Podle GDPR je osobním údajem jakákoliv informace o identifikované fyzické osobě. Takže jde i o údaje, které lze ke konkrétní osobě přiřadit nepřímo.
Možná jste si mysleli, že pokud ze své databáze odstraníte údaje jako jsou rodné číslo nebo jméno a příjmení, je vše vyřešeno. Bohužel to není tak jednoduché. Podle GDPR je osobním údajem jakákoliv informace o identifikované fyzické osobě. Takže jde i o údaje, které lze ke konkrétní osobě přiřadit nepřímo.
Pokud tedy ve svých záznamech máte obsaženy osobní informace o zaměstnanci jako jsou například věk, dosažené vzdělání, kvalifikace, výši mzdy, stále se jedná o osobní údaje, i když odstraníte přímé identifikátory.
V praxi jsou osobními údaji i data, která správce upraví například technikou takzvaného hashování. Ačkoli díky této technice nejsou obsaženy žádné přímé identifikátory, ve chvíli, kdy je správce předá třetí straně, opět jsou tato data brána jako osobní údaje. Připadá vám to nesmyslné? Ne tak docela. Správce je totiž na základě původních dat stále schopen provést zpětnou identifikaci. Pokud správce původní data odstraní, pak se bude jednat o pseudonymizované údaje, které jsou chráněny bezpečnostním opatřením, což znamená značné snížení rizika, avšak stále podléhající GDPR.
Jediným způsobem, jak správce může určitá data z režimu GDPR vyjmout, je ten, že provede jejich anonymizaci. Data musí být upravena takovým způsobem, že nebude možné je přiřadit ke konkrétní fyzické osobě.
Chcete mít jistotu, že se svými daty zacházíte správně a dodržujete vše potřebné, abyste byli v souladu s GDPR? Náš tým je tady pro vás!
