November Black Friday C/C++ week
Black Friday je tu! Využij jedinečnou příležitost a získej až 80 % znalostí navíc zdarma! Více zde
Pouze tento týden sleva až 80 % na e-learning týkající se C/C++

Lekce 2 - GDPR kompletně a lidsky - Slovník pojmů

Unicorn College Tento obsah je dostupný zdarma v rámci projektu IT lidem.
Vydávání, hosting a aktualizace umožňují jeho sponzoři.

V minulé lekci, GDPR kompletně a lidsky - Úvod do nařízení, jsme si udělali úvod do nařízení a ujistili se o tom, že se nás týká. Dnes budeme pokračovat ve výkladu pojmů, které se v nařízení objevují, abychom se o nich pak byli schopní snáze bavit dále v kurzu.

Slovník pojmů uvedených v nařízení

Profilování

Profilování se GDPR obzvláště nelíbí. Myslí se tím jakákoliv forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu.

Typickým příkladem může být například algoritmizace a řazení osob do skupin typu "chudý křesťan", "milovník JavaScriptu" apod.

Takovéto řazení je již možné pouze se souhlasem dotyčných osob nebo odůvodněním uvedeným ve smlouvě, která je s dotyčnou osobou uzavřena. Profilování často podepisujeme např. při přezkoumání naší bonity v žádosti o bankovní půjčku.

Pseudonymizace

Mantrou webmasterů vyrovnávajících se s nařízením GDPR je tzv. pseudonymizace. Jedná se o zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.

V praxi to znamená, že např. nemůžeme nadále evidovat email člověka, který nám spamuje fórum, když se odvolal na nařízení GDPR. Nic nám ovšem v praxi nebrání udělat si z tohoto emailu hash a tak zabránit dalším nevyžádaným příspěvkům z jeho strany pokaždé, když svůj email někam vloží, aniž bychom jej měli uložený.

Evidencí osobních údajů je v tomto případě myšleno jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.

V případě pseudonymizace je nutné provést 2 kroky, a to:

  • Příslušné údaje vedené o fyzické osobě anonymizovat
  • Příslušné údaje dále oddělit od osoby, ke které mají návaznost (např. zahashovaný email nebude již uložen u uživatelského účtu, ale odděleně někde na černé listině)

Uveďme si další příklad. V případě uživatelů a jejich IP adres je třeba IP adresu od anonymizovaného uživatele úplně oddělit a uchovávat ji uloženou v jiné tabulce.

Správce

Správcem je ten, kdo rozhoduje o zpracování osobních údajů. Z definice GDPR je to fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.

Zpracovatel

Tento výukový obsah pomáhají rozvíjet následující firmy, které dost možná hledají právě tebe!

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Příjemce

Příjemce potom samozřejmě osobní údaje přijímá, to jsou třeba zaměstnanci firmy nebo návštěvníci webu. Z definice GDPR je příjemce fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoliv. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují. Zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování.

Třetí strana

GDPR často hovoří o předávání osobních údajů třetí straně. Kdo že to je? Definice říká, že fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů.

Souhlas

A teď k souhlasu, který je někdy od uživatele ke zpracování osobních údajů nutný. Kdy přesně tomu tak je si řekneme podrobně během kurzu.

Souhlas je z definice jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Nestačí pouhé zaškrtnutí příslušného checkboxu uživatele s tím, že se zpracováním údajů souhlasí. Musí zde být i vypsané s čím konkrétně, jaký bude mít uchování těchto informací dopad a dále důvod, proč takové informace potřebujeme vůbec shromažďovat.

Porušení zabezpečení osobních údajů

Zde je to jednoduché. Jedná se o porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Genetický a biometrický údaj

  • Genetický údaj jsou data z biologického vzorku
  • Biometrický údaj je např. obličej (vzdálenost mezi očima), otisk prstu, záleží podle technického zpracování - nemusí to být jen fotografie

S tímto konkrétně měl problém například Facebook, který musel souhlas s takovýmto zpracováním implementovat. Jedná se zejména o jeho funkcionalitu rozpoznání obličeje na fotkách. V případě uložení pouhé fotografie bez použití příslušných algoritmů se o biometrický údaj nejedná.

Hlavní provozovna

Hlavní provozovna je v nařízení definována pro případy, kdy působí podnik ve více státech, kde přijímáte rozhodnutí o zpracování OÚ a podobně. Myslím, že pro naše účely se tímto nemusíme příliš zabývat.

Věci ohledně nařízení GDPR za nás pak může řešit zástupce.

Podnik

GDPR pracuje s pojmem podnik. Podnikem je myšlena jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost.

Dále můžeme narazit na pojem Skupina podniků = řídící podnik a jím řízené podniky, mezi kterými se údaje subjektů předávají.

Závazná podniková pravidla

Pokud chceme podnikat z EU mimo EU, musíme dodržovat tzv. závazná podniková pravidla. Jedná se o koncepci ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel. V našem případě se opět jedná spíše o látku nad rámec kurzu. Věnovat se budeme hlavně přípravě českého podniku (a jednotlivců, kteří jsou podle GDPR také podniky) na toto nařízení.

Dozorový úřad a Dotčený dozorový úřad

Úřad dohlížející na dodržování GDPR je ÚOOÚ, jak jsme si již uvedli na začátku minulé lekce. Pokud chceme podnikat ve více státech, setkáme se s pojmem Dotčený dozorový úřad v určitém státě.

Myslím, že úvod jsme si udělali velmi solidní. V příští lekci, GDPR kompletně a lidsky - Zásady zpracování osobních údajů, se blíže podíváme na první konkrétní zásady zpracování osobních údajů.


 

 

Článek pro vás napsal David Čápka
Avatar
Jak se ti líbí článek?
1 hlasů
Autor pracuje jako softwarový architekt a pedagog na projektu ITnetwork.cz (a jeho zahraničních verzích). Velmi si váží svobody podnikání v naší zemi a věří, že když se člověk neštítí práce, tak dokáže úplně cokoli.
Unicorn College Autor sítě se informační technologie naučil na Unicorn College - prestižní soukromé vysoké škole IT a ekonomie.
Předchozí článek
GDPR kompletně a lidsky - Úvod do nařízení
Všechny články v sekci
GDPR kompletně a lidsky
Miniatura
Následující článek
GDPR kompletně a lidsky - Zásady zpracování osobních údajů
Aktivity (1)

 

 

Komentáře

Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zatím nikdo nevložil komentář - buď první!