Prvním krokem ke zdárnému "zkrocení" GDPR je vyjasnění, co se skrývá pod pojmem "osobní údaje". Týká se veškerých informací o identifikované nebo identifikovatelné fyzické osobě, tzv. subjektu údajů, jejíž totožnost lze přímo či nepřímo určit odkazem na nějaký identifikátor, který ji umožňuje odlišit od ostatních. Takovým identifikátorem může být jméno, osobní číslo, adresa, pracovní pozice, IP adresa či rentgenové snímky. Jde také o prvky fyzické, fyziologické, psychické, ekonomické, společenské nebo kulturní identity, genetické údaje chápané jako zděděné či získané znaky poskytující jedinečnou informaci o osobě, biometrické údaje, a dokonce i přihlašovací údaje na chytrých plynoměrech a elektroměrech. Pro mnohé jde překvapivě také o kódy na popelnicích pro chytrý svoz odpadu.

Zvláštní kategorie tzv. citlivých údajů zahrnuje kromě již zmíněných genetických či biometrických údajů také osobní data dětí a údaje, které vypovídají o rasovém a etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, sexuální orientaci, zdravotním stavu nebo o trestních záznamech a pravomocných odsouzeních osoby. Nová definice zakotvená v evropském nařízení GDPR tak výrazně rozšiřuje chápání osobních údajů o novou oblast vyplývající z nepřímé identifikace.

Zpracováním osobních údajů se pak rozumí operace nebo soustava operací s osobními údaji. Může být vykonáváno jak ručně, tak i pomocí automatizovaných postupů. Lapidárně řečeno zpracování zahrnuje jakoukoliv manipulaci s údaji, zejména pak jejich shromažďování, zaznamenávání, ukládání, vyhledávání, použití, pozměnění, zpřístupnění nebo výmaz. Na zpracování osobních údajů se mohou podílet dva důležité subjekty: správce údajů a zpracovatel údajů. Správce je fyzická nebo právnická osoba, která sama nebo spolu s dalšími osobami určuje účel a způsoby zpracování. Tedy ten, kdo pro svoje účely údaje sbírá a využívá. Zpracovatelem je fyzická nebo právnická osoba, která údaje jménem správce zpracovává, například provozuje jeho databázové systémy. Správce i zpracovatel jsou přitom povinni provést taková technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající možnému riziku. Způsob zabezpečení by měl být stanoven ve smlouvě mezi správcem a zpracovatelem. Součástí automatizovaného zpracování dat je i jejich ukládání, zálohování a provoz aplikací, které s nimi pracují. Platí přitom, že provozovat podnikové IT v datových centrech je vždy mnohem bezpečnější než činit tak vlastními silami.

Partnerem seriálu HN k GDPR je O2 Czech Republic

Související