Lekce 2 - GDPR kompletně a lidsky - Slovník pojmů

V předchozí lekci, GDPR kompletně a lidsky - Úvod do nařízení, jsme si představili základní informace o nařízení GDPR, vysvětlili jsme si jeho působnost a definovali klíčové pojmy.

V dnešním tutoriálu kurzu GDPR kompletně a lidsky si rozšíříme slovník základních pojmů, které se v nařízení často objevují. Vysvětlíme si je tak, abychom se v dalších tématech mohli orientovat přesněji a aby bylo jasné, jaký význam mají při běžném zpracování osobních údajů.

Cílem není vyčerpat všechny pojmy GDPR do posledního detailu. Zaměříme se hlavně na výrazy důležité pro práci s osobními údaji v praxi.

Slovník pojmů uvedených v nařízení

GDPR používá řadu pojmů, které mají přesný právní význam. Některé z nich proto doplníme krátkým praktickým vysvětlením.

Profilování

Profilování je forma automatizovaného zpracování osobních údajů, při které údaje používáme k hodnocení nebo odhadu určitých osobních aspektů člověka. Může jít například o jeho chování, zájmy, ekonomickou situaci, spolehlivost, zdravotní stav nebo pohyb.

V praxi se s profilováním setkáme například při řazení uživatelů do zákaznických skupin, doporučování obsahu podle předchozí aktivity, vyhodnocování nákupního chování nebo posuzování bonity při žádosti o půjčku.

Při profilování musíme vědět, proč údaje takto zpracováváme, o jaký právní důvod se opíráme a jaký dopad může mít takové hodnocení na konkrétního člověka.

Pokud by šlo o rozhodnutí založené výhradně na automatizovaném zpracování, které má pro člověka právní nebo podobně významné účinky, platí přísnější pravidla. Takové rozhodování musí být zvlášť odůvodněné, například nezbytností pro smlouvu nebo výslovným souhlasem daného člověka.

Pseudonymizace

Pseudonymizace je způsob zpracování osobních údajů, při kterém údaje nelze přiřadit konkrétnímu člověku bez použití dalších informací. Tyto dodatečné informace musí být uchovávané odděleně a chráněné vhodnými technickými a organizačními opatřeními.

Při provozu webu někdy potřebujeme chránit službu před zneužíváním, ale zároveň nechceme uchovávat více osobních údajů, než je nutné. Typickým příkladem je uživatel, který opakovaně spamuje diskuzní fórum a zároveň požádá o výmaz svého účtu nebo e-mailové adresy z běžné evidence.

V takové situaci můžeme místo samotného e-mailu uložit jeho technický otisk, například hash, a ten použít pouze pro účely omezení spamu. Samotný hash však nemusí být automaticky anonymní údaj. Pokud ho lze porovnat s konkrétní adresou nebo jinak zpětně přiřadit ke konkrétnímu člověku, zůstává osobním údajem. Proto ho ukládáme odděleně, s omezeným přístupem a jen pro jasně vymezený účel.

Pseudonymizace tedy není totéž co anonymizace. Pseudonymizované údaje lze při použití dodatečných informací znovu přiřadit ke konkrétní osobě, zatímco anonymizované údaje už rozumně přiřadit nelze.

Správce

Správce je ten, kdo určuje, proč a jak se budou osobní údaje zpracovávat. GDPR říká, že správcem může být fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

V praxi je správcem například provozovatel webového portálu, e-shopu nebo firmy, která shromažďuje údaje svých zákazníků, uživatelů nebo zaměstnanců a rozhoduje o tom, k jakému účelu je použije.

Zpracovatel

Zpracovatel je ten, kdo zpracovává osobní údaje pro správce. Nerozhoduje tedy samostatně o hlavním účelu zpracování, ale pracuje s údaji podle pokynů správce.

Typickým zpracovatelem může být například poskytovatel hostingu, e-mailingového nástroje, účetního systému, externí účetní nebo jiný dodavatel, kterému správce předá osobní údaje, aby pro něj zajistil konkrétní službu.

Příjemce

Příjemce je osoba nebo subjekt, kterému jsou osobní údaje poskytnuty. Může jít o fyzickou nebo právnickou osobu, orgán veřejné moci nebo jiný subjekt.

V praxi může být příjemcem například dopravce, platební brána, externí účetní, poskytovatel newsletterového nástroje nebo jiný dodavatel, kterému osobní údaje předáváme za konkrétním účelem. Příjemcem může být i zpracovatel, protože mu správce osobní údaje poskytne, aby pro něj zajistil určitou službu.

Za příjemce se naopak nepovažují některé orgány veřejné moci, pokud mohou osobní údaje získat v rámci zvláštního šetření podle práva členského státu. Jejich zpracování se pak posuzuje podle pravidel platných pro daný účel.

Třetí strana

Rozdíl mezi příjemcem a třetí stranou je hlavně v šíři pojmu.

• Příjemce je každý subjekt, kterému jsou osobní údaje poskytnuty.
• Třetí strana je užší pojem – označuje někoho mimo základní vztah mezi subjektem údajů, správcem a zpracovatelem.

Zpracovatel tedy může být příjemcem, ale není třetí stranou, protože s údaji pracuje pro správce a podle jeho pokynů.

Pokud osobní údaje předáváme třetí straně, musíme vědět, proč to děláme, o jaký právní důvod se opíráme a zda o tom má být subjekt údajů informován.

Souhlas

Souhlas je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým člověk dává svolení ke zpracování svých osobních údajů. Souhlas ale není potřeba vždy. Osobní údaje můžeme někdy zpracovávat i z jiných důvodů, například kvůli smlouvě, zákonné povinnosti nebo oprávněnému zájmu.

Jestliže souhlas potřebujeme, musíme na stránce srozumitelně uvést, kdo údaje zpracovává, proč je potřebuje, jakých údajů se zpracování týká a jak může člověk souhlas později odvolat.

Souhlas můžeme získat různými způsoby podle toho, kde a k čemu ho používáme. Na webu se často používá například checkbox, kterým člověk svůj souhlas potvrdí.

Pokud zvolíme tento způsob, checkbox nesmí být předem zaškrtnutý a informace k souhlasu nesmí být ukryté jen v obchodních podmínkách nebo spojené s jiným potvrzením tak, že člověk nepozná, k čemu přesně souhlas dává. Správce musí také umět doložit, kdy a s čím člověk souhlasil.

Porušení zabezpečení osobních údajů

Porušení zabezpečení osobních údajů je bezpečnostní incident, který vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému poskytnutí nebo zpřístupnění osobních údajů.

Může jít například o situaci, kdy ztratíme notebook s databází zákazníků, omylem odešleme e-mail s osobními údaji nesprávnému příjemci, dojde k úniku databáze, někdo získá neoprávněný přístup do účtu nebo se osobní údaje nedopatřením smažou bez možnosti obnovy.

U podobných situací posuzujeme nejen technickou stránku incidentu, ale také možné riziko pro dotčené osoby a případnou povinnost oznámit incident dozorovému úřadu nebo přímo osobám, kterých se únik či ztráta údajů týká.

Genetický a biometrický údaj

Genetický údaj je osobní údaj týkající se zděděných nebo získaných genetických znaků člověka. Typicky vzniká analýzou biologického vzorku a může vypovídat například o jedinečných znacích nebo zdraví dané osoby.

Biometrický údaj je osobní údaj vzniklý zvláštním technickým zpracováním fyzických, fyziologických nebo behaviorálních znaků člověka, pokud umožňuje nebo potvrzuje jeho jedinečnou identifikaci. Může jít například o otisk prstu, rozpoznávání obličeje, snímek duhovky nebo hlasový vzorek.

Samotná běžná fotografie ještě nemusí být biometrickým údajem ve smyslu GDPR. Biometrickým údajem se stává zejména tehdy, pokud je technicky zpracována za účelem jedinečné identifikace člověka, například pomocí rozpoznávání obličeje.

Hlavní provozovna

Hlavní provozovna je důležitá hlavně u organizací, které působí ve více členských státech Evropské unie. Pomáhá určit, který dozorový úřad bude pro dané přeshraniční zpracování hlavním kontaktním místem.

U firmy nebo organizace působící ve více státech půjde typicky o místo, kde se přijímají hlavní rozhodnutí o účelech a prostředcích zpracování osobních údajů. Pro menší projekt nebo běžnou českou firmu, která působí jen v České republice, to většinou nebude téma, kterému bychom se museli věnovat do hloubky.

Pokud správce nebo zpracovatel není usazený v Evropské unii, ale GDPR na něj přesto dopadá, může mít povinnost určit si v EU svého zástupce. Ten slouží jako kontaktní místo pro dozorové úřady i pro osoby, jejichž údaje jsou zpracovávány.

Pojmy podnik, skupina podniků a závazná podniková pravidla se týkají hlavně větších skupin firem a předávání osobních údajů mimo EU/EHP. Pro základní orientaci je proto nemusíme rozebírat samostatně.

Dozorový úřad a dotčený dozorový úřad

Dozorový úřad je nezávislý orgán veřejné moci, který dohlíží na dodržování pravidel ochrany osobních údajů. V České republice tuto roli plní Úřad pro ochranu osobních údajů (ÚOOÚ).

Dozorový úřad může například řešit stížnosti, provádět kontroly, vydávat doporučení, ukládat nápravná opatření nebo v závažnějších případech pokuty.

S pojmem dotčený dozorový úřad se setkáme hlavně u přeshraničního zpracování. Jde o úřad členského státu, kterého se dané zpracování týká, například proto, že v něm správce nebo zpracovatel působí nebo se zpracování významně dotýká osob v tomto státě.

Shrnutí

V této lekci jsme si rozšířili slovník pojmů, které GDPR používá při popisu zpracování osobních údajů, rolí jednotlivých subjektů a některých zvláštních situací.

Ukázali jsme si také, že některé pojmy jsou důležité hlavně ve specifických situacích, například při přeshraničním zpracování nebo předávání údajů mezi většími skupinami firem. Pro běžnou praxi je důležité zejména rozumět tomu, kdo s osobními údaji pracuje, za jakým účelem a jakou roli při zpracování zastává.

V příští lekci, GDPR kompletně a lidsky - Zásady zpracování osobních údajů, si ukážeme, jakým způsobem lze osobní údaje bezpečně ukládat, jak minimalizovat rizika a také kdy smíme využívat osobní údaje a pro jaké účely.