GDPR Nariadenie, Slovenská legislatíva

28. 11. 2021

Čo patrí medzi osobné údaje?

Čo patrí medzi osobné údaje?

Osobný údaj je dôležitý pojem v rámci platných právnych predpisov o ochrane osobných údajov. Ochrana osobných údajov je čoraz dôležitejšia. Čo patrí medzi osobné údaje, čo pojem osobný údaj znamená, a ktoré údaje je možné za osobné údaje považovať?

Pojem osobný údaj

Nariadenie GDPR obsahuje legálnu definíciu pojmu osobné údaje v čl. 4  ako jeden zo základných pojmov. V zmysle čl. 4 odsek 1 Nariadenia GDPR – osobné údaje definícia: sú osobnými údajmi akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.

Identifikovanú alebo identifikovateľnú fyzickú osobu označuje Nariadenie GDPR pojmom dotknutá osoba.1 Dotknutá osoba je identifikovateľná, ak ju možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje alebo odkazom na jeden alebo viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, mentálnu, genetickú, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Na základe uvedeného je zrejmé, že pri určovaní toho, či sa v konkrétnom prípade jedná o identifikovateľnú dotknutú osobu (a o osobné údaje), je potrebné vziať do úvahy všetky objektívne faktory, ktoré si identifikácia vyžiada.2

Osobným údajom je najmä:

  • meno a priezvisko,
  • dátum narodenia a identifikačné čísla fyzickej osoby (napr. rodné číslo),
  • lokalizačné údaje (adresa),
  • údaje špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu dotknutej osoby (údaje o mentálne vyspelosti fyzickej osoby, utrpených zraneniach, pôvode fyzickej osoby),
  • kontaktné údaje ako e-mailová adresa alebo telefónne číslo,
  • online identifikátor pridelený dotknutej osobe – IP adresa, údaje o aktivite na webovej stránke alebo preferenciách dotknutej osoby v online prostredí.

co-patri-medzi-osobne-udaje-gdpr-securion

Kategórie osobných údajov

Nariadenie GDPR rozoznáva tri základné kategórie osobných údajov. Prvou kategóriou sú tzv. bežné osobné údaje.3

Okrem bežných osobných údajov poznáme aj osobitné kategórie osobných údajov. V zmysle čl.  9 Nariadenia GDPR patria k osobitným kategóriám osobných údajov údaje o rase, etnickom pôvode, náboženských a  politických názoroch, filozofickom presvedčení, údaje o členstve v odborových organizáciách, genetické a biometrické údaje slúžiace na individuálnu identifikáciu fyzickej osoby, údaje týkajúce sa zdravia, sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

Nariadenie GDPR ustanovuje, že spracúvanie osobitných kategórií osobných údajov je zakázané, okrem výnimiek stanovených v druhom odseku čl. 9 Nariadenia GDPR. Osobitné kategórie osobných údajov je tak možné spracúvať napr. vtedy, ak na ich spracúvanie udelí dotknutá osoba výslovný súhlas, ak je spracúvanie nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo ak je spracúvanie nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia, pokiaľ je to povolené právom EÚ alebo členského štátu, kde sa spracúvanie vykonáva.4

Príklady osobných údajov

Čo patrí medzi osobné údaje a čo všetko môže byť osobným údajom si priblížime v nasledujúcich praktických príkladoch vychádzajúcich z praxe.

Osobné údaje v pracovnoprávnych vzťahoch

V pracovnoprávnych vzťahoch sa okrem „typických“ osobných údajoch (ako sú napr. meno, priezvisko, rodné číslo či kontaktné údaje,) stretávame aj s rôznymi inými osobnými údajmi. Ide najmä o osobné údaje:

  • ekonomickej povahy – číslo bankového účtu, údaje na výplatnej páske alebo na mzdovom liste zamestnanca (vrátane mzdy zamestnanca a jednotlivých zložiek mzdy),
  • fyzickej povahy –obrazový záznam zamestnanca,
  • osobnostnej povahy – informácie vyplývajúce z pracovného posudku,
  • sociálnej povahy – informácie o rodinnom stave, o dosiahnutom vzdelaní alebo počte detí.

Osobným údajom sú aj prevádzkové údaje dotknutej osoby – zamestnanca, ako údaje o pracovnom čase (evidencia pracovnej doby), o prestávkach alebo pracovnom zaradení zamestnanca (pracovná pozícia). Najmä vo väčších spoločnostiach má zamestnanec pridelené aj osobné číslo, ktoré je tiež osobným údajom.

Záznamy z kamerových systémov a fotografie

Základnou podmienkou toho, aby záznam z kamerového systému alebo fotografia bola považovaná za osobný údaj je to, že musí byť prostredníctvom záznamu alebo fotografie identifikovateľná fyzická osoba.

Nie vždy sú preto záznamy z kamerového systému a fotografie osobným údajom. Pokiaľ na ich základe je možné bližšie špecifikovať konkrétnu fyzickú osobu, ide o osobný údaj. V prípade, ak sa jedná o fotografiu alebo záznam z kamerového systému, ktorý napríklad zachytáva len priebeh kultúrneho podujatia bez zachytenia podobizne konkrétnej osoby, nejde o osobný údaj. Fotografie a záznamy z kamerového systému sú považované za bežnú kategóriu osobných údajov. Ak by však prostredníctvom fotografií alebo záznamov z kamerového systému boli spracúvané biometrické údaje dotknutej osoby, išlo by o spracúvanie osobitnej kategórie osobných údajov.

Viac o tom, kedy a ako sú fotografie považované sa osobný údaj si môžete pozrieť v našom video-školení zameranom na spracúvanie fotografií.

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Online priestor a elektronická komunikácia

Takmer každá webová stránka v dnešnej dobe používa súbory cookies alebo obdobné technológie. Tieto súbory slúžia na identifikáciu zariadenia návštevníka webovej stránky a prostredníctvom týchto súborov môžu byť zbierané údaje o preferenciách a aktivite návštevníka webovej stránky. Priradením ku konkrétnej IP adrese návštevníka webovej stránky sa stávajú osobnými údajmi.

Pri e-mailovej adrese platí obdobne to, čo sme uviedli pri  záznamoch z kamerových systémov či fotografiách. Za osobný údaj ju budeme považovať len v tom prípade, ak na základe e-mailovej adresy bude možné identifikovať konkrétnu fyzickú osobu. Tento rozdiel si môžeme bližšie predstaviť na príklade:

  • jan.velky@gmail.com → keďže ľudí s rovnakým menom a priezvisko môže byť niekoľko, nemusí ísť o konkrétnu fyzickú osobu a e-mailová adresa nemusí byť osobným údajom,
  • jan. velky@spolocnostxy.sk→ v tomto prípade je vyššia pravdepodobnosť, že ide o osobný údaj, pretože v spoločnosti XY pracuje pravdepodobne iba jeden zamestnanec, ktorého meno je Ján Veľký, a preto je možné túto fyzickú osobu, na základe spojenia jej mena, priezviska a názvu zamestnávateľa identifikovať.5

Vyhodnotenie, čo je „osobný údaj“ závisí od situácie

Pojem osobný údaj obsahuje spojenie niekoľkých informácií, ktoré určujú jednak samotnú povahu informácie a ďalej vzťah medzi informáciou a dotknutou osobou.

Vzhľadom k uvedenému fyzickú osobu možno považovať za identifikovanú, ak je v skupine osôb odlíšená od všetkých ostatných členov tejto skupiny. Pojem osobný údaj nemôžeme vykladať a obmedziť striktne len na znalosť napr. mena, priezviska či adresy pobytu. Nejvyšší správní soud České republiky judikoval, že6 otázka, či daný jednotlivec, ktorého sa informácia týka, je alebo nie je identifikovateľný vždy závisí na okolnostiach daného prípadu.

Osobnými údajmi tak môžu byť aj rôzne čiastkové informácie, ktorých spojením príde k identifikovaniu konkrétnej fyzickej osoby a teda to, čo patrí medzi osobné údaje sa môže líšiť od prípadu k prípadu. Ak máte otázky, s ochranou osobných údajov vám poradíme a zabezpečíme vypracovanie GDPR dokumentácie.

securion - poradenstvo GDPR


  1. Z uvedenej definície je zrejmé, že za osobné údaje sa nepovažujú údaje o právnických osobách. Potvrdzuje to aj recitál č. 14  Nariadenia GDPR, podľa ktorého sa nariadenie nevzťahuje na spracúvanie údajov o právnických osobách, vrátane obchodného mena (názvu), právnej formy a kontaktných údajov právnickej osoby 

  2. V zmysle recitálu č. 26 Nariadenia GDPR ide najmä o náklady a čas potrebný k identifikácií konkrétnej fyzickej osoby s prihliadnutím na technológie dostupné prevádzkovateľovi v čase spracúvania osobných údajov 

  3. Do kategórie bežných osobných údajov patria tie osobné údaje, ktoré nie je možné zaradiť k osobitným kategóriám osobných údajov alebo k osobným údajom týkajúcim sa uznania viny za trestné činy alebo priestupky, ktorých spracúvanie upravuje čl. 10 Nariadenia GDPR 

  4. V poslednom prípade ide napr. o spracúvanie údajov o zdravotnom stave zamestnávateľom pri evidencií pracovného úrazu zamestnanca alebo plnenie povinností súvisiacich s povinným nemocenským poistením zamestnanca 

  5. Pre doplnenie, zamestnávateľ je v zmysle § 78 ods. 3 zákona č. 18/2018 Z. z. oprávnený zverejniť vybrané kategórie osobných údajov zamestnanca. 

  6. Č.j. 5 As 1/2011 – 156 

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Môže Vás zaujímať

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

Pomáhame firmám plniť legislatívne povinnosti .

POTREBUJETE PORADIŤ?

Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.