Email a telefon člověka je osobním údajem dle GDPR
Shrnutí:
I neurčitá emailová adresa a jakékoli telefonní číslo konkrétních lidí v mnoha případech nevyžaduje příliš snahy pro identikaci majitele a je nutno je považovat za osobní údaj (pokud jsou uvedeny v kontextu určité vztažené informace – viz bod 1), bez ohledu na to, zda se nám konkrétního člověka podařilo identifikovat či nikoli. Jako správce osobních údajů musíte pracovat s variatou, že v té velké množině emailů a telefonů Vašich zákazníků bude mnoho, jež kdokoli snadno identifikuje.
Příklad: Jste majitelem e-shopu či společnosti zjišťující na internetu zájem potenciálních zákazníků o Váš produkt. Za účelem zasílání novinek o svých produktech shromažďujete emailové adresy či telefony zákazníků či potenciálních zákazníků. Jiná data neshromažďujete. Vztahují se na Vás pravidla do GDPR nebo jen předpisy upravující komunikaci informační společnosti?
Podíváte-li se na stránku EU „Co jsou osobní údaje„, zjistíte že je to mj. pracovní emailová adresa konkrétního člověka např. elon.musk@spacex.com nikoli již obecný email např. info@extasica.com. Většina emailových adres je ale ve tvaru, který neumožňuje přímou identifikaci uživatele emailu např. johny77@gmail.com či tomas.novy@gmail.com. Je taková email adresa také osobním údajem dle GDPR?
Evropská unie této důležité otázce ani ve výkladových materiálech nedává bližší vodítko. Na příslušeném odkazu k výkladu GDPR „Co jsou osobní údaje“ referuje dokonce ke směrnici zrušené právě nařízením GDPR a starému rozhodnutí Evropského soudného dvora, jež do věci nevnáší žádné světlo. Podobně zpátky se drží i český Úřad pro ochranu osobních údajů a výklady na internetu, kde dokonce mnozí emailovou člověka ve tvaru johny77@gmail.com či tomas.novy@gmail.com za osobní údaj dle GDPR nepovažují.
Osobní údaj definuje článek 4 odst. 1 GDPR v přesnější anglické definici jako:
‘personal data’ means any information relating to an identified or identifiable natural person
„osobními údaji“ se rozumí jakákoli informace vztahující se k indentifikované či identifikovatelné fyzické osobě
Odchylky z GDPR
Před samotným výkladem pro pořádek uvedu, že ochrana GDPR se vztahuje na lidi – fyzické osoby a jiné právní subjekty např. firmy, spolky, správní a samoprávné jednotky. Osobní údaje dle GDPR, tedy ani článek se tedy netýká telefonních ústředen, sběrných emailů společností apod.
Vztah k osobě (člověka)
Za prvé. Prvním pojmovým znakem osobního údaje (či osobní informace) je dle definice osobního údaje v čl 4 GDPR vztah (k osobě člověka). Osobním údajem není prostý identifikátor sám o sobě, ale pouze ve spojení s určitým kontextem či informací. Pokud náhodně vygenerujete databázi rodných čísel konkrétních žijících lidí, nepůjde o osobní údaj. Tím se identifikátor stane až ve spojení s jiným identifikátorem – např. že Jan Novák má konkrétní rodné číslo či konkrétní adresu a nebo ve spojení s jinou informací např. budete vědět, že lidé s danými rodnými čísly jsou či byli pacienti určité nemocnice, aniž by bylo evidováno, proč a kdy. Osobním údajem je tedy identifikátor osoby pouze ve spojení s jiným identifikátorem či jinou informací.
Identifikovatelnost člověka dotčeného informací
Druhým pojmovým znakem osobního údaje je způsobilost identifikátoru ve smyslu výše identifikovat konkrétního člověka. Např. v úzké skupině – třídě rodině, bude kritérium identifikovatelnosti konkrétního člověka někdy splňovat i pouhé křestní jméno či dokonce jen věk nebo ještě obecnější znak. Firmy zpravidla budou navenek – „v zákaznickém režimu“ pracovat s relativně velkou skupinou obyvatel určité oblasti (většinou státu) a to jsou ostatně i výchozí podmínky v článku řešené právní situace. Budeme následně hodnotit, zda email typu johny77@gmail.com či jakýkoli telefonní číslo člověka (nikoli ústředny či recepce firmy) má způsobilost jej identifikovat v rámci státu.
V literatuře k tomu v podstatě nejsou vodítka vyjma čl. 26 preambule GDPR:
„Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, … (red. kráceno), o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji. „
Každou emailovou adresu a telefonní číslo lze zadat do vyhledavače. Mhoho lidí má na webu pod emailovou adresou či telefonním číslem propojenou identitu. Např. při zadání emailu do vyhledavače může vyjet Vaše jméno a příjmení v databázi zabývající se např. hodnocením filmů či na nějakém fóru, kde jste v minulosti přidali komentář. Může se jednat i o nějakou profesní síť typu LinkedIn, Váš starý blog apod. Zadání emailové adresy či tel. čísla do inernetového vyhledvaře určitě není nad rámec snadno dostupné identifikace ve smyslu čl. 26 preambule GDPR citovaného výše. Nemluvě o tom, že člověka lze danými identifikátory přímo kontaktovat a metodami relativně jednoduchého sociálního inženýrství jej bez zásadní snahy opět identifikovat. Nabourání příslušných emailových či telefonních databází by patrně již bylo snahou – pátrací činností nad rámec čl. 26 GDPR. V neposlední řadě emailová adresa a telefonní číslo jsou unikátními identifikátory, jež nemá nikdo jiný. Jakýkoli unikátní identifikátor bude z hlediska GDPR vždy skutečností, jíž bychom neměli brát na lehkou váhu. Pokud je tento unikátní indentifikátor navíc kontaktním údajem, je riziko, že půjde o osobní údaj skutečně vysoké.
Souhlas se zpracováním osobním údajů dle GDPR v případě uchování pouhého emailu či telefonu
Není třeba údajů navíc
čl. 11 GDPR říká, že pro zpracování osobních údajů nepotřebujete za účelem získání souhlasu získávat další osobní údaje navíc. Nepotřebuje tedy příjmění, adresu, datum narození a při elektronickém souhlasu přes web dokonce ani podpis, ač k tomu chybně navádí většina internetových vzorů. To by ostatně šlo i proti smyslu GDPR. Citace čl. 11. GDPR: „Pokud účely, pro něž správce zpracovává osobní údaje, od správce nevyžadují nebo již nevyžadují identifikaci subjektu údajů, nemá správce povinnost uchovávat, získávat nebo zpracovávat dodatečné informace za účelem identifikace subjektu údajů výlučně kvůli dosažení souladu s tímto nařízením.“
Svobodnost a prokazatelnost souhlasu
Dle Čl 7 GDPR má být souhlas oddělen od ostatního obsahu např. od hlavní smlouvy. To lze realizovat samostatným zaškrtávacím políčkem. Souhlas má být svobodný a aktivně vyjádřený, tzn. políčko nesmí být předzašktnuté.
Souhlas lze zpětně doložit uchováním podepsaného dokumentu, a při elektronickém souhlasu bez podpisu např. ověřením emailové adresy (tzv. double opt in režim), případně jinou spolehlivou metodou.
Poučení v souhlasu dle GDPR čl. 13 GDPR (zjednodušeno na náš případ, pro jiné případy nutno individálně upravit)
Totožnost a kontaktní údaje správce
Účel zpracování. Je-li právním základem zpracování dobrovolný souhlas, který není jakkoli vynucen např. podmínkou poskytnutí jiné služby, netřeba uvádět, že právní základ pro zpracování je souhlas. To je zjevné. Uvede se jen důvod zpracování.
Odst. 2 čl. 13 obsahuje doplňující podmínky obsahu poučení v souhlasu, ale v našem jednoduchém případě, kdy se zpracovává jen email, případně telefon, bez jména a dalších údajů, dává smysl jen poučení o možnosti odvolání souhlasu resp. výmazu údaje z databáze obchodu.
Příklad textu webového souhlasu se zpracovním emailu dle GDPR (analogicky lze aplikovat i na telefonní číslo) :
„prázdné zašktávací políčko na pokladně resp. pole pro vyplnění emailu kdekoli na webu“ a následný text:
Chci dostávat emailové novinky. Můj email bude užit pouze za tímto účelem a vymazán z databáze provozovatele obchodu na mou žádost či kliknutím na odkaz „odhlásit“ přítomný v každé zprávě (více viz stránka Soukromí).
Text byl koncipován jako minimalistický. Lze jakkoli rozšířit např. o oblast novinek či periodu novinek či způsob uchování adresy (diskrétně) aj.