Čo je osobný údaj?

Osobný údaj je akákoľvek informácia, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby. Osobu možno identifikovať priamo (napríklad meno a priezvisko, adresa, číslo dokladu) alebo nepriamo (napríklad e‑mailový alias, IP adresa, dátum narodenia v spojení s pracoviskom). Medzi osobné údaje patria aj online identifikátory, lokalizačné údaje či biometrické znaky, ak dokážu určiť konkrétnu osobu. Otázka „čo je osobný údaj“ sa v praxi spája so správnym posúdením, či informácia niekoho identifikuje sama osebe alebo v kombinácii s inými údajmi.

Osobné údaje majú podskupinu s vyššou ochranou: tzv. osobitné kategórie (napríklad údaje o zdraví, biometria na jedinečnú identifikáciu, údaje o rasovom či etnickom pôvode, politických názoroch, náboženstve alebo sexuálnej orientácii). S nimi sa nakladá prísnejšie a vyžadujú osobitný právny dôvod.

Právny rámec: osobný údaj podľa GDPR a slovenskej úpravy

Vymedzenie vychádza z čl. 4 ods. 1 Nariadenia (EÚ) 2016/679 (GDPR): osobný údaj je informácia o identifikovanej alebo identifikovateľnej fyzickej osobe, ktorú možno určiť najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje alebo online identifikátor, prípadne na jeden či viac prvkov špecifických pre jej identitu. Slovenský zákon č. 18/2018 Z. z. o ochrane osobných údajov túto definíciu preberá a dopĺňa procesné pravidlá; pozri najmä § 2 a nasl. (dostupné na Slov-Lex).

Spracovanie osobných údajov je zákonné, len ak má prevádzkovateľ platný právny základ (napríklad plnenie zmluvy, zákonná povinnosť, oprávnený záujem, životne dôležitý záujem, verejný záujem alebo súhlas). Pri osobitných kategóriách údajov sa uplatňujú dodatočné podmienky.

Kedy ide o osobný údaj a kedy nie

Ak informácia umožní identifikovať človeka priamo alebo v kombinácii s inými dostupnými dátami, ide o osobný údaj. Preto je odpoveď na praktické otázky „je meno osobný údaj“ a „je meno a priezvisko osobný údaj“ jednoznačne áno. Samotné meno môže byť v malej firme alebo tíme dostatočne jedinečné, aby určovalo konkrétnu osobu.

Anonymizované údaje, pri ktorých už identifikácia nie je možná ani pri použití dodatočných informácií, osobnými údajmi nie sú. Naopak pseudonymizované údaje (napríklad nahradenie mena kódom, ktorý možno vrátiť späť) zostávajú osobnými údajmi. Niektoré technické údaje, ako IP adresa alebo identifikátor zariadenia, sú osobné, ak sa vzťahujú ku konkrétnemu používateľovi.

Osobný údaj v HR a IT praxi

V nábore a zamestnaneckom cykle vznikajú široké spektrá údajov: životopisy, motivačné listy, výsledky testov, referencie, pracovné zmluvy, mzdové a dochádzkové dáta. V systémoch typu ATS (systém na správu kandidátov) alebo HRIS (informačný systém HR) prebieha spracovanie osobných údajov počas výberu, onboardingu aj celého pracovného pomeru. V IT prostredí pribúdajú logy prístupov, identifikátory účtov, záznamy z nástrojov spolupráce a v režime BYOD (používanie vlastných zariadení na prácu) aj údaje z mobilov či notebookov.

Právnym základom pre predzmluvné konanie je najčastejšie plnenie zmluvy alebo oprávnený záujem, pričom súhlas sa používa najmä na nadštandardné účely (napríklad talent pool). Uchovávanie údajov z výberových konaní má mať jasne určené lehoty a pravidlá pre výmaz. Transparentná interná dokumentácia, obmedzenie prístupu podľa rolí a šifrovanie zvyšujú bezpečnosť a znižujú riziká pre dotknuté osoby.