Ach jo. Lidi! Nejhorší je, že ani různí právníci a rádoby poradci prostě nětuší, co to jsou osobní údaje. Takže GDPR definice podle článku 4, odstavec 1:
„osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě ...
Veškeré!
Osobním údajem je tedy také historie nákupů ve vašem e-shopu, detaily o vaší půjčce, informace o tom, že jste si v masně koupili dva párky, že vlastním kolo značky Merida staré 11 let, že můj synek se jmenuje Janek, že máte rádi pálivej stejk, co si stahujete za filmy a které novinové články jste si přečetli, i když jste je nelajkovali, že jste byli na služební cestě v Mnichově, fotka vaší boty i fakt, že pracujete ve firmě XY, značka SPZ vašeho rodinného vozu, hodnota faktury za plyn, teplou vodu a telefon, nebo faktura za novou koupelnu.
Ani jedno z toho předchozího není identifikující údaj. To sice znamená, že podle této informace vás asi nikdo přesně neidentifikuje, nejspíš ani podle kombinace těchto údajů. Ale jsou to pořád vaše osobní údaje a musí požívat dostatečnou ochranu.
Takže není potřeba chránit jenom emailovou adresu a telefonní číslo a fotky obličejů. Ano, to jsou ty identifikující údaje. Ale uvědomte si, že únik samotných identifikujících údajů sám o sobě není zrovna to riziko, kvůli kterému tady GDPR přichází a vůbec stávající ochrana osobních údajů dávno je.
To že unikne seznam emailových adres ohrožuje koho a jak? Jo mohl by vám chodit spam. Tý jo, tak to se třesu strachem. Naopak únik těch prvních neidentifikujících údajů, které je skrze nějaký identifikující (nebo jejich kombinaci) možné navázat na fyzickou osobu, je to skutečné riziko.
Tzn. pokud unikne seznam jmen plus hodnota faktury za stavbu nové koupelny, ohrožuje to fyzické osoby například tím, že se zloději domáknou těch bohatších a půjdou se k nim podívat. Sousedé vám budou závidět a pomlouvat vás, za co utrácíte. Ohrožuje to i ty chudší faktury, protože se jim budou ostatní posmívat, že mají sračkovou koupelnu. Pokud někdo vystaví na netu seznam jmen a SPZ, jasně vás budou někteří hejtovat pokud pojedete někde rychle, pomalu, nebo budete stát, nebo předjíždět, nebo naopak předjíždět nebudete.
Takže chránit je potřeba všechny informace o fyzických osobách, které jsou na tyto osoby nějak, jakkoliv, identifikovatelné.
Při hodnocení úniku je potom potřeba si uvědomit co skutečně uniklo. Ne jestli unikl seznam emailů, hesel a fotek. To jsou všechno jen identifikující údaje, které moc rizika nepředstavují (kromě případu, kdy na fotce máte obřího jebáka co se zrovna chystá prasknout, nebo se drbete na zadku hřebínkem pro panenky).
Aby to byl únik, není ani nutné, aby identifikovatelnost osob byla nějaká "širokopásmová". Stačí, že se někdo, kdo o někom jiném něco nevěděl, je schopen o něm něco dozvědět :-)
Takže si buďte jisti, že i reklamní bilboard Lidl s nabídkou "každá pokladní 25 000+" je tedy kurva zveřejnění osobních údajů! Jestli je kdokoliv schopen přijít do Lidla a vidí tam pokladní, nebo ví, že jeho sousedka je tam pokladní, tak se právě dozvěděl, že ta osoba vydělává 25+.