NOVINKA: Kurz kybernetickej bezpečnosti teraz už od 0 €. Staň sa žiadaným profesionálom. Zisti viac:
NOVINKA: Staň sa dátovým analytikom od 0 € a získaj istotu práce, lepší plat a nové kariérne možnosti. Viac informácií:

1. diel - GDPR kompletne a ľudsky - Úvod do nariadenia Nové

Ďalší

Vitajte v kurze GDPR kompletne a ľudsky. V jeho priebehu si vysvetlíme, ako v praxi funguje ochrana osobných údajov podľa európskeho nariadenia GDPR, koho sa týka a aké povinnosti z neho vyplývajú pre firmy, organizácie, webové projekty aj jednotlivcov, ktorí s osobnými údajmi pracujú.

Pravidlá GDPR si budeme prekladať do praktických situácií. Ukážeme si, kedy dáva zmysel súhlas, kedy sa používajú iné právne dôvody spracovania a ako sa vyhnúť častým zjednodušeniam, ktoré sa okolo GDPR objavujú.

Postupne sa zoznámime s hlavnými oblasťami GDPR: základnými princípmi ochrany osobných údajov, právami jednotlivcov, povinnosťami organizácií, bezpečným spracovaním údajov a praktickou dokumentáciou, ktorá pomáha pravidlá GDPR zaviesť do bežnej prevádzky.

  • .<> Nastavenie účtu na itnetwork.cz – možnosť deaktivácie, obmedzenie spracovania osobných údajov, indexovanie profilu - GDPR kompletne a ľudsky - GDPR kompletne a ľudsky
  • .<> Štatistika prečítaných e-mailov rozoslaných kvôli implementácii GDPR - GDPR kompletne a ľudsky - GDPR kompletne a ľudsky
  • .<> Registračný formulár itnetwork.cz - GDPR kompletne a ľudsky - GDPR kompletne a ľudsky
  • .<> Formulár na odovzdanie osobných údajov na itnetwork.cz - GDPR kompletne a ľudsky - GDPR kompletne a ľudsky
V tomto tutoriále si predstavíme, čo GDPR je a prečo vzniklo. Ukážeme si základnú štruktúru nariadenia, vysvetlíme jeho pôsobnosť a prejdeme niekoľko kľúčových pojmov, bez ktorých sa v ďalších lekciách nezaobídeme.

Kurz vznikol v rámci implementácie GDPR na ITnetwork.cz, kedy sme potrebovali nariadenie naštudovať podrobnejšie, pretože sa verejne dostupné výklady v tom čase často líšili. Vychádzame v ňom priamo zo znenia nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679.

Minimálne požiadavky

Pre absolvovanie kurzu nie sú potrebné žiadne predchádzajúce právne znalosti. Všetky dôležité pojmy si vysvetlíme postupne a na praktických príkladoch. Kurz je určený pre každého, kto chce porozumieť tomu, ako s osobnými údajmi pracovať zrozumiteľne, bezpečne av súlade s GDPR.

Nariadenie GDPR

Najprv si uveďme niekoľko všeobecných informácií o ochrane osobných údajov a samotnom nariadení GDPR.

GDPR je skratka pre General Data Protection Regulation, slovensky Všeobecné nariadenie o ochrane osobných údajov. Ide o európske nariadenie, ktoré stanovuje pravidlá pre spracovanie osobných údajov fyzických osôb.

Ilustračný obrázok k nariadeniu GDPR - GDPR kompletne a ľudsky - GDPR kompletne a ľudsky

GDPR bolo prijaté v roku 2016 av praxi sa uplatňuje od 25. mája 2018. V Českej republike na oblasť ochrany osobných údajov dohliada Úrad pre ochranu osobných údajov (ÚOOÚ), ktorý publikuje ďalšie praktické informácie, výklady a odporúčania k ochrane osobných údajov.

Štruktúra nariadenia

Text GDPR má v slovenskom znení Úradného vestníka v bežnom PDF vydaní celkom 88 strán. Pri práci s ním sa budeme stretávať nielen so samotnými článkami nariadenia, ale aj s úvodnou časťou, ktorá pomáha pochopiť ich zmysel a praktické použitie.

Pre základnú orientáciu sú dôležité najmä tieto časti:

  • Recitály – Úvodné číslované odôvodnenia nariadenia. V slovenskom texte ich nájdeme na začiatku dokumentu v časti uvedenej slovami "vzhľadom k týmto dôvodom". Nečítame ich ako samostatné povinnosti, ale pomáhajú nám pochopiť, prečo jednotlivé pravidlá vznikli a ako sa majú články nariadenia vykladať.
  • Články nariadenia – Vlastné právne záväzné pravidlá. Práve z nich vyplývajú hlavné povinnosti správcov a spracovateľov aj práva subjektov údajov.
  • Nadväzujúce mechanizmy – GDPR počíta tiež s kódexmi správania, certifikáciami a ďalšími nástrojmi, ktoré môžu pomáhať preukazovať súlad s nariadením. Na základnú orientáciu sa k nim dostaneme až neskôr.
Pre začiatok je dôležité vedieť, že nariadenie nerieši jednu izolovanú oblasť, ale celý životný cyklus osobných údajov: od ich získania cez používanie a zabezpečenie až po výmaz alebo odovzdanie inej osobe.

Dôležité články pre prácu s užívateľskými údajmi

Pri praktickej implementácii GDPR na webovom portáli potrebujeme dobre nastaviť hlavne to, ako používateľa informujeme o spracovaní ich údajov a ako budeme reagovať na ich žiadosti. Tieto situácie riešia najmä články GDPR venované transparentnosti, informačnej povinnosti a právam subjektov údajov:

  • Článok 11 – Spracovanie, ktoré nevyžaduje identifikáciu
  • Článok 12 – Transparentné informácie, oznámenia a postupy na výkon práv dotknutej osoby
  • Článok 13 – Informácie poskytované v prípade, že osobné údaje sú získané od dotknutej osoby
  • Článok 14 – Informácie poskytované v prípade, že osobné údaje neboli získané od dotknutej osoby
  • Článok 15 – Právo dotknutej osoby na prístup k osobným údajom
  • Článok 16 – Právo na opravu
  • Článok 17 – Právo na výmaz, teda „právo byť zabudnutý“
  • Článok 18 – Právo na obmedzenie spracovania
  • Článok 19 – Oznamovacia povinnosť týkajúca sa opravy alebo vymazania osobných údajov alebo obmedzení spracovania
  • Článok 20 – Právo na prenositeľnosť údajov
  • Článok 21 – Právo vzniesť námietku
  • Článok 22 – Automatizované individuálne rozhodovanie, vrátane profilovania
Tento prehľad nie je zoznamom všetkých dôležitých ustanovení GDPR. Ide hlavne o články, ktoré sú prakticky významné pri práci s užívateľskými účtami, profilmi, žiadosťami užívateľov a informovaním o spracovaní osobných údajov.

Ďalšie časti nariadenia, napríklad zásady spracovania, právne dôvody, zodpovednosť správcu, zabezpečenie alebo prenos údajov mimo EÚ, si vysvetlíme v samostatných lekciách.

Pôsobnosť GDPR

GDPR sa vzťahuje na spracovanie osobných údajov fyzických osôb. Typicky sa teda týka firiem, organizácií, úradov, škôl, spolkov, e-shopov, webových služieb alebo jednotlivcov, ktorí s osobnými údajmi pracujú v rámci podnikania alebo inej organizovanej činnosti.

Nariadenie sa naopak nevzťahuje na spracovanie osobných údajov pri čisto osobných alebo domácich činnostiach. Pokiaľ máme napríklad v súkromnom telefóne uložené kontakty na rodinu a priateľov, nejde o situáciu, ktorú by GDPR bežne riešilo.

GDPR môže dopadať aj na subjekty, ktoré nie sú usadené v Európskej únii. Pokiaľ ponúkame tovar alebo služby osobám nachádzajúcim sa v EÚ, prípadne sledujeme ich správanie, môžu sa na nás pravidlá GDPR vzťahovať aj vtedy, keď firma sídli mimo EÚ.

Súvisiace predpisy pre online služby

GDPR sa zameriava na ochranu osobných údajov. Pri prevádzke webu, aplikácie alebo online služby ale môžu byť dôležité aj ďalšie predpisy. Samotné GDPR výslovne uvádza, že nie sú dotknuté pravidlá smernice 2000/31/ES o elektronickom obchode, najmä pravidlá zodpovednosti poskytovateľov sprostredkova­teľských služieb.

Táto smernica rieši napríklad niektoré otázky poskytovania online služieb, elektronického obchodu a zodpovednosti sprostredkovateľov za prenos , dočasné ukladanie alebo hosting obsahu. V českom práve na ňu nadväzuje zákon č. 480/2004 Zb. o niektorých službách informačnej spoločnosti.

Od 17. februára 2024 je potrebné brať do úvahy aj európske nariadenie Digital Services Act, ktoré pravidlá pre digitálne služby ďalej rozvíja. Rieši napríklad nahlasovanie nelegálneho obsahu, transparentnosť moderácie, pravidlá pre online platformy a zvláštne povinnosti najväčších platforiem a vyhľadávačov.

Nariadenie EÚ platí priamo vo všetkých členských štátoch. Smernica EÚ stanovuje cieľ, ktorý majú štáty dosiahnuť, ale do vnútroštátneho práva sa obvykle prevádzajú národným zákonom. Preto GDPR ako nariadenie používame priamo, zatiaľ čo smernica 2000/31/ES sa do českého práva premietla napríklad zákonom č. 480/2004 Zb.

V tomto kurze sa budeme sústrediť hlavne na GDPR. Súvisiace predpisy spomenieme len tam, kde pomáhajú pochopiť praktický vplyv ochrany osobných údajov.

Ilustračný obrázok k nariadeniu GDPR - GDPR kompletne a ľudsky - GDPR kompletne a ľudsky

Slovník základných pojmov

Už vieme, kde GDPR nájdeme, ako je nariadenie približne štruktúrované a na aké situácie sa vzťahuje. Aby sme sa o ochrane osobných údajov mohli baviť presnejšie, vysvetlíme si niekoľko základných pojmov, ktoré GDPR používa.

Osobný údaj

Osobný údaj je akákoľvek informácia o identifikovanej alebo identifikovateľnej fyzickej osobe. GDPR takú osobu označuje ako subjekt údajov.

Identifikovaná osoba je človek, ktorého už priamo poznáme, napríklad podľa mena a priezviska. Identifikovateľná osoba je človek, ktorého môžeme určiť nepriamo, napríklad kombináciou viacerých údajov alebo pomocou určitého identifikátora.

Medzi osobné údaje môžu patriť napríklad meno a priezvisko, e-mailová adresa, telefónne číslo, adresa bydliska, užívateľské ID alebo účet, identifikačné číslo, lokačné údaje, IP adresa, fotografia alebo iný údaj, podľa ktorého možno človeka priamo alebo nepriamo spoznať.

V praxi teda neriešime len údaje typu meno, priezvisko alebo rodné číslo. Osobným údajom môže byť aj e-mailová adresa, IP adresa alebo kombinácia údajov, ktorá sama o sebe nevyzerá jednoznačne, ale v spojení s ďalšími informáciami umožní konkrétnu osobu určiť.

Ak teda v systéme ukladáme údaje, podľa ktorých možno používateľa priamo alebo nepriamo identifikovať, musíme s nimi zaobchádzať podľa pravidiel GDPR.

Spracovanie

Spracovanie znamená prakticky akúkoľvek operáciu, ktorú s osobnými údajmi vykonávame. Nezáleží pritom na tom, či údaje spracovávame automatizovane v systéme, alebo ručne v evidencii.

V praxi ide napríklad o získanie údajov pri registrácii, ich uloženie do databázy, úpravu profilu užívateľa, vyhľadanie alebo nahliadnutie do údajov, ich použitie na poskytnutie služby, odovzdanie dodávateľovi, sprístupnenie inej osobe, prepojenie s ďalšími údajmi, obmedzenie spracovania alebo výmaz.

Zjednodušene môžeme povedať, že pokiaľ s osobnými údajmi čokoľvek robíme, veľmi pravdepodobne ide o ich spracovanie. GDPR sa preto netýka len aktívneho používania údajov, ale aj ich uloženia, archivácie alebo zmazania.

Obmedzenie spracovania

GDPR pracuje tiež s pojmom obmedzenie spracovania. Ide o situáciu, keď osobné údaje ďalej uchovávame, ale bežne ich nepoužívame.

Prakticky si to môžeme predstaviť ako označenie údajov za dočasne mrazené. Údaje zostávajú uložené, ale nemáme s nimi vykonávať bežné operácie, pokiaľ dôvod obmedzenia trvá. Môže k tomu dôjsť napríklad vtedy, keď dotknutá osoba spochybní presnosť svojich údajov alebo vznesie námietku proti spracovaniu.

Obmedzenie spracovania teda neznamená automatický výmaz. Znamená, že údaje zostávajú zachované, ale ich použitie je dočasne obmedzené.

Zhrnutie

V úvodnej lekcii sme si vysvetlili, čo je GDPR a na aké situácie sa vzťahuje. Prešli sme základnú štruktúru nariadenia, dôležité články pre prácu s užívateľskými údajmi a stručne sme si ukázali, že pri prevádzke online služby môžu byť relevantné aj ďalšie právne predpisy.

Na záver sme si vymedzili prvé kľúčové pojmy: osobný údaj, spracovanie a obmedzenie spracovania. Tieto pojmy sú základom pre pochopenie ďalších pravidiel GDPR.

V budúcej lekcii, GDPR kompletne a ľudsky - Slovník pojmov , si rozšírime slovník pojmov GDPR. Zameriame sa najmä na profilovanie a pseudonymizáciu.


 

Všetky články v sekcii
GDPR kompletne a ľudsky
Preskočiť článok
(neodporúčame)
GDPR kompletne a ľudsky - Slovník pojmov
Článok pre vás napísal David Hartinger
Avatar
Užívateľské hodnotenie:
Ešte nikto nehodnotil, buď prvý!
David je zakladatelem ITnetwork a programování se profesionálně věnuje 15 let. Má rád Nirvanu, nemovitosti a svobodu podnikání.
Unicorn university David sa informačné technológie naučil na Unicorn University - prestížnej súkromnej vysokej škole IT a ekonómie.
Aktivity