Vydělávej až 160.000 Kč měsíčně! Akreditované rekvalifikační kurzy s garancí práce od 0 Kč. Více informací.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Lekce 1 - GDPR kompletně a lidsky - Úvod do nařízení

Jaké regulace pro vás z nařízení GDPR vyplývají? Potřebujete opravdu na vše explicitní souhlas uživatelů? Jsou zde i nějaké výjimky? Případně jaké? To vše a mnohem více si povíme v tomto praktickém kurzu, který se nařízení o ochraně osobních údajů - neboli GDPR (General Data Protection Regulation) - věnuje podrobně. Kurz byl vytvořen od základu přímo podle textu samotného nařízení a vyvrací mnoho nepravd a nekonkrétních interpretací, které na internetu bohužel kolují a stránky si je navzájem od sebe kopírují. A to i když za jejich porušení hrozí milionové pokuty.

Jak implementovat nařízení GDPR - GDPR kompletně a lidsky

V rámci implementace GDPR na ITnetwork.cz si bylo potřeba toto nařízení nastudovat poměrně detailně. Z veřejně dostupných informací však nebylo příliš jasné, co přesně nařízení podléhá a na co všechno se vztahuje - informace se na každém serveru lišily a někdy si i navzájem odporovaly. V následujících lekcích jsme proto shrnuli vše podstatné a relevantní v zákoně obsažené tak, aby to pro lidi, kteří mají zájem se s ním seznámit nebo ho třeba i aplikovat na svůj business, bylo co nejvíce srozumitelné.

Pár obecných informací úvodem

Uveďme se obecnými informacemi o současné problematice ochraně osobních údajů.

Nařízení

Nařízení GDPR nabylo účinnosti dne 25. května 2018. Na jeho implementaci a dodržování všech pravidel u nás dohlíží Úřad pro ochranu osobních údajů - ÚOOÚ. Kompletní znění nařízení pak můžete stáhnout právě na jeho stránkách - viz odkaz.

Obsah nařízení

Nařízení jako takové se skládá celkem z 88 stran, které tvoří:

  • Recitály, neboli důvody, proč samotné nařízení vůbec vzniklo. Tato část pro nás není nijak důležitá.
  • Nařízení samotné, které je pro nás naopak naprosto klíčové, zabírá zhruba polovinu dokumentu a teoreticky ho lze za 1-2 dny přečíst.
  • Kodexy chování, což jsou vydávaná osvědčení o prokázání souladu s nařízením. Ty pro nás nejsou příliš zajímavé a upřesníme si je na konci kurzu.

Seznam článků nařízení

Protože se v lekcích budeme občas odvolávat na články v plném znění nařízení GDPR, uveďme si zde jejich seznam. Nejdůležitější jsou články 15 - 22. Jejich názvy vám teď sice nic neřeknou, ale během kurzu se k nim můžete vrátit. Tuto pasáž můžete nyní jen proletět očima.

  • Článek 11 - Zpracování, které nevyžaduje identifikaci
  • Článek 12 - Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů
  • Článek 13 - Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů
  • Článek 14 - Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů
  • Článek 15 - Právo subjektu údajů na přístup k osobním údajům
  • Článek 16 - Právo na opravu
  • Článek 17 - Právo na výmaz ("právo být zapomenut")
  • Článek 18 - Právo na omezení zpracování
  • Článek 19 - Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování
  • Článek 20 - Právo na přenositelnost údajů
  • Článek 21 - Právo vznést námitku
  • Článek 22 - Automatizované individuální rozhodování, včetně profilování

Na koho se nařízení vztahuje

Nařízení se vztahuje na všechny subjekty. Výjimku mají pouze fyzické osoby, provádějící zpracování osobních údajů v průběhu výlučně osobních či domácích činností (příkladem mohou být třeba kontakty uložené v soukromém mobilním telefonu).

Zákon o informační společnosti

Nařízením není dotčeno uplatňování směrnice 2000/31/ES (tzv. Zákon o informační společnosti). Provozovatelé aplikací tak mohou například krátkodobě ukládat osobní data do vyrovnávací paměti. Odpovědnosti poskytovatelů zprostředkova­telských služeb se pak konkrétněji věnují články 12 - 15, kde najdeme mimo jiné i výjimky týkající se:

  • Prostého přenosu - Máme odpovědnost pouze za data na našem serveru, nikoli za jejich přenos. Jak tam protečou není naše odpovědnost.
  • Shromažďování informací - Neodpovídáme za data nahraná uživateli.
  • Neexistence obecné povinnosti dohledu - Nemusíme aktivně sledovat, co kdo na web nahrává.

Příkladem odvolání na tento zákon může být například server ulož.to, kdy je na serveru umístěn ilegální obsah, avšak jeho vlastníci se odvolávají na to, že jsou pouze "poštou", která není odpovědná za nahraný obsah.

Působnost

Nařízení se vztahuje na zpracování osobních údajů subjektů, které se nacházejí v Evropské Unii, správcem nebo zpracovatelem, který není usazen v Unii, pokud činnosti zpracování souvisejí s nabídkou zboží/služeb (za úplatu nebo zadarmo, monitorování chování). To znamená, že i pokud bychom si založili firmu mimo EU, tak pokud budeme zpracovávat osobní data rezidentů EU, musíme splňovat GDPR.

Toto nařízení se vztahuje na zpracování osobních údajů správcem, který není usazen v Unii, ale na místě, kde se právo členského státu uplatňuje na základě mezinárodního práva veřejného. Pokud zpracováváte údaje subjektů nacházejících se v EU, toto nařízení se na vás vztahuje v plné výši.

Slovník pojmů uvedených v nařízení

Již tedy víme, kde GPDR nalezneme a že se nás týká. Abychom se o nařízení mohli dále bavit, je třeba si úvodem definovat nějaké základní pojmy, které se v něm vyskytují.

Nařízení GDPR - GDPR kompletně a lidsky

Osobní údaj

Osobním údajem jsou myšleny veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen "subjekt údajů"). To znamená, že pokud máte na serveru dostatečné informace k tomu, aby mohlo dojít k identifikaci příslušné osoby (i na základě údajů, které nemusejí mít nutně status údajů osobních), je již potřeba dodržovat nějaká pravidla zacházení s nimi.

Identifikovatelnou fyzickou osobou je osoba, kterou lze přímo či nepřímo identifikovat zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor (IP adresa) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Zjednodušeně můžeme říci, že jakmile ukládáme cokoli, z čeho by bylo možné jednoznačně danou osobu určit nebo ji dokonce najít, musíme tato data regulovat dle nařízení GDPR. A to může být i jen emailová adresa.

Zpracování

Zpracováním je myšlena jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Omezené zpracování

Nařízení hovoří o právu subjektů na tzv. omezení zpracování. To je označení uložených osobních údajů jako "zmrazených". Takové údaje již nesmíme zpracovávat, pouze je máme uložené a nejsou již dostupné, dokud nedojde ke zrušení tohoto omezení.

V příští lekci, GDPR kompletně a lidsky - Slovník pojmů, budeme v pojmech pokračovat. Důležité pro nás budou zejména profilování a pseudonymizace.


 

Všechny články v sekci
GDPR kompletně a lidsky
Přeskočit článek
(nedoporučujeme)
GDPR kompletně a lidsky - Slovník pojmů
Článek pro vás napsal David Hartinger
Avatar
Uživatelské hodnocení:
10 hlasů
David je zakladatelem ITnetwork a programování se profesionálně věnuje 15 let. Má rád Nirvanu, nemovitosti a svobodu podnikání.
Unicorn university David se informační technologie naučil na Unicorn University - prestižní soukromé vysoké škole IT a ekonomie.
Aktivity