2. diel - GDPR kompletne a ľudsky - Slovník pojmov Nové

V predchádzajúcej lekcii, GDPR kompletne a ľudsky - Úvod do nariadenia , sme si predstavili základné informácie o nariadení GDPR, vysvetlili sme si jeho pôsobnosť a definovali kľúčové pojmy.

V dnešnom tutoriále kurzu GDPR kompletne a ľudsky si rozšírime slovník základných pojmov, ktoré sa v nariadení často objavujú. Vysvetlíme si ich tak, aby sme sa v ďalších témach mohli orientovať presnejšie a aby bolo jasné, aký význam majú pri bežnom spracovaní osobných údajov.

Cieľom nie je vyčerpať všetky pojmy GDPR do posledného detailu. Zameriame sa hlavne na výrazy dôležité pre prácu s osobnými údajmi v praxi.

Slovník pojmov uvedených v nariadení

GDPR používa množstvo pojmov, ktoré majú presný právny význam. Niektoré z nich preto doplníme krátkym praktickým vysvetlením.

Profilovanie

Profilovanie je forma automatizovaného spracovania osobných údajov, pri ktorej údaje používame na hodnotenie alebo odhad určitých osobných aspektov človeka. Môže ísť napríklad o jeho správanie, záujmy, ekonomickú situáciu, spoľahlivosť, zdravotný stav alebo pohyb.

V praxi sa s profilovaním stretneme napríklad pri radení užívateľov do zákazníckych skupín, odporúčaní obsahu podľa predchádzajúcej aktivity, vyhodnocovaní nákupného správania alebo posudzovaní bonity pri žiadosti o pôžičku.

Pri profilovaní musíme vedieť, prečo údaje takto spracovávame, o aký právny dôvod sa opierame a aký vplyv môže mať takéto hodnotenie na konkrétneho človeka.

Pokiaľ by išlo o rozhodnutie založené výhradne na automatizovanom spracovaní, ktoré má pre človeka právne alebo podobne významné účinky, platia prísnejšie pravidlá. Takéto rozhodovanie musí byť zvlášť odôvodnené, napríklad nevyhnutnosťou pre zmluvu alebo výslovným súhlasom daného človeka.

Pseudonymizácia

Pseudonymizácia je spôsob spracovania osobných údajov, pri ktorom údaje nemožno priradiť konkrétnemu človeku bez použitia ďalších informácií. Tieto dodatočné informácie musia byť uchovávané oddelene a chránené vhodnými technickými a organizačnými opatreniami.

Pri prevádzke webu niekedy potrebujeme chrániť službu pred zneužívaním, ale zároveň nechceme uchovávať viac osobných údajov, než je nutné. Typickým príkladom je užívateľ, ktorý opakovane spamuje diskusné fórum a zároveň požiada o výmaz svojho účtu alebo e-mailovej adresy z bežnej evidencie.

V takejto situácii môžeme namiesto samotného e-mailu uložiť jeho technický odtlačok, napríklad hash, a ten použiť iba na účely obmedzenia spamu. Samotný hash však nemusí byť automaticky anonymný údaj. Pokiaľ ho možno porovnať s konkrétnou adresou alebo inak spätne priradiť ku konkrétnemu človeku, zostáva osobným údajom. Preto ho ukladáme oddelene, s obmedzeným prístupom a len na jasne vymedzený účel.

Pseudonymizácia teda nie je to isté, čo anonymizácia. Pseudonymizované údaje možno pri použití dodatočných informácií znovu priradiť ku konkrétnej osobe, zatiaľ čo anonymizované údaje už rozumne priradiť nemožno.

Správca

Správca je ten, kto určuje, prečo a ako sa budú osobné údaje spracovávať. GDPR hovorí, že správcom môže byť fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určuje účely a prostriedky spracovania osobných údajov.

V praxi je správcom napríklad prevádzkovateľ webového portálu, e-shopu alebo firmy, ktorá zhromažďuje údaje svojich zákazníkov, užívateľov alebo zamestnancov a rozhoduje o tom, na aký účel ich použije.

Spracovateľ

Spracovateľ je ten, kto spracováva osobné údaje pre správcu. Nerozhoduje teda samostatne o hlavnom účele spracovania, ale pracuje s údajmi podľa pokynov správcu.

Typickým spracovateľom môže byť napríklad poskytovateľ hostingu, e-mailingového nástroja, účtovného systému, externý účtovník alebo iný dodávateľ, ktorému správca odovzdá osobné údaje, aby pre neho zaistil konkrétnu službu.

Príjemca

Príjemca je osoba alebo subjekt, ktorému sú osobné údaje poskytnuté. Môže ísť o fyzickú alebo právnickú osobu, orgán verejnej moci alebo iný subjekt.

V praxi môže byť príjemcom napríklad dopravca, platobná brána, externý účtovník, poskytovateľ newsletterového nástroja alebo iný dodávateľ, ktorému osobné údaje predávame za konkrétnym účelom. Príjemcom môže byť aj spracovateľ, pretože mu správca osobné údaje poskytne, aby pre neho zaistil určitú službu.

Za príjemcu sa naopak nepovažujú niektoré orgány verejnej moci, ak môžu osobné údaje získať v rámci osobitného vyšetrovania podľa práva členského štátu. Ich spracovanie sa potom posudzuje podľa pravidiel platných pre daný účel.

Tretia strana

Rozdiel medzi príjemcom a treťou stranou je hlavne v šírke pojmu.

• Príjemca je každý subjekt, ktorému sú osobné údaje poskytnuté.
• Tretia strana je užší pojem – označuje niekoho mimo základného vzťahu medzi subjektom údajov, správcom a spracovateľom.

Spracovateľ teda môže byť príjemcom, ale nie je treťou stranou, pretože s údajmi pracuje pre správcu a podľa jeho pokynov.

Ak osobné údaje odovzdávame tretej strane, musíme vedieť, prečo to robíme, o aký právny dôvod sa opierame a či o tom má byť dotknutá osoba informovaná.

Súhlas

Súhlas je slobodný, konkrétny, informovaný a jednoznačný prejav vôle, ktorým človek dáva súhlas na spracovanie svojich osobných údajov. Súhlas ale nie je potrebný vždy. Osobné údaje môžeme niekedy spracovávať aj z iných dôvodov, napríklad kvôli zmluve, zákonnej povinnosti alebo oprávnenému záujmu.

Ak súhlas potrebujeme, musíme na stránke zrozumiteľne uviesť, kto údaje spracováva, prečo ich potrebuje, akých údajov sa spracovanie týka a ako môže človek súhlas neskôr odvolať.

Súhlas môžeme získať rôznymi spôsobmi podľa toho, kde a na čo ho používame. Na webe sa často používa napríklad checkbox, ktorým človek svoj súhlas potvrdí.

Pokiaľ zvolíme tento spôsob, checkbox nesmie byť vopred zaškrtnutý a informácie k súhlasu nesmú byť ukryté len v obchodných podmienkach alebo spojené s iným potvrdením tak, že človek nespozná, na čo presne súhlas dáva. Správca musí tiež vedieť doložiť, kedy a s čím človek súhlasil.

Porušenie zabezpečenia osobných údajov

Porušenie zabezpečenia osobných údajov je bezpečnostný incident, ktorý vedie k náhodnému alebo protiprávnemu zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo sprístupneniu osobných údajov.

Môže ísť napríklad o situáciu, keď stratíme notebook s databázou zákazníkov, omylom odošleme e-mail s osobnými údajmi nesprávnemu príjemcovi, dôjde k úniku databázy, niekto získa neoprávnený prístup do účtu alebo sa osobné údaje nedopatrením zmažú bez možnosti obnovy.

Pri podobných situáciách posudzujeme nielen technickú stránku incidentu, ale tiež možné riziko pre dotknuté osoby a prípadnú povinnosť oznámiť incident dozornému úradu alebo priamo osobám, ktorých sa únik či strata údajov týka.

Genetický a biometrický údaj

Genetický údaj je osobný údaj týkajúci sa zdedených alebo získaných genetických znakov človeka. Typicky vzniká analýzou biologickej vzorky a môže vypovedať napríklad o jedinečných znakoch alebo zdraví danej osoby.

Biometrický údaj je osobný údaj vzniknutý zvláštnym technickým spracovaním fyzických, fyziologických alebo behaviorálnych znakov človeka, pokiaľ umožňuje alebo potvrdzuje jeho jedinečnú identifikáciu. Môže ísť napríklad o odtlačok prsta, rozpoznávanie tváre, snímku dúhovky alebo hlasovú vzorku.

Samotná bežná fotografia ešte nemusí byť biometrickým údajom v zmysle GDPR. Biometrickým údajom sa stáva najmä vtedy, ak je technicky spracovaná za účelom jedinečnej identifikácie človeka, napríklad pomocou rozpoznávania tváre.

Hlavná prevádzka

Hlavná prevádzkareň je dôležitá hlavne u organizácií, ktoré pôsobia vo viacerých členských štátoch Európskej únie. Pomáha určiť, ktorý dozorný úrad bude pre dané cezhraničné spracovanie hlavným kontaktným miestom.

U firmy alebo organizácie pôsobiacej vo viacerých štátoch pôjde typicky o miesto, kde sa prijímajú hlavné rozhodnutia o účeloch a prostriedkoch spracovania osobných údajov. Pre menší projekt alebo bežnú českú firmu, ktorá pôsobí len v Českej republike, to väčšinou nebude téma, ktorej by sme sa museli venovať do hĺbky.

Ak správca alebo spracovateľ nie je usadený v Európskej únii, ale GDPR naňho napriek tomu dopadá, môže mať povinnosť určiť si v EÚ svojho zástupcu. Ten slúži ako kontaktné miesto pre dozorné úrady aj pre osoby, ktorých údaje sú spracovávané.

Pojmy podnik, skupina podnikov a záväzné podnikové pravidlá sa týkajú hlavne väčších skupín firiem a prenosu osobných údajov mimo EÚ/EHP. Pre základnú orientáciu ich preto nemusíme rozoberať samostatne.

Dozorný úrad a príslušný dozorný úrad

Dozorný úrad je nezávislý orgán verejnej moci, ktorý dohliada na dodržiavanie pravidiel ochrany osobných údajov. V Českej republike túto úlohu plní Úrad pre ochranu osobných údajov (ÚOOÚ).

Dozorný úrad môže napríklad riešiť sťažnosti, vykonávať kontroly, vydávať odporúčania, ukladať nápravné opatrenia alebo v závažnejších prípadoch pokuty.

S pojmom dotknutý dozorný úrad sa stretneme hlavne pri cezhraničnom spracovaní. Ide o úrad členského štátu, ktorého sa dané spracovanie týka, napríklad preto, že v ňom správca alebo spracovateľ pôsobí alebo sa spracovanie významne dotýka osôb v tomto štáte.

Zhrnutie

V tejto lekcii sme si rozšírili slovník pojmov, ktoré GDPR používa pri popise spracovania osobných údajov, rolí jednotlivých subjektov a niektorých zvláštnych situácií.

Ukázali sme si tiež, že niektoré pojmy sú dôležité hlavne v špecifických situáciách, napríklad pri cezhraničnom spracovaní alebo odovzdávaní údajov medzi väčšími skupinami firiem. Pre bežnú prax je dôležité najmä rozumieť tomu, kto s osobnými údajmi pracuje, za akým účelom a akú úlohu pri spracovaní zastáva.

V budúcej lekcii, GDPR kompletne a ľudsky - Zásady spracovania osobných údajov , si ukážeme, akým spôsobom je možné osobné údaje bezpečne ukladať, ako minimalizovať riziká a tiež kedy smieme využívať osobné údaje a na aké účely.