Osobním údajem je registrační značka auta, IP adresa i číslo spisu (NSS)

12.10.2023

Nejvyšší správní soud se nedávno přiklonil k širokému výkladu pojmu osobní údaj. V nedávném rozsudku z 24. srpna 2023 uvádí, že osobním údajem může být i spisová značka trestního spisu. Analogicky je tento výkladu nutno vztáhnout i na jakékoliv jiné označení spisu, který se týká řízení vedeného proti fyzické osobě nebo vztahu s fyzickou osobou, například klientskou složku.  

NSS se tedy přiklonil k dosti široce pojatému objektivnímu výkladu pojmu osobní údaj. Přitom i v GDPR nalezneme jisté mantinely, abychom tuto regulaci nemuseli aplikovat opravdu na každý údaj, který lze teoreticky, s vynaložením mimořádného úsilí a s trochou štěstí, spojit s konkrétní osobou.

V recitálu č. 26 GDPR se mj. uvádí, že "Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji."

Jinak řečeno, i objektivní a široké pojetí osobního údaje má svoje hranice. Pro zařazení informací do regulované skupiny osobních údajů proto musíme vycházet z rozumně očekávatelné či reálně existující možnosti, že tyto informace, např. o majetku, o spotřebitelských preferencích či o správním řízení, mohou být s fyzickou osobou propojeny. Spisová značka trestního spisu v řízení, které se týká fyzické osoby, nicméně tuto podmínku určitě splňuje.

V praxi se často chybuje v tom, že jsou zaměňovány pojmy osobní údaj a identifikační údaj. Jak vyplývá z definice v čl. 4 GDPR, množina osobních údajů je výrazně širší, než "pouhé" identifikátory. Osobním údaje je totiž nutno rozumět každou informaci, který se týká určené nebo určitelné fyzické osoby, bez ohledu na to, jestli ji lze na základě tohoto údaje ztotožnit.

Další podrobnosti poměrně výstižně popisuje nově aktualizovaný web www.gdpr.cz

Zdroj: gdpr.cz