IT rekvalifikácia. Seniorní programátori zarábajú až 6 000 €/mesiac a rekvalifikácia je prvým krokom. Zisti, ako na to!

1. diel - GDPR kompletne a ľudsky - Úvod do nariadenia

Aké regulácie pre vás z nariadenia GDPR vyplývajú? Potrebujete naozaj na všetko explicitné súhlas užívateľov? Sú tu aj nejaké výnimky? Prípadne aké? To všetko a oveľa viac si povieme v tomto praktickom kurze, ktorý sa nariadenie o ochrane osobných údajov - čiže GDPR (General Data Protection Regulation) - venuje podrobne. Kurz bol vytvorený od základu priamo podľa textu samotného nariadenia a vyvracia mnoho neprávd a nediferencovaných interpretácií, ktoré na internete bohužiaľ kolujú a stránky si ich navzájom od seba kopírujú. A to aj keď za ich porušenie hrozia miliónové pokuty.

Ako implementovať nariadenia GDPR - GDPR kompletne a ľudsky

V rámci implementácie GDPR na ITnetwork.cz si bolo potrebné toto nariadenie naštudovať pomerne detailne. Z verejne dostupných informácií však nebolo príliš jasné, čo presne nariadenia podlieha a na čo všetko sa vzťahuje - informácie sa na každom serveri líšili a niekedy si aj navzájom odporovali. V nasledujúcich lekciách sme preto zhrnuli všetko podstatné a relevantné v zákone obsiahnuté tak, aby to pre ľudí, ktorí majú záujem sa s ním zoznámiť alebo ho trebárs aj aplikovať na svoj business, bolo čo najviac zrozumiteľné.

Pár všeobecných informácií úvodom

Uveďme sa všeobecnými informáciami o súčasnej problematike ochrane osobných údajov.

Nariadenia

Nariadenie GDPR nadobudlo účinnosť 25. mája 2018. Na jeho implementáciu a dodržiavanie všetkých pravidiel u nás dohliada Úrad na ochranu osobných údajov - ÚOOÚ. Kompletné znenie nariadenia potom môžete stiahnuť práve na jeho stránkach - viď odkaz.

Obsah nariadenia

Nariadenie ako také sa skladá celkom z 88 strán, ktoré tvoria:

  • Recitál, čiže dôvody, prečo samotné nariadenie vôbec vzniklo. Táto časť pre nás nie je nijako dôležitá.
  • Nariadenie samotné, ktoré je pre nás naopak absolútne kľúčové, zaberá zhruba polovicu dokumentu a teoreticky ho možno za 1-2 dni prečítať.
  • Kódexy správania, čo sú vydávané osvedčenia o preukázanie súladu s nariadením. Tie pre nás nie sú príliš zaujímavé a upresníme si ich na konci kurzu.

Zoznam článkov nariadenia

Pretože sa v lekciách budeme občas odvolávať na články v plnom znení nariadenia GDPR, uveďme si tu ich zoznam. Najdôležitejšie sú články 15 - 22. Ich názvy vám teraz síce nič nepovedia, ale počas kurzu sa k nim môžete vrátiť. Túto pasáž môžete teraz len preletieť očami.

  • Článok 11 - Spracovanie, ktoré nevyžaduje identifikáciu
  • Článok 12 - Transparentné informácie, oznámení a postupy pre výkon práv dotknutých osôb
  • Článok 13 - Informácie poskytované v prípade, že osobné údaje sú získané od subjektu údajov
  • Článok 14 - Informácie poskytované v prípade, že osobné údaje neboli získané od subjektu údajov
  • Článok 15 - Právo dotknutej osoby na prístup k osobným údajom
  • Článok 16 - Právo na opravu
  • Článok 17 - Právo na výmaz ( "právo byť zabudnutý")
  • Článok 18 - Právo na obmedzenie spracovanie
  • Článok 19 - Oznamovacia povinnosť o oprave alebo vymazaniu osobných údajov alebo obmedzenie spracovania
  • Článok 20 - Právo na prenosnosť údajov
  • Článok 21 - Právo namietať
  • Článok 22 - Automatizované individuálne rozhodovanie, vrátane profilovanie
Na koho sa nariadenie vzťahuje

Nariadenie sa vzťahuje na všetky subjekty. Výnimku majú len fyzické osoby, vykonávajúce spracovanie osobných údajov v priebehu výlučne osobných či domácich činností (príkladom môžu byť napríklad kontakty uložené v súkromnom mobilnom telefóne).

Zákon o informačnej spoločnosti

Nariadenie nemá vplyv na uplatňovanie smernice 2000/31 / ES (tzv. Zákon o informačnej spoločnosti). Prevádzkovatelia aplikácií tak môžu napríklad krátkodobo ukladať osobné dáta do vyrovnávacej pamäte. Zodpovednosti poskytovateľov sprostredkova­teľských služieb sa potom konkrétnejšie venujú články 12 - 15, kde nájdeme okrem iného aj výnimky týkajúce sa:

  • Prostého prenosu - Máme zodpovednosť iba za dáta na našom serveri, nie za ich prenos. Ako tam pretečú nie je naša zodpovednosť.
  • Zhromažďovanie informácií - Nezodpovedáme za dáta zaznamenané užívateľmi.
  • Žiadna všeobecná povinnosť monitorovať - Nemusíme aktívne sledovať, čo kto na web nahráva.

Príkladom odvolanie na tento zákon môže byť napríklad server Ulož.to, kedy je na serveri umiestnený ilegálny obsah, avšak jeho vlastníci sa odvolávajú na to, že sú iba "poštou", ktorá nie je zodpovedná za nahraný obsah.

Pôsobnosť

Nariadenie sa vzťahuje na spracovanie osobných údajov subjektov, ktoré sa nachádzajú v Európskej únii, správcom alebo spracovateľom, ktorý nie je usadený v Únii, ak činnosti spracovanie súvisia s ponukou tovaru / služieb (za odplatu alebo zadarmo, monitorovanie správanie). To znamená, že aj keď by sme si založili firmu mimo EÚ, tak ak budeme spracovávať osobné dáta rezidentov EÚ, musíme spĺňať GDPR.

Toto nariadenie sa vzťahuje na spracovanie osobných údajov správcom, ktorý nie je usadený v Únii, ale na mieste, kde sa právo členského štátu uplatňuje na základe medzinárodného práva verejného. Ak spracovávate údaje subjektov nachádzajúcich sa v EÚ, toto nariadenie sa na vás vzťahuje v plnej výške.

Slovník pojmov uvedených v nariadení

Už teda vieme, kde GPDR nájdeme a že sa nás týka. Aby sme sa o nariadenie mohli ďalej baviť, je treba si úvodom definovať nejaké základné pojmy, ktoré sa v ňom vyskytujú.

nariadenie GDPR - GDPR kompletne a ľudsky

Osobný údaj

Osobným údajom sú myslené všetky informácie o identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len "dotknutá osoba"). To znamená, že ak máte na serveri dostatočné informácie na to, aby mohlo dôjsť k identifikácii príslušnej osoby (aj na základe údajov, ktoré nemusia mať nutne status údajov osobných), je už potrebné dodržiavať nejaké pravidlá zaobchádzania s nimi.

Identifikovateľná fyzickou osobou je osoba, ktorú možno priamo alebo nepriamo identifikovať najmä odkazom na určitý identifikátor, napríklad meno, identifikačné číslo, lokačné údaje, sieťový identifikátor (IP adresa) alebo jedného alebo viacerých faktorov špecifických fyzickú, fyziologickú, genetické, mentálnu, ekonomickú, kultúrnej alebo spoločenskej identity tejto fyzickej osoby.

Zjednodušene môžeme povedať, že akonáhle ukladáme čokoľvek, z čoho by bolo možné jednoznačne danú osobu určiť alebo ju dokonca nájsť, musíme tieto dáta regulovať podľa nariadenia GDPR. A to môže byť aj len emailová adresa.

Spracovanie

Spracovaním je myslená akákoľvek operácia alebo súbor operácií s osobnými údajmi alebo súbory osobných údajov, ktorý je vykonávaný pomocou automatizovanými alebo postupov, ako je zhromaždenie, zaznamenanie, usporiadanie, štruktúrovanie, uloženie, prispôsobenie alebo pozmenenie, vyhľadanie, nahliadnutie, používanie, sprístupnenie prenosom , šírenie alebo akékoľvek iné sprístupnenie, zoradenie či skombinovaní, obmedzenia, vymazanie alebo zničenie.

Obmedzené spracovanie

Nariadenie hovorí o práve subjektov na tzv. Obmedzenia spracovania. To je označenie uložených osobných údajov ako "zmrazených". Takéto údaje už nesmieme spracovávať, iba ich máme uložené a nie sú už dostupné, kým nedôjde k zrušeniu tohto obmedzenia.

V budúcej lekcii, GDPR kompletne a ľudsky - Slovník pojmov , budeme v pojmoch pokračovať. Dôležité pre nás budú najmä profilovanie a pseudonymizace.


 

Všetky články v sekcii
GDPR kompletne a ľudsky
Preskočiť článok
(neodporúčame)
GDPR kompletne a ľudsky - Slovník pojmov
Článok pre vás napísal David Hartinger
Avatar
Užívateľské hodnotenie:
Ešte nikto nehodnotil, buď prvý!
David je zakladatelem ITnetwork a programování se profesionálně věnuje 15 let. Má rád Nirvanu, nemovitosti a svobodu podnikání.
Unicorn university David sa informačné technológie naučil na Unicorn University - prestížnej súkromnej vysokej škole IT a ekonómie.
Aktivity