Vydělávej až 160.000 Kč měsíčně! Akreditované rekvalifikační kurzy s garancí práce od 0 Kč. Více informací.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Lekce 2 - GDPR kompletně a lidsky - Slovník pojmů

Předchozí
Další

V minulé lekci, GDPR kompletně a lidsky - Úvod do nařízení, jsme si udělali úvod do nařízení a ujistili se o tom, že se nás týká. Dnes budeme pokračovat ve výkladu pojmů, které se v nařízení objevují, abychom se o nich pak byli schopní snáze bavit dále v kurzu.

Slovník pojmů uvedených v nařízení

Profilování

Profilování se GDPR obzvláště nelíbí. Myslí se tím jakákoliv forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu.

Typickým příkladem může být například algoritmizace a řazení osob do skupin typu "chudý křesťan", "milovník JavaScriptu" apod.

Takovéto řazení je již možné pouze se souhlasem dotyčných osob nebo odůvodněním uvedeným ve smlouvě, která je s dotyčnou osobou uzavřena. Profilování často podepisujeme např. při přezkoumání naší bonity v žádosti o bankovní půjčku.

Pseudonymizace

Mantrou webmasterů vyrovnávajících se s nařízením GDPR je tzv. pseudonymizace. Jedná se o zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.

V praxi to znamená, že např. nemůžeme nadále evidovat email člověka, který nám spamuje fórum, když se odvolal na nařízení GDPR. Nic nám ovšem v praxi nebrání udělat si z tohoto emailu hash a tak zabránit dalším nevyžádaným příspěvkům z jeho strany pokaždé, když svůj email někam vloží, aniž bychom jej měli uložený.

Evidencí osobních údajů je v tomto případě myšleno jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.

V případě pseudonymizace je nutné provést 2 kroky, a to:

  • Příslušné údaje vedené o fyzické osobě anonymizovat
  • Příslušné údaje dále oddělit od osoby, ke které mají návaznost (např. zahashovaný email nebude již uložen u uživatelského účtu, ale odděleně někde na černé listině)

Uveďme si další příklad. V případě uživatelů a jejich IP adres je třeba IP adresu od anonymizovaného uživatele úplně oddělit a uchovávat ji uloženou v jiné tabulce.

Správce

Správcem je ten, kdo rozhoduje o zpracování osobních údajů. Z definice GDPR je to fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.

Zpracovatel

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Příjemce

Příjemce potom samozřejmě osobní údaje přijímá, to jsou třeba zaměstnanci firmy nebo návštěvníci webu. Z definice GDPR je příjemce fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoliv. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují. Zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování.

Třetí strana

GDPR často hovoří o předávání osobních údajů třetí straně. Kdo že to je? Definice říká, že fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů.

Souhlas

A teď k souhlasu, který je někdy od uživatele ke zpracování osobních údajů nutný. Kdy přesně tomu tak je si řekneme podrobně během kurzu.

Souhlas je z definice jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Nestačí pouhé zaškrtnutí příslušného checkboxu uživatele s tím, že se zpracováním údajů souhlasí. Musí zde být i vypsané s čím konkrétně, jaký bude mít uchování těchto informací dopad a dále důvod, proč takové informace potřebujeme vůbec shromažďovat.

Porušení zabezpečení osobních údajů

Zde je to jednoduché. Jedná se o porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Genetický a biometrický údaj

  • Genetický údaj jsou data z biologického vzorku
  • Biometrický údaj je např. obličej (vzdálenost mezi očima), otisk prstu, záleží podle technického zpracování - nemusí to být jen fotografie

S tímto konkrétně měl problém například Facebook, který musel souhlas s takovýmto zpracováním implementovat. Jedná se zejména o jeho funkcionalitu rozpoznání obličeje na fotkách. V případě uložení pouhé fotografie bez použití příslušných algoritmů se o biometrický údaj nejedná.

Hlavní provozovna

Hlavní provozovna je v nařízení definována pro případy, kdy působí podnik ve více státech, kde přijímáte rozhodnutí o zpracování OÚ a podobně. Myslím, že pro naše účely se tímto nemusíme příliš zabývat.

Věci ohledně nařízení GDPR za nás pak může řešit zástupce.

Podnik

GDPR pracuje s pojmem podnik. Podnikem je myšlena jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost.

Dále můžeme narazit na pojem Skupina podniků = řídící podnik a jím řízené podniky, mezi kterými se údaje subjektů předávají.

Závazná podniková pravidla

Pokud chceme podnikat z EU mimo EU, musíme dodržovat tzv. závazná podniková pravidla. Jedná se o koncepci ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel. V našem případě se opět jedná spíše o látku nad rámec kurzu. Věnovat se budeme hlavně přípravě českého podniku (a jednotlivců, kteří jsou podle GDPR také podniky) na toto nařízení.

Dozorový úřad a Dotčený dozorový úřad

Úřad dohlížející na dodržování GDPR je ÚOOÚ, jak jsme si již uvedli na začátku minulé lekce. Pokud chceme podnikat ve více státech, setkáme se s pojmem Dotčený dozorový úřad v určitém státě.

Myslím, že úvod jsme si udělali velmi solidní. V příští lekci, GDPR kompletně a lidsky - Zásady zpracování osobních údajů, se blíže podíváme na první konkrétní zásady zpracování osobních údajů.


 

Předchozí článek
GDPR kompletně a lidsky - Úvod do nařízení
Všechny články v sekci
GDPR kompletně a lidsky
Přeskočit článek
(nedoporučujeme)
GDPR kompletně a lidsky - Zásady zpracování osobních údajů
Článek pro vás napsal David Hartinger
Avatar
Uživatelské hodnocení:
6 hlasů
David je zakladatelem ITnetwork a programování se profesionálně věnuje 15 let. Má rád Nirvanu, nemovitosti a svobodu podnikání.
Unicorn university David se informační technologie naučil na Unicorn University - prestižní soukromé vysoké škole IT a ekonomie.
Aktivity