Základní terminologie GDPR

V souvislosti se zavedením nařízení GDPR do firemních procesů nepropadejte zbytečné panice - využitím technických prostředků pro komunikaci a IT bezpečnost dokážete posílit integritu dat a podnikových sítí. Pojďme se nejdřív ve stručnosti seznámit se základními GDPR pojmy.

K porozumění požadavkům kladených GDPR a tomu, jak je dodržovat, je třeba nejdříve pochopit význam určitých klíčových termínů a konceptů, které se v právním předpise vyskytují - viz článek 4 nařízení GDPR.

GDPR nařízení naštěstí nechává některé termíny otevřené interpretaci - např. požaduje, aby organizace zavedly rozumnou míru ochrany osobních dat, aniž by byla rozumná míra blíže specifikována.

Osobní údaje

Účelem GDPR je ochrana osobních údajů a na rozdíl od předchozí směrnice, termín "osobní údaje" je v něm přesně definovaný a definice se tak nenechává na jednotlivých členských zemích EU. Definice osobních údajů je přitom v GDPR velmi široká.

Jsou definovány jako:

Každá informace o identifikované nebo identifikovatelné fyzické osobě - subjektu údajů.

Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

To zahrnuje základní identifikační údaje jako jsou jméno, adresa, telefonní číslo, identifikační čísla, biometrické údaje, webové údaje - IP adresy, lokace, informace z cookies, údaje z RFID tagů.

Dále rasové nebo etnické údaje, sexuální orientace, členství v obchodní unii, politické názory a náboženská víra jsou klasifikovány jako speciální kategorie neboli "citlivé osobní údaje" a jsou předmětem dodatečné ochrany.

Údaje, které jsou úplně anonymizovány tak, aby jednotlivci nemohli být identifikování přímo či nepřímo, jsou ze záběru GDPR vyřazeny.

Pseudonymizace

Pseudonymizované údaje jsou odlišné od anonymizovaných údajů. Pseudonymizace může být i pro mnoho IT profesionálů novým termínem.

Co je to pseudonymizace:

Zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.

Pseudonymní údaje jsou stále považovány za osobní údaje, mohou ale vyžadovat menší míru ochrany.

Zpracování osobních údajů

GDPR ukládá dodržování požadavků k ochraně údajů během jejich zpracování. Zpracování osobních údajů je jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů.

Definice pokrývá širokou škálu činností, které zahrnují téměř vše, co se s osobními údaji dá dělat.

Co všechno zahrnuje zpracování osobních údajů:

nahlédnutí
omezení
použití
přizpůsobení nebo pozměnění
seřazení či zkombinování
shromažďování
strukturování
šíření nebo jakékoli jiné zpřístupnění
uložení
uspořádání
vyhledání
výmaz
zaznamenávání
zničení
zpřístupnění přenosem

Správci a zpracovatelé

GDPR se vztahuje na organizace, které sbírají, ukládají a nebo zpracovávají osobní údaje evropských občanů. Na obě skupiny se vztahují povinnosti dodržovat nařízení. Nicméně, GDPR přiřazuje rozdílnou zodpovědnost na základě dvou rolí, které může organizace hrát.

Osoba nebo organizace, která samostatně nebo společně s dalšími rozhoduje o účelech a prostředcích zpracování osobních údajů, je nazývána správcem.

Osoba nebo organizace, která osobní data pro správce zpracovává, je nazývána zpracovatelem. Stejná organizace může fungovat jako správce pro některé údaje, a jako zpracovatel pro údaje jiné.

Stručně o GDPR

Obecné nařízení o ochraně údajů (GDPR) bylo parlamentem Evropské unie zavedeno do právního řádu v dubnu 2016 a jeho vstoupení v platnost bylo stanoveno na 25. 5. 2018. S rychle se blížícím termínem vstoupení v platnost organizacím dochází čas na rozhodnutí, jestli a jak se jich nařízení dotýká, případně jak implementovat změny ve svých IT procesech nutné ke splnění požadavků.

GDPR nahrazuje směrnici o ochraně údajů (směrnice 95/46/EC), která byla základem evropských zákonů o ochraně soukromí od roku 1995. Jako většina vládních nařízení, GDPR je komplexním dokumentem a v některých ohledech je otevřeno interpretaci. Úmyslem tohoto právního předpisu je ochrana soukromí občanů EU a standardizace zákonů napříč všemi státy EU.

Organizace mají k dispozici mnoho nástrojů, které jim umožní provést a zdokumentovat kroky, jež jsou ke splnění požadavků GDPR nutné - od rozpoznání osobních údajů, které musí být chráněny, po jejich správné zabezpečení, efektivní řízení a sledování jejich pohybu a toho kde, kdy a kdo k nim má přístup.