Une définition large des données, des fichiers, de leur traitement

Široká definícia údajov, súborov a ich spracovania

Úryvok z knihy Bruna DUMAYA: DEŠIFROVANIE GDPR – Pre manažérov, strategické oddelenia a zamestnancov spoločností a organizácií – Predslov od Gaëlle MONTEILLER

Myslíme si, že vieme, čo sú osobné údaje (všimnite si, že tento pojem sa nepoužíva v jednotnom čísle, pravdepodobne preto, že na začatie ich spracovania je potrebné zhromaždiť aspoň dva údaje – napríklad meno a adresu). Aby sme sa vyhli chybám, vezmime do úvahy definíciu formulovanú v článku 4 nariadenia: „akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby; „identifikovateľná fyzická osoba“ je osoba, ktorú možno priamo alebo nepriamo identifikovať, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, údaje o polohe, online identifikátor alebo na jeden alebo viac faktorov špecifických pre fyzickú, fyziologickú, genetickú, duševnú, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.“

Hoci znenie nie je ani zďaleka flexibilné, nenecháva žiadne pochybnosti o širokom význame, v akom by sa mal tento pojem chápať. „Akákoľvek informácia“ spojená s osobou predstavuje osobný údaj. Zoznam prídavných mien spojených s „totožnosťou“ osoby v prípade potreby podčiarkuje rozsah slova informácia. 

CNIL objasnila pojem osobných údajov v komentári k článku 2 zákona o ochrane údajov: „Údaje sa považujú za „osobné“, ak sa týkajú priamo alebo nepriamo identifikovaných fyzických osôb. Osoba je identifikovaná, keď sa napríklad jej meno objaví v súbore.“

Osoba je identifikovateľná, keď súbor obsahuje informácie, ktoré nepriamo umožňujú jej identifikáciu (napr.: IP adresa, meno, registračné číslo, telefónne číslo, fotografia, biometrické prvky, ako sú odtlačky prstov, DNA, národné identifikačné číslo študenta (INE), súbor informácií umožňujúcich diskrimináciu osoby v rámci populácie (určité štatistické súbory), ako napríklad miesto bydliska a povolanie a pohlavie a vek). Údaje, ktoré by ste mohli považovať za anonymné, môžu predstavovať osobné údaje, ak umožňujú nepriamu identifikáciu konkrétnej osoby alebo krížovým odkazom na informácie. V skutočnosti to môžu byť informácie, ktoré nie sú spojené s menom osoby, ale ktoré umožňujú ľahko ju identifikovať a poznať jej zvyky alebo vkus.

V tomto zmysle osobné údaje zahŕňajú aj všetky informácie, ktoré pri krížovom porovnaní umožňujú identifikáciu konkrétnej osoby (napr. odtlačok prsta, DNA, dátum narodenia spojený s obcou bydliska)...

GDPR vylučuje zo svojej pôsobnosti činnosti štátov súvisiace s ich bezpečnosťou (16e odôvodnenie) a samozrejme činnosti čisto domácej povahy (čl. 2). Na druhej strane sa nariadenie týka všetkých spoločností (a správnych orgánov, organizácií a združení), ktoré spracúvajú údaje európskych občanov, bez ohľadu na to, či sú usadené na kontinente alebo nie. Podobne, ak spoločnosť využíva subdodávateľa so sídlom mimo EÚ, aj tento musí konať v súlade s ním (čl. 3).

Keďže tieto údaje sú uložené v súboroch, všimnime si aj definíciu tohto slova: „akýkoľvek štruktúrovaný súbor osobných údajov prístupný podľa špecifických kritérií, či už je tento súbor centralizovaný, decentralizovaný alebo distribuovaný funkčne či geograficky.“ Aj tu je zrejmé, že nemôžeme byť prefíkaní a snažiť sa ukladať údaje do databáz, ktoré by sa nedali nazvať „súbormi“. Nielenže by bol náš nástroj preklasifikovaný, ale dozorný orgán by to nepochybne považoval za priťažujúcu okolnosť.

Podobne sa remeselník, ktorý sa bráni počítačovej komunikácii a vedie papierové spisy o svojich zákazníkoch v abecednom poradí, nemôže vyhnúť GDPR (čl. 2 ods. 1).

Práve preto, že sú určené na spracovanie, musia byť údaje tvoriace súbory chránené. Čo je spracovanie? „Akákoľvek operácia alebo súbor operácií, ktoré sa vykonávajú s osobnými údajmi alebo so súbormi osobných údajov, či už automatizovanými prostriedkami alebo nie, ako je zhromažďovanie, zaznamenávanie, organizovanie, štruktúrovanie, uchovávanie, prispôsobovanie alebo zmena, vyhľadávanie, prehliadanie, používanie, zverejňovanie prenosom, šírením alebo sprístupnenie iným spôsobom, zosúladenie alebo kombinovanie, obmedzenie, vymazanie alebo zničenie“ (článok 4 ods. 2). Zoznam slov je takmer vyčerpávajúci: hneď ako sa dotkneme údajov, spracovávame ich, a preto podliehame nariadeniu. O to viac platí, že profilovanie – spracovanie údajov spôsobom, ktorý umožňuje vyhodnotiť alebo predpovedať správanie – musí byť prísne monitorované.

V GDPR sa odporúča pseudonymizácia, kde je to možné, aby údaje už nebolo možné priradiť fyzickej osobe bez použitia dodatočných informácií. „Pseudonymizácia osobných údajov môže znížiť riziká pre dotknuté osoby a pomôcť prevádzkovateľom a spracovateľom plniť si ich povinnosti v oblasti ochrany údajov“ (28).e vzhľadom na).  

Kontrola nad spracovaním je na hraniciach, pretože presahuje hranice. Údaje prenášané mimo Európskej únie v skutočnosti naďalej podliehajú európskemu právu, samozrejme pre prenos, ale aj pre akékoľvek následné spracovanie. Možno sa tiež pýtať, či by mohli vzniknúť právne spory, najmä s Čínou alebo Spojenými štátmi. Aby boli partneri so sídlom mimo EÚ vopred informovaní, nariadenie odporúča podpísať záväzné podnikové pravidlá (BCR) alebo prijať štandardné zmluvné doložky overené európskym orgánom.

Na záver si ujasnime, že porušenie ochrany osobných údajov je „porušenie bezpečnosti vedúce k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému zverejneniu alebo prístupu k osobným údajom prenášaným, uchovávaným alebo inak spracovávaným“ (článok 4 ods. 12). Aj tu sa preto tento pojem má chápať vo veľmi širokom zmysle.

Objavte Viqtor®
sk_SKSK
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sl_SISL sk_SKSK