GDPR – Co jsou citlivé osobní údaje?

Neustále se mluví o tom, co vše je podle GDPR považováno za osobní údaje, málo se však mluví o citlivých osobních údajích.

Definice osobních údajů dle GDPR: Osobní údaje znamenají jakoukoliv informaci vztahující se k určitému nebo určitelnému jedinci. Jinými slovy jakákoliv informace, která je zjevně o konkrétní osobě. Za jistých podmínek to může zahrnovat cokoliv od něčího jména až po jejich fyzický vzhled.

Citlivé osobní údaje jsou sadou speciálních kategorií, které musí být ošetřeny se zvýšenou mírou zabezpečení. Tyto kategorie jsou:

– rasový nebo etnický původ

– politické názory

– náboženské nebo filozofické víry

– členství v odborových organizacích

– genetické údaje

– biometrická data (tam, kde se zpracovávají k jednoznačné identifikaci jedince)

Citlivé osobní údaje by měly být drženy odděleně od ostatních osobních údajů, nejlépe v zamčeném šuplíku nebo kartotéce. Tak jako obecně se všemi osobními údaji, na přenosných zařízeních a počítačích by měly být tyto soubory uchovávány pouze v zašifrované a/nebo zpseudonymizované podobě.

Pseudonymizace maskuje údaje nahrazením identifikovacích informací umělými identifikátory. Přestože má být hlavním způsobem ochrany dat a může pomoci ochránit soukromí a bezpečnost osobních údajů, má i pseudonymizace svá omezení, což je důvodem, proč GDPR zmiňuje také šifrování.

Šifrování také znejasní informace nahrazením identifikátorů něčím jiným. Ale zatímco pseudonymizace umožňuje komukoliv s přístupem k datům vidět část datové sady, šifrováním umožňuje přístup k celé datové sadě pouze oprávněným osobám.

Pseudonymizace a šifrování mohou být použity současně nebo samostatně.

 

Získání souhlasu

Běžným neporozuměním o GDPR je, že všechny organizace musejí požadovat souhlas se zpracováním osobních údajů. Ve skutečnosti je souhlas pouze jedním ze šesti možných legálních základů pro zpracování osobních údajů a přísná pravidla ohledně oprávněných žádostí o souhlas z něj činí tu nejméně preferovatelnou.

Budou však i případy, kdy souhlas bude tou nejvhodnější možností a organizace si musí být vědomy, že potřebují výslovný souhlas ke zpracování citlivých osobních údajů.

Takovéto nuance se táhnou napříč celou problematikou GDPR a každá organizace, která si nenašla čas na podrobné prostudování požadavků na soulad s nařízením, má velkou šanci zaškobrtnout. To může vést k dlouhodobému poškození od nařízených opatření a pokut až po špatnou publicitu a ztrátu zákazníků.

Napsat komentář