osobný údaj je ústredným pojmom platných právnych predpisov o ochrane osobných údajov. Čo patrí medzi osobné údaje, čo pojem osobný údaj znamená, a ktoré údaje je možné za osobné údaje považovať, sa dozviete v našom článku.

Pojem osobný údaj

Nariadenie GDPR obsahuje legálnu definíciu pojmu osobné údaje v čl. 4  ako jeden zo základných pojmov.. V zmysle čl. 4 odsek 1 Nariadenia GDPR sú osobnými údajmi akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.

Identifikovanú alebo identifikovateľnú fyzickú osobu označuje Nariadenie GDPR pojmom dotknutá osoba.1 Dotknutá osoba je identifikovateľná, ak ju možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje alebo odkazom na jeden alebo viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, mentálnu, genetickú, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Na základe uvedeného je zrejmé, že pri určovaní toho, či sa v konkrétnom prípade jedná o identifikovateľnú dotknutú osobu (a o osobné údaje), je potrebné vziať do úvahy všetky objektívne faktory, ktoré si identifikácia vyžiada.2

Osobným údajom je najmä:

  • meno a priezvisko,
  • dátum narodenia a identifikačné čísla fyzickej osoby (napr. rodné číslo),
  • lokalizačné údaje (adresa),
  • údaje špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu dotknutej osoby (údaje o mentálne vyspelosti fyzickej osoby, utrpených zraneniach, pôvode fyzickej osoby),
  • kontaktné údaje ako e-mailová adresa alebo telefónne číslo,
  • online identifikátor pridelený dotknutej osobe – IP adresa, údaje o aktivite na webovej stránke alebo preferenciách dotknutej osoby v online prostredí.

co-patri-medzi-osobne-udaje-gdpr-securion

Kategórie osobných údajov

Nariadenie GDPR rozoznáva tri základné kategórie osobných údajov. Prvou kategóriou sú tzv. bežné osobné údaje.3

Okrem bežných osobných údajov poznáme aj osobitné kategórie osobných údajov. V zmysle čl.  9 Nariadenia GDPR patria k osobitným kategóriám osobných údajov údaje o rase, etnickom pôvode, náboženských a  politických názoroch, filozofickom presvedčení, údaje o členstve v odborových organizáciách, genetické a biometrické údaje slúžiace na individuálnu identifikáciu fyzickej osoby, údaje týkajúce sa zdravia, sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

Nariadenie GDPR ustanovuje, že spracúvanie osobitných kategórií osobných údajov je zakázané, okrem výnimiek stanovených v druhom odseku čl. 9 Nariadenia GDPR. Osobitné kategórie osobných údajov je tak možné spracúvať napr. vtedy, ak na ich spracúvanie udelí dotknutá osoba výslovný súhlas, ak je spracúvanie nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo ak je spracúvanie nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia, pokiaľ je to povolené právom EÚ alebo členského štátu, kde sa spracúvanie vykonáva.4

Príklady osobných údajov

Čo patrí medzi osobné údaje a čo všetko môže byť osobným údajom si priblížime v nasledujúcich praktických príkladoch vychádzajúcich z praxe.

Osobné údaje v pracovnoprávnych vzťahoch

V pracovnoprávnych vzťahoch sa okrem „typických“ osobných údajoch (ako sú napr. meno, priezvisko, rodné číslo či kontaktné údaje,) stretávame aj s rôznymi inými osobnými údajmi. Ide najmä o osobné údaje:

  • ekonomickej povahy – číslo bankového účtu, údaje na výplatnej páske alebo na mzdovom liste zamestnanca (vrátane mzdy zamestnanca a jednotlivých zložiek mzdy),
  • fyzickej povahy –obrazový záznam zamestnanca,
  • osobnostnej povahy – informácie vyplývajúce z pracovného posudku,
  • sociálnej povahy – informácie o rodinnom stave, o dosiahnutom vzdelaní alebo počte detí.

Osobným údajom sú aj prevádzkové údaje dotknutej osoby – zamestnanca, ako údaje o pracovnom čase (evidencia pracovnej doby), o prestávkach alebo pracovnom zaradení zamestnanca (pracovná pozícia). Najmä vo väčších spoločnostiach má zamestnanec pridelené aj osobné číslo, ktoré je tiež osobným údajom.

Záznamy z kamerových systémov a fotografie

Základnou podmienkou toho, aby záznam z kamerového systému alebo fotografia bola považovaná za osobný údaj je to, že musí byť prostredníctvom záznamu alebo fotografie identifikovateľná fyzická osoba.

Nie vždy sú preto záznamy z kamerového systému a fotografie osobným údajom. Pokiaľ na ich základe je možné bližšie špecifikovať konkrétnu fyzickú osobu, ide o osobný údaj. V prípade, ak sa jedná o fotografiu alebo záznam z kamerového systému, ktorý napríklad zachytáva len priebeh kultúrneho podujatia bez zachytenia podobizne konkrétnej osoby, nejde o osobný údaj. Fotografie a záznamy z kamerového systému sú považované za bežnú kategóriu osobných údajov. Ak by však prostredníctvom fotografií alebo záznamov z kamerového systému boli spracúvané biometrické údaje dotknutej osoby, išlo by o spracúvanie osobitnej kategórie osobných údajov.

Viac o tom, kedy a ako sú fotografie považované sa osobný údaj si môžete pozrieť v našom video-školení zameranom na spracúvanie fotografií.

Online priestor a elektronická komunikácia

Takmer každá webová stránka v dnešnej dobe používa súbory cookies alebo obdobné technológie. Tieto súbory slúžia na identifikáciu zariadenia návštevníka webovej stránky a prostredníctvom týchto súborov môžu byť zbierané údaje o preferenciách a aktivite návštevníka webovej stránky. Priradením ku konkrétnej IP adrese návštevníka webovej stránky sa stávajú osobnými údajmi.

Pri e-mailovej adrese platí obdobne to, čo sme uviedli pri  záznamoch z kamerových systémov či fotografiách. Za osobný údaj ju budeme považovať len v tom prípade, ak na základe e-mailovej adresy bude možné identifikovať konkrétnu fyzickú osobu. Tento rozdiel si môžeme bližšie predstaviť na príklade:

  • jan.velky@gmail.com → keďže ľudí s rovnakým menom a priezvisko môže byť niekoľko, nemusí ísť o konkrétnu fyzickú osobu a e-mailová adresa nemusí byť osobným údajom,
  • jan. velky@spolocnostxy.sk→ v tomto prípade je vyššia pravdepodobnosť, že ide o osobný údaj, pretože v spoločnosti XY pracuje pravdepodobne iba jeden zamestnanec, ktorého meno je Ján Veľký, a preto je možné túto fyzickú osobu, na základe spojenia jej mena, priezviska a názvu zamestnávateľa identifikovať.5

Záver

Opierajúc sa o judikatúru, je potrebné spomenúť, že osobný údaj obsahuje spojenie niekoľkých informácií, ktoré určujú jednak samotnú povahu informácie a ďalej vzťah medzi informáciou a dotknutou osobou. Vzhľadom k uvedenému fyzickú osobu možno považovať za identifikovanú, ak je v skupine osôb odlíšená od všetkých ostatných členov tejto skupiny. Pojem osobný údaj nemôžeme vykladať a obmedziť striktne len na znalosť napr. mena, priezviska či adresy pobytu. Nejvyšší správní soud České republiky judikoval, že6 otázka, či daný jednotlivec, ktorého sa informácia týka, je alebo nie je identifikovateľný vždy závisí na okolnostiach daného prípadu. Osobnými údajmi tak môžu byť aj rôzne čiastkové informácie, ktorých spojením príde k identifikovaniu konkrétnej fyzickej osoby a teda to, čo patrí medzi osobné údaje sa môže líšiť od prípadu k prípadu.


  1. Z uvedenej definície je zrejmé, že za osobné údaje sa nepovažujú údaje o právnických osobách. Potvrdzuje to aj recitál č. 14  Nariadenia GDPR, podľa ktorého sa nariadenie nevzťahuje na spracúvanie údajov o právnických osobách, vrátane obchodného mena (názvu), právnej formy a kontaktných údajov právnickej osoby 

  2. V zmysle recitálu č. 26 Nariadenia GDPR ide najmä o náklady a čas potrebný k identifikácií konkrétnej fyzickej osoby s prihliadnutím na technológie dostupné prevádzkovateľovi v čase spracúvania osobných údajov 

  3. Do kategórie bežných osobných údajov patria tie osobné údaje, ktoré nie je možné zaradiť k osobitným kategóriám osobných údajov alebo k osobným údajom týkajúcim sa uznania viny za trestné činy alebo priestupky, ktorých spracúvanie upravuje čl. 10 Nariadenia GDPR 

  4. V poslednom prípade ide napr. o spracúvanie údajov o zdravotnom stave zamestnávateľom pri evidencií pracovného úrazu zamestnanca alebo plnenie povinností súvisiacich s povinným nemocenským poistením zamestnanca 

  5. Pre doplnenie, zamestnávateľ je v zmysle § 78 ods. 3 zákona č. 18/2018 Z. z. oprávnený zverejniť vybrané kategórie osobných údajov zamestnanca. 

  6. Č.j. 5 As 1/2011 – 156 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.