2. diel - GDPR kompletne a ľudsky - Slovník pojmov Nové

V predchádzajúcej lekcii, GDPR kompletne a ľudsky - Úvod do nariadenia , sme si predstavili základné informácie o nariadení GDPR, vysvetlili sme si jeho pôsobnosť a definovali kľúčové pojmy.

V dnešnom tutoriáli kurzu GDPR kompletne a ľudsky si rozšírime slovník základných pojmov, ktoré sa v nariadení často objavujú. Vysvetlíme si ich tak, aby sme sa v ďalších témach mohli orientovať presnejšie a aby bolo jasné, aký význam majú pri bežnom spracúvaní osobných údajov.

Cieľom nie je vyčerpať všetky pojmy GDPR do posledného detailu. Zameriame sa hlavne na výrazy dôležité pre prácu s osobnými údajmi v praxi.

Slovník pojmov uvedených v nariadení

GDPR používa množstvo pojmov, ktoré majú presný právny význam. Niektoré z nich preto doplníme krátkym praktickým vysvetlením.

Profilovanie

Profilovanie je forma automatizovaného spracúvania osobných údajov, pri ktorej údaje používame na hodnotenie alebo odhad určitých osobných aspektov človeka. Môže ísť napríklad o jeho správanie, záujmy, ekonomickú situáciu, spoľahlivosť, zdravotný stav alebo pohyb.

V praxi sa s profilovaním stretneme napríklad pri zaraďovaní používateľov do zákazníckych skupín, odporúčaní obsahu podľa predchádzajúcej aktivity, vyhodnocovaní nákupného správania alebo posudzovaní bonity pri žiadosti o pôžičku.

Pri profilovaní musíme vedieť, prečo údaje takto spracúvame, o aký právny dôvod sa opierame a aký dopad môže mať takéto hodnotenie na konkrétneho človeka.

Ak by išlo o rozhodnutie založené výlučne na automatizovanom spracúvaní, ktoré má pre človeka právne alebo podobne významné účinky, platia prísnejšie pravidlá. Takéto rozhodovanie musí byť osobitne odôvodnené, napríklad nevyhnutnosťou pre zmluvu alebo výslovným súhlasom daného človeka.

Pseudonymizácia

Pseudonymizácia je spôsob spracúvania osobných údajov, pri ktorom údaje nemožno priradiť konkrétnemu človeku bez použitia ďalších informácií. Tieto dodatočné informácie musia byť uchovávané oddelene a chránené vhodnými technickými a organizačnými opatreniami.

Pri prevádzke webu niekedy potrebujeme chrániť službu pred zneužívaním, ale zároveň nechceme uchovávať viac osobných údajov, než je nevyhnutné. Typickým príkladom je používateľ, ktorý opakovane spamuje diskusné fórum a zároveň požiada o vymazanie svojho účtu alebo e-mailovej adresy z bežnej evidencie.

V takejto situácii môžeme namiesto samotného e-mailu uložiť jeho technický odtlačok, napríklad hash, a ten použiť iba na účely obmedzenia spamu. Samotný hash však nemusí byť automaticky anonymný údaj. Ak ho možno porovnať s konkrétnou adresou alebo inak spätne priradiť ku konkrétnemu človeku, zostáva osobným údajom. Preto ho ukladáme oddelene, s obmedzeným prístupom a iba pre jasne vymedzený účel.

Pseudonymizácia teda nie je to isté ako anonymizácia. Pseudonymizované údaje možno pri použití dodatočných informácií znovu priradiť ku konkrétnej osobe, zatiaľ čo anonymizované údaje už rozumne priradiť nemožno.

Prevádzkovateľ

Prevádzkovateľ je ten, kto určuje, prečo a ako sa budú osobné údaje spracúvať. GDPR hovorí, že prevádzkovateľom môže byť fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určuje účely a prostriedky spracúvania osobných údajov.

V praxi je prevádzkovateľom napríklad prevádzkovateľ webového portálu, e-shopu alebo firmy, ktorá zhromažďuje údaje svojich zákazníkov, používateľov alebo zamestnancov a rozhoduje o tom, na aký účel ich použije.

Sprostredkovateľ

Sprostredkovateľ je ten, kto spracúva osobné údaje pre prevádzkovateľa. Nerozhoduje teda samostatne o hlavnom účele spracúvania, ale pracuje s údajmi podľa pokynov prevádzkovateľa.

Typickým sprostredkovateľom môže byť napríklad poskytovateľ hostingu, e-mailingového nástroja, účtovného systému, externý účtovník alebo iný dodávateľ, ktorému prevádzkovateľ odovzdá osobné údaje, aby pre neho zabezpečil konkrétnu službu.

Príjemca

Príjemca je osoba alebo subjekt, ktorému sú osobné údaje poskytnuté. Môže ísť o fyzickú alebo právnickú osobu, orgán verejnej moci alebo iný subjekt.

V praxi môže byť príjemcom napríklad dopravca, platobná brána, externý účtovník, poskytovateľ newsletterového nástroja alebo iný dodávateľ, ktorému osobné údaje odovzdávame na konkrétny účel. Príjemcom môže byť aj sprostredkovateľ, pretože mu prevádzkovateľ osobné údaje poskytne, aby pre neho zabezpečil určitú službu.

Za príjemcu sa naopak nepovažujú niektoré orgány verejnej moci, ak môžu osobné údaje získať v rámci osobitného vyšetrovania podľa práva členského štátu. Ich spracúvanie sa potom posudzuje podľa pravidiel platných pre daný účel.

Tretia strana

Rozdiel medzi príjemcom a treťou stranou je hlavne v šírke pojmu.

• Príjemca je každý subjekt, ktorému sú osobné údaje poskytnuté.
• Tretia strana je užší pojem – označuje niekoho mimo základného vzťahu medzi dotknutou osobou, prevádzkovateľom a sprostredkovateľom.

Sprostredkovateľ teda môže byť príjemcom, ale nie je treťou stranou, pretože s údajmi pracuje pre prevádzkovateľa a podľa jeho pokynov.

Ak osobné údaje odovzdávame tretej strane, musíme vedieť, prečo to robíme, o aký právny dôvod sa opierame a či o tom má byť dotknutá osoba informovaná.

Súhlas

Súhlas je slobodný, konkrétny, informovaný a jednoznačný prejav vôle, ktorým človek dáva povolenie na spracúvanie svojich osobných údajov. Súhlas však nie je potrebný vždy. Osobné údaje môžeme niekedy spracúvať aj z iných dôvodov, napríklad kvôli zmluve, zákonnej povinnosti alebo oprávnenému záujmu.

Ak súhlas potrebujeme, musíme na stránke zrozumiteľne uviesť, kto údaje spracúva, prečo ich potrebuje, akých údajov sa spracúvanie týka a ako môže človek súhlas neskôr odvolať.

Súhlas môžeme získať rôznymi spôsobmi podľa toho, kde a na čo ho používame. Na webe sa často používa napríklad checkbox, ktorým človek svoj súhlas potvrdí.

Ak zvolíme tento spôsob, checkbox nesmie byť vopred zaškrtnutý a informácie k súhlasu nesmú byť ukryté iba v obchodných podmienkach alebo spojené s iným potvrdením tak, že človek nespozná, na čo presne súhlas dáva. Prevádzkovateľ musí tiež vedieť doložiť, kedy a s čím človek súhlasil.

Porušenie ochrany osobných údajov

Porušenie ochrany osobných údajov je bezpečnostný incident, ktorý vedie k náhodnému alebo protiprávnemu zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo sprístupneniu osobných údajov.

Môže ísť napríklad o situáciu, keď stratíme notebook s databázou zákazníkov, omylom odošleme e-mail s osobnými údajmi nesprávnemu príjemcovi, dôjde k úniku databázy, niekto získa neoprávnený prístup do účtu alebo sa osobné údaje nedopatrením zmažú bez možnosti obnovy.

Pri podobných situáciách posudzujeme nielen technickú stránku incidentu, ale aj možné riziko pre dotknuté osoby a prípadnú povinnosť oznámiť incident dozornému orgánu alebo priamo osobám, ktorých sa únik či strata údajov týka.

Genetický a biometrický údaj

Genetický údaj je osobný údaj týkajúci sa zdedených alebo získaných genetických znakov človeka. Typicky vzniká analýzou biologickej vzorky a môže vypovedať napríklad o jedinečných znakoch alebo zdraví danej osoby.

Biometrický údaj je osobný údaj vzniknutý osobitným technickým spracúvaním fyzických, fyziologických alebo behaviorálnych znakov človeka, ak umožňuje alebo potvrdzuje jeho jedinečnú identifikáciu. Môže ísť napríklad o odtlačok prsta, rozpoznávanie tváre, snímku dúhovky alebo hlasovú vzorku.

Samotná bežná fotografia ešte nemusí byť biometrickým údajom v zmysle GDPR. Biometrickým údajom sa stáva najmä vtedy, ak je technicky spracovaná na účel jedinečnej identifikácie človeka, napríklad pomocou rozpoznávania tváre.

Hlavná prevádzkareň

Hlavná prevádzkareň je dôležitá hlavne pri organizáciách, ktoré pôsobia vo viacerých členských štátoch Európskej únie. Pomáha určiť, ktorý dozorný orgán bude pre dané cezhraničné spracúvanie hlavným kontaktným miestom.

Pri firme alebo organizácii pôsobiacej vo viacerých štátoch pôjde typicky o miesto, kde sa prijímajú hlavné rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov. Pre menší projekt alebo bežnú slovenskú firmu, ktorá pôsobí iba v Slovenskej republike, to väčšinou nebude téma, ktorej by sme sa museli venovať do hĺbky.

Ak prevádzkovateľ alebo sprostredkovateľ nie je usadený v Európskej únii, ale GDPR sa na neho napriek tomu vzťahuje, môže mať povinnosť určiť si v EÚ svojho zástupcu. Ten slúži ako kontaktné miesto pre dozorné orgány aj pre osoby, ktorých údaje sa spracúvajú.

Pojmy podnik, skupina podnikov a záväzné vnútropodnikové pravidlá sa týkajú hlavne väčších skupín firiem a odovzdávania osobných údajov mimo EÚ/EHP. Pre základnú orientáciu ich preto nemusíme rozoberať samostatne.

Dozorný orgán a dotknutý dozorný orgán

Dozorný orgán je nezávislý orgán verejnej moci, ktorý dohliada na dodržiavanie pravidiel ochrany osobných údajov. Na Slovensku túto rolu plní Úrad na ochranu osobných údajov Slovenskej republiky.

Dozorný orgán môže napríklad riešiť sťažnosti, vykonávať kontroly, vydávať odporúčania, ukladať nápravné opatrenia alebo v závažnejších prípadoch pokuty.

S pojmom dotknutý dozorný orgán sa stretneme hlavne pri cezhraničnom spracúvaní. Ide o orgán členského štátu, ktorého sa dané spracúvanie týka, napríklad preto, že v ňom prevádzkovateľ alebo sprostredkovateľ pôsobí alebo sa spracúvanie významne dotýka osôb v tomto štáte.

Zhrnutie

V tejto lekcii sme si rozšírili slovník pojmov, ktoré GDPR používa pri opise spracúvania osobných údajov, rolí jednotlivých subjektov a niektorých osobitných situácií.

Ukázali sme si tiež, že niektoré pojmy sú dôležité hlavne v špecifických situáciách, napríklad pri cezhraničnom spracúvaní alebo odovzdávaní údajov medzi väčšími skupinami firiem. Pre bežnú prax je dôležité najmä rozumieť tomu, kto s osobnými údajmi pracuje, na aký účel a akú rolu pri spracúvaní zastáva.

V budúcej lekcii, GDPR kompletne a ľudsky - Zásady spracovania osobných údajov , si ukážeme, akým spôsobom je možné osobné údaje bezpečne ukladať, ako minimalizovať riziká a tiež kedy smieme využívať osobné údaje a na aké účely.