Lekce 2 - GDPR kompletně a lidsky - Slovník pojmů
V minulé lekci, GDPR kompletně a lidsky - Úvod do nařízení, jsme si udělali úvod do nařízení a ujistili se o tom, že se nás týká. Dnes budeme pokračovat ve výkladu pojmů, které se v nařízení objevují, abychom se o nich pak byli schopní snáze bavit dále v kurzu.
Slovník pojmů uvedených v nařízení
Profilování
Profilování se GDPR obzvláště nelíbí. Myslí se tím jakákoliv forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu.
Typickým příkladem může být například algoritmizace a řazení osob do skupin typu "chudý křesťan", "milovník JavaScriptu" apod.
Takovéto řazení je již možné pouze se souhlasem dotyčných osob nebo odůvodněním uvedeným ve smlouvě, která je s dotyčnou osobou uzavřena. Profilování často podepisujeme např. při přezkoumání naší bonity v žádosti o bankovní půjčku.
Pseudonymizace
Mantrou webmasterů vyrovnávajících se s nařízením GDPR je tzv. pseudonymizace. Jedná se o zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.
V praxi to znamená, že např. nemůžeme nadále evidovat email člověka, který nám spamuje fórum, když se odvolal na nařízení GDPR. Nic nám ovšem v praxi nebrání udělat si z tohoto emailu hash a tak zabránit dalším nevyžádaným příspěvkům z jeho strany pokaždé, když svůj email někam vloží, aniž bychom jej měli uložený.
Evidencí osobních údajů je v tomto případě myšleno jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.
V případě pseudonymizace je nutné provést 2 kroky, a to:
- Příslušné údaje vedené o fyzické osobě anonymizovat
- Příslušné údaje dále oddělit od osoby, ke které mají návaznost (např. zahashovaný email nebude již uložen u uživatelského účtu, ale odděleně někde na černé listině)
Uveďme si další příklad. V případě uživatelů a jejich IP adres je třeba IP adresu od anonymizovaného uživatele úplně oddělit a uchovávat ji uloženou v jiné tabulce.
Správce
Správcem je ten, kdo rozhoduje o zpracování osobních údajů. Z definice GDPR je to fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.
Zpracovatel
Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
Příjemce
Příjemce potom samozřejmě osobní údaje přijímá, to jsou třeba zaměstnanci firmy nebo návštěvníci webu. Z definice GDPR je příjemce fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoliv. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují. Zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování.
Třetí strana
GDPR často hovoří o předávání osobních údajů třetí straně. Kdo že to je? Definice říká, že fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů.
Souhlas
A teď k souhlasu, který je někdy od uživatele ke zpracování osobních údajů nutný. Kdy přesně tomu tak je si řekneme podrobně během kurzu.
Souhlas je z definice jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Nestačí pouhé zaškrtnutí příslušného checkboxu uživatele s tím, že se zpracováním údajů souhlasí. Musí zde být i vypsané s čím konkrétně, jaký bude mít uchování těchto informací dopad a dále důvod, proč takové informace potřebujeme vůbec shromažďovat.
Porušení zabezpečení osobních údajů
Zde je to jednoduché. Jedná se o porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
Genetický a biometrický údaj
- Genetický údaj jsou data z biologického vzorku
- Biometrický údaj je např. obličej (vzdálenost mezi očima), otisk prstu, záleží podle technického zpracování - nemusí to být jen fotografie
S tímto konkrétně měl problém například Facebook, který musel souhlas s takovýmto zpracováním implementovat. Jedná se zejména o jeho funkcionalitu rozpoznání obličeje na fotkách. V případě uložení pouhé fotografie bez použití příslušných algoritmů se o biometrický údaj nejedná.
Hlavní provozovna
Hlavní provozovna je v nařízení definována pro případy, kdy působí podnik ve více státech, kde přijímáte rozhodnutí o zpracování OÚ a podobně. Myslím, že pro naše účely se tímto nemusíme příliš zabývat.
Věci ohledně nařízení GDPR za nás pak může řešit zástupce.
Podnik
GDPR pracuje s pojmem podnik. Podnikem je myšlena jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost.
Dále můžeme narazit na pojem Skupina podniků = řídící podnik a jím řízené podniky, mezi kterými se údaje subjektů předávají.
Závazná podniková pravidla
Pokud chceme podnikat z EU mimo EU, musíme dodržovat tzv. závazná podniková pravidla. Jedná se o koncepci ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel. V našem případě se opět jedná spíše o látku nad rámec kurzu. Věnovat se budeme hlavně přípravě českého podniku (a jednotlivců, kteří jsou podle GDPR také podniky) na toto nařízení.
Dozorový úřad a Dotčený dozorový úřad
Úřad dohlížející na dodržování GDPR je ÚOOÚ, jak jsme si již uvedli na začátku minulé lekce. Pokud chceme podnikat ve více státech, setkáme se s pojmem Dotčený dozorový úřad v určitém státě.
Myslím, že úvod jsme si udělali velmi solidní. V příští lekci, GDPR kompletně a lidsky - Zásady zpracování osobních údajů, se blíže podíváme na první konkrétní zásady zpracování osobních údajů.