V krátkosti možno povedať, že nariadenie GDPR sa nevzťahuje na všetky typy osobných údajov. Niektoré údaje sú z jeho pôsobnosti úplne vylúčené, keďže ich spracúvanie nepredstavuje zásah do práv a slobôd jednotlivcov v zmysle ochrany súkromia. GDPR najmä nevzťahuje svoje pravidlá na údaje, ktoré nie sú identifikovateľné alebo nie sú spracúvané na profesionálne účely. Tiež sa nevzťahuje na niektoré spracúvania vykonávané v rámci čisto osobnej alebo domácej činnosti. Zároveň existujú špecifické prípady, ako napríklad údaje štátu alebo údaje, pri ktorých je anonymita zabezpečená tak, že jednotlivca nie je možné identifikovať ani nepriamo.
V tomto článku si podrobne vysvetlíme, ktoré osobné údaje GDPR nepovažuje za relevantné na reguláciu, na aké situácie sa nariadenie nevzťahuje a čo tieto výnimky v praxi znamenajú. Porozumieme aj tomu, aké dopady má anonymizácia a pseudonymizácia na uplatňovanie GDPR a prečo je dôležité rozlišovať medzi údajmi identifikujúcimi osobu a údajmi bez tejto vlastnosti. Tento text vám zároveň pomôže orientovať sa pri spracúvaní údajov v súlade so zákonom.
Definícia osobných údajov podľa GDPR a ich rozsah
Čo sú osobné údaje
GDPR definuje osobné údaje ako akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Ide najmä o tieto údaje:
- Meno a priezvisko
- Adresa bydliska
- Telefónne číslo a email
- Identifikačné čísla (napr. rodné číslo, číslo OP)
- Online identifikátory (IP adresa, cookies)
- Dáta o zdravotnom stave
- Údaje o etnickom pôvode, náboženstve, politických názoroch
Dôležitosť identifikovateľnosti osoby
Technickým aspektom GDPR je, že jeho pravidlá sa uplatňujú len vtedy, ak možno údaje priradiť ku konkrétnej osobe. Ak osoba nie je identifikovateľná priamo alebo nepriamo – napríklad cez kombináciu viacerých údajov – tieto dáta sa nepovažujú za osobné v zmysle GDPR.
Kedy sa GDPR nevzťahuje na spracúvanie údajov
1. Údaje spracúvané pre osobnú potrebu
GDPR sa nevzťahuje na spracúvanie údajov fyzickými osobami výlučne na osobné alebo domáce účely. Príklady zahŕňajú:
- Ukladanie kontaktov v mobilnom telefóne
- Vedenie súkromného denníka
- Fotografovanie rodinných akcií
Ak sa však osobná činnosť rozšíri na širšie verejné pôsobenie (napr. zverejňovanie fotografií na sociálnych sieťach s cieľom profesionálneho využitia), GDPR sa už môže aplikovať.
2. Anonymizované údaje
Údaje, ktoré sú anonymizované tak, že nie je možné identifikovať konkrétnu osobu, nepatria pod pôsobnosť GDPR. Príkladom je štatistický výskum, kde sú jednotlivé identifikátory odstránené a nemožné ich spätne priradiť ku konkrétnej osobe.
Dôležitou podmienkou anonymity je nevratnosť procesu – ak by osoba mohla byť znova identifikovaná spojením údajov z rôznych databáz, údaje už nie sú právne anonymné.
Údaje mimo rámca GDPR: čo z neho výslovne vypadáva
1. Údaje právnických osôb
GDPR sa vzťahuje len na fyzické osoby. Údaje právnických osôb, ako napríklad obchodné názvy, IČO alebo adresa sídla spoločnosti, nie sú osobnými údajmi, pokiaľ nevedú k identifikácii konkrétnej fyzickej osoby (napr. podnikateľ konajúci sám pod vlastným menom).
2. Údaje zosnulých osôb
Informácie o osobách po smrti nie sú chránené GDPR. Ochrana týchto údajov môže byť upravená v národnej legislatíve, ale európske nariadenie sa na ne nevzťahuje.
3. Údaje verejne dostupné bez porušenia práv
Ak sú údaje zverejnené s vedomím dotknutej osoby (napr. meno na webstránke zamestnávateľa alebo profil na LinkedIn), v niektorých prípadoch nemusia byť dotknuté plným rozsahom GDPR. Aj v týchto prípadoch však platia základné princípy spracúvania – zákonnosť, účelovosť a transparentnosť.
Rozdiel medzi anonymizáciou a pseudonymizáciou
Aj keď sú pojmy anonymizácia a pseudonymizácia často zamieňané, v rámci GDPR majú odlišný význam a právne dôsledky.
Anonymizácia
Proces, pri ktorom sa osobné údaje upravia tak, aby už žiadnym spôsobom nebolo možné určiť totožnosť konkrétnej osoby. Takto upravené dáta sú podľa GDPR mimo rámca nariadenia.
Pseudonymizácia
Údaje sú upravené tak, že priame identifikátory sú odstránené, no existuje možnosť spätnej identifikácie (napr. pomocou kľúča). Takéto údaje stále patria pod pôsobnosť GDPR, aj keď sú menej rizikové.
Spracúvania, ktoré nespadajú do pôsobnosti GDPR z dôvodu účelu
GDPR neplatí na spracúvanie údajov v určitých oblastiach, ktoré sú definované ako výnimky z pôsobnosti nariadenia na základe účelu spracúvania.
1. Národná bezpečnosť
Spracúvanie údajov na účely obrany, ochrany verejného poriadku alebo národnej bezpečnosti nepodlieha GDPR, ale je spravované cez vnútroštátne legislatívy a európske výnimky.
2. Prevencia, vyšetrovanie a trestné stíhanie
Údaje spracovávané políciou, prokuratúrou alebo súdmi v rámci ich kompetencie nie sú predmetom GDPR. Pre tieto účely platí špeciálna smernica EÚ (tzv. police directive).
3. Údaje spracované inštitúciami EÚ pre vnútorné potreby
Nariadenie GDPR neplatí na európske inštitúcie samotné. Tie majú vlastné nariadenie – Regulation (EU) 2018/1725, ktoré síce vychádza z princípov GDPR, ale je samostatné.
Záver: Prečo je dôležité presne rozumieť výnimkám z GDPR
Presné pochopenie toho, ktoré údaje nespadajú pod pôsobnosť GDPR, pomáha firmám, organizáciám i jednotlivcom lepšie sa orientovať v rozsiahlej legislatíve a vyhnúť sa zbytočným povinnostiam alebo sankciám. Výnimky neznamenajú, že s danými údajmi možno nakladať bez rešpektu – v mnohých prípadoch sa stále vyžaduje dodržiavanie etických a legislatívnych zásad mimo rámca GDPR.
Ak máte pochybnosti o tom, či spracúvate údaje podľa GDPR alebo mimo jeho pôsobnosti, je vhodné konzultovať váš konkrétny prípad s odborníkom na ochranu údajov. Výnimky by nikdy nemali byť zámienkou pre zanedbanie ochrany súkromia jednotlivcov.
