IT rekvalifikácia. Seniorní programátori zarábajú až 6 000 €/mesiac a rekvalifikácia je prvým krokom. Zisti, ako na to!

2. diel - GDPR kompletne a ľudsky - Slovník pojmov

V minulej lekcii, GDPR kompletne a ľudsky - Úvod do nariadenia , sme si urobili úvod do nariadenia a uistili sa o tom, že sa nás týka. Dnes budeme pokračovať vo výklade pojmov, ktoré sa v nariadení objavujú, aby sme sa o nich potom boli schopní ľahšie baviť ďalej v kurze.

Slovník pojmov uvedených v nariadení

Profilovanie

Profilovanie sa GDPR obzvlášť nepáči. Myslí sa tým akákoľvek forma automatizovaného spracovania osobných údajov spočívajúca v ich použitia na hodnotenie niektorých osobných aspektov vzťahujúcich sa k fyzickej osobe, najmä k rozboru alebo odhadu aspektov týkajúcich sa jej pracovného výkonu, ekonomickej situácie, zdravotného stavu, osobných preferencií, záujmov, spoľahlivosti, správanie , miesta, kde sa nachádza alebo pohybu.

Typickým príkladom môže byť napríklad algoritmizácie a radenie osôb do skupín typu "chudobný kresťan", "milovník JavaScriptu" apod.

Takéto radenie je už možné len so súhlasom dotknutých osôb alebo odôvodnením uvedeným v zmluve, ktorá je s dotknutou osobou uzavretá. Profilovanie často podpisujeme napr. Pri preskúmaní našej bonity v žiadosti o bankovú pôžičku.

Pseudonymizace

Mantrou webmasterov vyrovnávajúcich sa s nariadením GDPR je tzv. Pseudonymizace. Jedná sa o spracovaní osobných údajov tak, že už nemôžu byť priradené konkrétnemu subjektu údajov bez použitia dodatočných informácií, ako sú dodatočné informácie uchovávané oddelene a vzťahujú sa na ne technické a organizačné opatrenia, aby sa zabezpečilo, že nebudú priradené identifikovanej alebo identifikovateľnej fyzickej osoby .

V praxi to znamená, že napr. Nemôžeme naďalej evidovať email človeka, ktorý nám spamuje fórum, keď sa odvolal na nariadenie GDPR. Nič nám však v praxi nebráni urobiť si z tohto emailu hash a tak zabrániť ďalším nevyžiadaným príspevkom z jeho strany zakaždým, keď svoj email niekam vloží, bez toho aby sme ho mali uložený.

Evidenciou osobných údajov je v tomto prípade myslené akýkoľvek štruktúrovaný súbor osobných údajov prístupných podľa osobitných kritérií, či už je centralizovaný, decentralizovaný, alebo rozdelený na funkčnej alebo geografickej báze.

V prípade pseudonymizace je nutné vykonať 2 kroky, a to:

  • Príslušné údaje vedené o fyzickej osobe anonymnosť
  • Príslušné údaje ďalej oddeliť od osoby, ku ktorej majú nadväznosť (napr. Zahashovaný email nebude už uložený u užívateľského konta, ale oddelene niekde na čiernej listine)

Uveďme si ďalší príklad. V prípade užívateľov a ich IP adries treba IP adresu od anonymizovaného užívateľa úplne oddeliť a uchovávať ju uloženú v inej tabuľke.

Správca

Správcom je ten, kto rozhoduje o spracovaní osobných údajov. Z definície GDPR je to fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými, určí účely a prostriedky spracovania osobných údajov. Ak sú účely a prostriedky tohto spracovania určené právom Únie alebo členského štátu, môže toto právo určiť dotknutého správcu alebo osobitné kritériá jeho určenia.

Spracovateľ

Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje pre správcu.

Príjemcu

Príjemca potom samozrejme osobné údaje prijíma, to sú napríklad zamestnanci firmy alebo návštevníci webu. Z definície GDPR je príjemca fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorým sú osobné údaje poskytnuté, či už sa jedná o tretiu stranu, alebo nie. Avšak orgány verejnej moci, ktoré môžu získavať osobné údaje v rámci osobitného vyšetrovania v súlade s právom členského štátu, sa za príjemcu nepovažujú. Spracovanie týchto osobných údajov týmito orgánmi verejnej moci musí byť v súlade s platnými pravidlami ochrany údajov pre dané účely spracovania.

Tretia strana

GDPR často hovorí o prenose osobných údajov tretej strane. Kto že to je? Definícia hovorí, že fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý nie je subjektom údajov, správcom, spracovateľom ani osobou priamo poverenia kontrolóra alebo spracovateľom, ktorá je oprávnená na spracovanie osobných údajov.

Súhlas

A teraz k súhlasu, ktorý je niekedy od užívateľa na spracovanie osobných údajov nutný. Kedy presne to tak je si povieme podrobne počas kurzu.

Súhlas je z definície znamená slobodne konkrétny, informovaný a jednoznačný prejav vôle, ktorým dotknutá osoba dáva vyhlásením či iným zjavným potvrdením svoj súhlas na spracovanie svojich osobných údajov.

Nestačí púhe zaškrtnutie príslušného checkboxu užívateľov s tým, že so spracovaním údajov súhlasí. Musí tu byť aj vypísané s čím konkrétne, aký bude mať uchovanie týchto informácií dopad a ďalej dôvod, prečo takéto informácie potrebujeme vôbec zhromažďovať.

Porušenie zabezpečenia osobných údajov

Tu je to jednoduché. Jedná sa o porušenie zabezpečenia, ktoré má za následok náhodné alebo nezákonné zničenie, stratu, zmenu alebo neoprávnenému poskytnutiu alebo sprístupnenie prenášaných, uložených alebo inak spracovávaných osobných údajov.

Genetický a biometrický údaj

  • Genetický údaj sú dáta z biologického vzorky
  • Biometrický údaj je napr. Tvár (vzdialenosť medzi očami), odtlačok prsta, záleží podľa technického spracovania - nemusí to byť len fotografie

S týmto konkrétne mal problém napríklad Facebook, ktorý musel súhlas s takýmto spracovaním implementovať. Jedná sa najmä o jeho funkcionalitu rozpoznanie tváre na fotkách. V prípade uloženia púhe fotografie bez použitia príslušných algoritmov sa o biometrický údaj nejde.

Hlavná prevádzkareň

Hlavnou prevádzkareň je v nariadení definovaná pre prípady, keď pôsobí podnik vo viacerých štátoch, kde prijímate rozhodnutie o spracovaní OÚ a podobne. Myslím, že pre naše účely sa týmto nemusíme príliš zaoberať.

Veci ohľadom nariadenia GDPR za nás potom môže riešiť zástupcu.

Podnik

GDPR pracuje s pojmom podnik. Podnikom je myslená akákoľvek fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu, vrátane osobných spoločností alebo združenia, ktoré pravidelne vykonávajú hospodársku činnosť.

Ďalej môžeme naraziť na pojem Skupina podnikov = riadiaci podnik a ním riadené podniky, medzi ktorými sa údaje subjektov odovzdávajú.

Záväzné firemné pravidlá

Ak chceme podnikať z EÚ mimo EÚ, musíme dodržiavať tzv. Záväzné firemné pravidlá. Jedná sa o koncepcii ochrany osobných údajov, ktorú dodržiava správca alebo spracovateľ. V našom prípade sa opäť jedná skôr o látku nad rámec kurzu. Venovať sa budeme hlavne príprave českého podniku (a jednotlivcov, ktorí sú podľa GDPR tiež podniky) na toto nariadenie.

Dozorný úrad a Dotknutý dozorný úrad

Úrad dohliadajúci na dodržiavanie GDPR je ÚOOÚ, ako sme si už uviedli na začiatku minulej lekcie. Ak chceme podnikať vo viacerých štátoch, stretneme sa s pojmom Príslušný dozorný úrad v určitom štáte.

Myslím, že úvod sme si urobili veľmi solídny. V budúcej lekcii, GDPR kompletne a ľudsky - Zásady spracovanie osobných údajov , sa bližšie pozrieme na prvé konkrétne zásady spracovania osobných údajov.


 

Predchádzajúci článok
GDPR kompletne a ľudsky - Úvod do nariadenia
Všetky články v sekcii
GDPR kompletne a ľudsky
Preskočiť článok
(neodporúčame)
GDPR kompletne a ľudsky - Zásady spracovanie osobných údajov
Článok pre vás napísal David Hartinger
Avatar
Užívateľské hodnotenie:
Ešte nikto nehodnotil, buď prvý!
David je zakladatelem ITnetwork a programování se profesionálně věnuje 15 let. Má rád Nirvanu, nemovitosti a svobodu podnikání.
Unicorn university David sa informačné technológie naučil na Unicorn University - prestížnej súkromnej vysokej škole IT a ekonómie.
Aktivity