BF Summer sales
Pouze tento týden sleva až 80 % na HTML & CSS a JavaScript
80 % bodů zdarma na online výuku díky naší Letní akci!

Lekce 1 - GDPR kompletně a lidsky - Úvod do nařízení

Jaké regulace pro vás z nařízení GDPR vyplývají? Potřebujete opravdu na vše explicitní souhlas uživatelů? Jsou zde i nějaké výjimky? Případně jaké? To vše a mnohem více si povíme v tomto praktickém kurzu, který se nařízení o ochraně osobních údajů - neboli GDPR (General Data Protection Regulation) - věnuje podrobně. Kurz byl vytvořen od základu přímo podle textu samotného nařízení a vyvrací mnoho nepravd a nekonkrétních interpretací, které na internetu bohužel kolují a stránky si je navzájem od sebe kopírují. A to i když za jejich porušení hrozí milionové pokuty.

Jak implementovat nařízení GDPR

V rámci implementace GDPR na ITnetwork.cz si bylo potřeba toto nařízení nastudovat poměrně detailně. Z veřejně dostupných informací však nebylo příliš jasné, co přesně nařízení podléhá a na co všechno se vztahuje - informace se na každém serveru lišily a někdy si i navzájem odporovaly. V následujících lekcích jsme proto shrnuli vše podstatné a relevantní v zákoně obsažené tak, aby to pro lidi, kteří mají zájem se s ním seznámit nebo ho třeba i aplikovat na svůj business, bylo co nejvíce srozumitelné.

Pár obecných informací úvodem

Uveďme se obecnými informacemi o současné problematice ochraně osobních údajů.

Nařízení

Nařízení GDPR nabylo účinnosti dne 25. května 2018. Na jeho implementaci a dodržování všech pravidel u nás dohlíží Úřad pro ochranu osobních údajů - ÚOOÚ. Kompletní znění nařízení pak můžete stáhnout právě na jeho stránkách - viz odkaz.

Obsah nařízení

Nařízení jako takové se skládá celkem z 88 stran, které tvoří:

  • Recitály, neboli důvody, proč samotné nařízení vůbec vzniklo. Tato část pro nás není nijak důležitá.
  • Nařízení samotné, které je pro nás naopak naprosto klíčové, zabírá zhruba polovinu dokumentu a teoreticky ho lze za 1-2 dny přečíst.
  • Kodexy chování, což jsou vydávaná osvědčení o prokázání souladu s nařízením. Ty pro nás nejsou příliš zajímavé a upřesníme si je na konci kurzu.

Seznam článků nařízení

Tento výukový obsah pomáhají rozvíjet následující firmy, které dost možná hledají právě tebe!

Protože se v lekcích budeme občas odvolávat na články v plném znění nařízení GDPR, uveďme si zde jejich seznam. Nejdůležitější jsou články 15 - 22. Jejich názvy vám teď sice nic neřeknou, ale během kurzu se k nim můžete vrátit. Tuto pasáž můžete nyní jen proletět očima.

  • Článek 11 - Zpracování, které nevyžaduje identifikaci
  • Článek 12 - Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů
  • Článek 13 - Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů
  • Článek 14 - Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů
  • Článek 15 - Právo subjektu údajů na přístup k osobním údajům
  • Článek 16 - Právo na opravu
  • Článek 17 - Právo na výmaz ("právo být zapomenut")
  • Článek 18 - Právo na omezení zpracování
  • Článek 19 - Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování
  • Článek 20 - Právo na přenositelnost údajů
  • Článek 21 - Právo vznést námitku
  • Článek 22 - Automatizované individuální rozhodování, včetně profilování

Na koho se nařízení vztahuje

Nařízení se vztahuje na všechny subjekty. Výjimku mají pouze fyzické osoby, provádějící zpracování osobních údajů v průběhu výlučně osobních či domácích činností (příkladem mohou být třeba kontakty uložené v soukromém mobilním telefonu).

Zákon o informační společnosti

Nařízením není dotčeno uplatňování směrnice 2000/31/ES (tzv. Zákon o informační společnosti). Provozovatelé aplikací tak mohou například krátkodobě ukládat osobní data do vyrovnávací paměti. Odpovědnosti poskytovatelů zprostředkova­telských služeb se pak konkrétněji věnují články 12 - 15, kde najdeme mimo jiné i výjimky týkající se:

  • Prostého přenosu - Máme odpovědnost pouze za data na našem serveru, nikoli za jejich přenos. Jak tam protečou není naše odpovědnost.
  • Shromažďování informací - Neodpovídáme za data nahraná uživateli.
  • Neexistence obecné povinnosti dohledu - Nemusíme aktivně sledovat, co kdo na web nahrává.

Příkladem odvolání na tento zákon může být například server ulož.to, kdy je na serveru umístěn ilegální obsah, avšak jeho vlastníci se odvolávají na to, že jsou pouze "poštou", která není odpovědná za nahraný obsah.

Působnost

Nařízení se vztahuje na zpracování osobních údajů subjektů, které se nacházejí v Evropské Unii, správcem nebo zpracovatelem, který není usazen v Unii, pokud činnosti zpracování souvisejí s nabídkou zboží/služeb (za úplatu nebo zadarmo, monitorování chování). To znamená, že i pokud bychom si založili firmu mimo EU, tak pokud budeme zpracovávat osobní data rezidentů EU, musíme splňovat GDPR.

Toto nařízení se vztahuje na zpracování osobních údajů správcem, který není usazen v Unii, ale na místě, kde se právo členského státu uplatňuje na základě mezinárodního práva veřejného. Pokud zpracováváte údaje subjektů nacházejících se v EU, toto nařízení se na vás vztahuje v plné výši.

Slovník pojmů uvedených v nařízení

Již tedy víme, kde GPDR nalezneme a že se nás týká. Abychom se o nařízení mohli dále bavit, je třeba si úvodem definovat nějaké základní pojmy, které se v něm vyskytují.

Nařízení GDPR

Osobní údaj

Osobním údajem jsou myšleny veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen "subjekt údajů"). To znamená, že pokud máte na serveru dostatečné informace k tomu, aby mohlo dojít k identifikaci příslušné osoby (i na základě údajů, které nemusejí mít nutně status údajů osobních), je již potřeba dodržovat nějaká pravidla zacházení s nimi.

Identifikovatelnou fyzickou osobou je osoba, kterou lze přímo či nepřímo identifikovat zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor (IP adresa) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Zjednodušeně můžeme říci, že jakmile ukládáme cokoli, z čeho by bylo možné jednoznačně danou osobu určit nebo ji dokonce najít, musíme tato data regulovat dle nařízení GDPR. A to může být i jen emailová adresa.

Zpracování

Zpracováním je myšlena jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Omezené zpracování

Nařízení hovoří o právu subjektů na tzv. omezení zpracování. To je označení uložených osobních údajů jako "zmrazených". Takové údaje již nesmíme zpracovávat, pouze je máme uložené a nejsou již dostupné, dokud nedojde ke zrušení tohoto omezení.

V příští lekci, GDPR kompletně a lidsky - Slovník pojmů, budeme v pojmech pokračovat. Důležité pro nás budou zejména profilování a pseudonymizace.


 

Všechny články v sekci
GDPR kompletně a lidsky
Článek pro vás napsal David Čápka
Avatar
Jak se ti líbí článek?
5 hlasů
Autor pracuje jako softwarový architekt a pedagog na projektu ITnetwork.cz (a jeho zahraničních verzích). Velmi si váží svobody podnikání v naší zemi a věří, že když se člověk neštítí práce, tak dokáže úplně cokoli.
Unicorn College Autor sítě se informační technologie naučil na Unicorn College - prestižní soukromé vysoké škole IT a ekonomie.
Aktivity (6)

 

 

Komentáře

Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zatím nikdo nevložil komentář - buď první!