Sú písomky osobný údaj podľa GDPR?

Čo všetko sa považuje za osobný údaj nie je mnohým celkom jasné. Považujú sa za osobný údaj aj odpovede na skúškach a poznámky skúšajúceho? Súdny dvor EÚ k tomu zaujal jasné stanovisko.

Čo je osobný údaj?

Pojem osobný údaj definuje GDPR a zákon č. 18/2018 Z.z. o ochrane osobných údajov. Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu. Za osobný údaj sa teda považujú všetky informácie, ktoré sa týkajú fyzickej osoby. Čo sa môže dotýkať fyzickej osoby, ktorú pomocou osobného údaju môžeme identifikovať, resp. osoba na základe neho môže byť identifikovateľná je ponímané veľmi široko. Mnohokrát je preto zložité vyselektovať, čo pod tento pojem nezaraďujeme.

Sú odpovede na skúškach osobný údaj?

Otázke, či sú odpovede na skúškach osobný údaj, sa venoval Súdny dvor EU. V rozsudku týkajúceho sa pána Petra Nowaka konštatoval, že odpovede na skúškach sú osobný údaj, nakoľko odrážajú znalosti dotknutej osoby v určitej oblasti, ako aj jej myslenie a spôsob uvažovania.

Popis súdneho sporu

Peter Nowak absolvoval viacero skúšok na pozícii účtovného praktikanta. Na jednej zo skúšok nebol úspešný. Keďže disponoval mnohými vedomosťami zo svojho odboru ktorým veril, v roku 2009 podal sťažnosť, v ktorej spochybnil výsledky neúspešnej skúšky. Sťažnosť bola zamietnutá. Preto podal žiadosť o sprístupnenie všetkých svojich osobných údajov, ktoré mala v držbe účtovnícka komora. V roku 2010 mu komora dokumenty sprístupnila s výnimkou kópie jeho neúspešnej skúšky. Odôvodňovali to tým, že skúška neobsahovala žiadne osobné údaje.

S konaním účtovníckej komory pán Nowak nesúhlasil a na Najvyššom súde v Írsku sa domáhal spochybnenia rozhodnutia, podľa ktorého kópie skúšok nepredstavujú osobné údaje. Írsky Najvyšší súd položil Súdnemu dvoru EÚ otázku, či písomné odpovede uchádzača na odbornej skúške a prípadné poznámky skúšajúceho k nej predstavujú osobné údaje fyzickej osoby.

Podľa stanoviska Súdneho dvora EÚ si treba v prvom rade uvedomiť, že na spornej kópii skúšky je uvedené meno a priezvisko uchádzača, prípadne jeho osobné číslo. Je teda bezpredmetné, že či v čase opravovania testu skúšajúci dokázal uchádzača identifikovať alebo nie.

Ako sme už upozornili vyššie, pojem „akákoľvek informácia týkajúca sa dotknutej osoby“ je veľmi široký. Súdny dvor sa k tomuto pojmu vyjadril preto tak, že pod neho nespadajú iba citlivé údaje alebo údaje, ktoré zaraďujeme medzi súkromné. Pod tento pojem je potrebné subsumovať aj informácie týkajúce sa hodnotení alebo názorov dotknutej osoby. Odpovede na odbornej skúške nepochybne s uchádzačom ako dotknutou osobou súvisia. Odrážajú jeho znalosti v určitej oblasti ako aj jeho myslenie a spôsob uvažovania. Cieľom odpovedí je zhodnotiť odborné znalosti uchádzača. Na základe odpovedí uchádzača skúšajúci rozhodne, či bol uchádzač na skúške úspešný alebo nie, preto odpovede uchádzača ovplyvňujú jeho práva a záujmy.

Záverom preto konštatujeme, že odpovede uchádzača na písomnej skúške spadajú medzi informácie, ktoré sa týkajú dotknutej osoby, a teda  GDPR by im malo poskytnúť ochranu.

Sú poznámky skúšajúceho osobný údaj?

Ďalšou oblasťou údajov, pri ktorých vzniká otázka či sú chránené GDPR sú poznámky skúšajúceho k odpovediam uchádzača odbornej skúšky. Prostredníctvom poznámok skúšajúci hodnotí znalosti a schopnosti uchádzača. Tieto poznámky sa uchádzača nepochybne týkajú, a preto ich je potrebné považovať za osobný údaj.

Osobným údajom však nie sú otázky položené na skúške. Rovnaký názor zastáva aj Súdny dvor EÚ, podľa ktorého skúšobné otázky nemajú charakter osobných údajov.

Posúdiť aké informácie sa považujú za osobný údajov môže byť často krát problematické. Pokiaľ nesprávne určíte rozsah osobných údajov, ktoré spracúvate a neposkytnete osobným údajom dostatočnú ochranu, hrozia vám likvidačné pokuty.

Zverte agendu ochrany osobných údajov do rúk profesionálov. Na základe auditu vám poradíme ako nastaviť právne vzťahy pri spracúvaní osobných údajov a odporučíme vhodné bezpečnostné opatrenia. Následne Vám vypracujeme komplexnú dokumentáciu ku GDPR, ktorou v prípade kontroly preukážete súlad spracúvania osobných údajov v súlade s GDPR. Ak máte otázky kontaktujte nás e-mailom na info@lanikovagroup.sk alebo telefonicky na 0948/264 244.

Pokiaľ si chcete GDPR spraviť sami,  objednajte si našu praktickú príručku s kompletnými vzormi pre jednoduché a rýchle zavedenie GDPR do praxe GDPR v praxi.