V súvislosti s nariadením GDPR (General Data Protection - European Commission) vzniká viacero otázok a obavy, či toto nariadenie (ne)bude mať negatívne dopady na open data projekty mimovládok alebo iných podnikateľov vo verejnom záujme (napr. zvyšovanie transparentnosti), ktoré využívajú dáta z verejných online registrov, a pod. Z tohto dôvodu spolu s Úradom na ochranu osobných údajov plánujeme do konca roka 2017 zorganizovať stretnutie (workshop, okrúhly stô či niečo podobné ) s cieľom vyjasniť aké zmeny vďaka GDPR nastávajú, ale hlavne zodpovedať otázky, ktoré open data komunita má s fokusom na využívanie (otvorených) dát.
Touto cestou jednak pozývam na stretnutie (dátum, miesto - upresníme včas) ale aj chcem poprosiť všetkých tých, čo majú nejaké konkrétne otázky k implementácii GDPR a chcú ich mať zodpovedané priamo ÚOOÚ aby ich formulovali prostredníctvom tejto platformy.
Ďalej ich posunieme na ÚOOÚ, ktorý si pripraví odpovede a zodpovedá ich na spomínanom stretnutí.
ako je to so “spájaním” datasetov - keď v oboch sú osobné údaje o určitom človeku - môžem údaje spojiť a používať ďalej? paranoidní ochranári súkromia (POS) toto nazývajú “profilovanie osoby”, čo by teda podľa nich malo rozhodne byť zakázané - táto otázka sa vlastne dotýka aj “účelu zverejnených údajov”, či vôbec takéto niečo existuje a ako sa s tým narába
pri zverejnení osobných údajov má ten kto ich zverejňuje nejako riešiť či a ako sa dajú zneužiť, alebo použiť mimo pôvodného účelu - lebo POS stále presadzujú teóriu že nejako by sa to malo vopred skúmať a obmedziť publikovanie údajov ak takéto niečo “hrozí” - čo je podľa mňa nezmysel
ako identifikovať osobu o ktorej sú údaje zverejňované - tu sú dva protikladné pohľady - na jednej strane účelom zverejnenia (napr. zverejnenie zo zákona) je jednoznačná identifikácia osoby - na druhej strane ochrana osobných údajov má tendenciu všetky poriadne identifikátory zakázať
tento tyzden som cital nariadenie, dnes som sedel s pravnikom, ktory sa v tom tiez zacina orientovat a otvoril som presne otazku, ze ake dopady to moze mat na opendata a ich pouzivanie…dobre otvorena tema!!!
Ale povedzme si otvorene, ak to bude diskusia (ako častokrát doteraz) používatelia/ITčkari versus právnici úradu, tak výsledok je dopredu jasný. Chcelo by to právnikov aj na našej strane. @Ivet_Fercikova viete s týmto pomôcť?
Lebo aj moja osobná skúsenosť s ÚOOÚ je že “prirodzene” rozširujú požiadavky na ochranu/zakazovanie pokiaľ_až_sa_dá. Čo je aj očakávateľné vzhľadom na zameranie úradu. Čiže takéto rokovania obvykle nie sú v štýle že nevedomí prišli načerpať úradnej múdrosti, ale tvrdý súboj (argumentov) z oboch strán.
Chcel som sa opýtať, či niekde existujú spísané argumenty (niečo na spôsob “manifesta”) od “POS” skupiny ľudí, ale @jsuchal potom pridal dobrý odkaz ( Open Data and Privacy). Takže máme aj niečo lepšie, alebo len toto? Ako pri každej téme, základom argumentácie skupiny POS je zrejme veľmi racionálna myšlienka, rovnako ako pri skupine, ktorá chce mať údaje čo najviac otvorené pre využiteľnosť. Môj odhad je (ale rád si nechám vysvetliť), že so stúpajúcou mierou prepojenia otvorených datasetov (o občanoch) násobne stúpa pravdepodobnosť “stotožnenia” konkrétneho človeka (napríklad môjho suseda) s občanom XYZ, len na základe mne prístupných faktov (napríklad koľko má približne rokov, kde približne býva, auto s akou “kubatúrou” je na neho registrované…).
Do každej diskusie je dobré poznať z čoho vychádza jedna aj druhá strana.
…cital som to nariadenie…je to brutal high level a nejednoznacne…nie su k tomu ziadne guidy ani nic zo strany EK (aspon ja osm nenasiel)…Urad na ochranu osobnyhc udajov by mal vydat k tomu dokumetny, usmernenia v zmysle nariadania…zatial tiez nic…
…divim sa, ze rozne firmy ponukaju sluzby, ze “Vas pripravime na zvladnutie GDPR”…
Na základe momentálne platného Zákona o ochrane osobných údajov v SR možno ďalej spracovať osobné údaje, ktoré už boli zverejnené v súlade so zákonom, a ktoré sú voľne dostupné ako open data, no takáto možnosť už v rámci GDPR nie je, preto by ma zaujímalo ako bude možné po nadobudnutí účinnosti GDPR ďalej nakladať s open data, ktoré obsahujú aj osobné údaje, a ďalej ich spracovávať. Ide napr. o:
informácie o štatutároch a prokuristoch z ORSR (meno, priezvisko, adresa)
informácie o úpadcoch fyzických osobách v konkurznom konaní alebo oddlžení z Obchodného vestníka (meno, priezvisko, dátum narodenia, adresa)
informácie o živnostníkoch a iných obdobných formách podnikania zo Živnostenského registra a Registra účtovných závierok (meno, priezvisko, adresa)
A na akom právnom základe ich bude možné spracovávať naďalej (bez ich súhlasu)?
Za mna je v prvom rade dolezite, aby UOOU zacal realne participovat na Open Data aktivitach. Nech to neberu ako kritiku, ale ak na UPPVII bezia PS kde sa riesia Open Data, kde sa X-krat spomenie “GDPR” a Y-krat “ochrana osobnych udajov” ale zastupca UOOU tram nie je, tak to je “fail”.
Nic totiz nie je iba cierne alebo biele, aj preto existuju urady ako UOOU, aby teda v pripade nejakeho odtiena sedej vedeli dat co najsilnejsie vyjadrenie k tomu, ci je to este OK alebo uz nie, aby sa predislo blamazam. Nepublikovat nic (Open Data) je jeden extrem, publikovat vsetko je druhy extrem. Ani jeden nie je dobry (resp. spravny v 100% pripadov).
Moje konkretne otazky teda su:
Kedy zacne zastupca UOOU chodit na PS na UPPVII resp. sa celkovo zapajat do aktivit okolo Open Data?
Co konkretne (okrem upravy zakona) doteraz urobili? (nejaky high-level sumar pochopitelny aj pre laikov)
Ake maju plany do budocna? (nejaky high-level sumar pochopitelny aj pre laikov)
IMHO GDPR publikovaniu osobnych udajov pomoze (resp. ma potencial pomoct), priklad: Ked si na zaklade GDPR organizacie spravia datovy audit (ak uz ho doteraz nespravili kvoli OGP uloham), tak maju takmer vsetky potrebne informacie na rozhodnutie ci ten ktory dataset publikovat ako Open Data (a ci ho treba anonymizovat) alebo nie. Kopa PO totiz zakapava v otazke Open Data prave na tom, ze nemaju audit a teda neviedia, ake udaje vlastne maju.
Humans do have an instinctual desire for privacy. However, for 3,000 years, cultures have nearly always prioritized convenience and wealth over privacy.
A podla mna ochrana osobnych udajov uz zacina byt velmi “nepohodlna” (a draha a neefektivna, podobne ako “vojna proti drogam”, kedze sukromie chranime, ale udaje o kreditkach ci ine osobne udaje sa kradnu a “stracaju” masivne uz takmer na dennej baze).
Suhlasim. A podla toho, co som pocul od UOOU doteraz (toho Slovenskeho, Ceskeho aj inych), tak vraj spravny postup je, ze 1) sa sam nabonzujes na UOOU a 2) ozves sa identifikovanym osobam, ze mas ich osobne udaje a ze maju moznost poziadat o ich zmazane (tot som velmi zjednodusil). Ked to potom skonfrontujem s tym, co vsetko masy ludi davaju vedome ci nevedome na Facebook ci Google (a NSA) a ze “ako to maju na haku” (nevyznaju sa, je im to jedno, dokonca to vitaju), tak ma fakt opakovane napadne, ze naco to vlastne riesit?
Ludia (aj uradnici) si to az teraz zacinaju uvedomovat. Mozeme podebatit s ludmi v CR ci Bulharsku o ktorych viem, ze sa tomu venuju.
Vieme, ze nasi uradnici maju velmi radi konkretne navody. Kedze GDPR nic take nedava, tak je to (pre beznych slovenskych, ale asi aj inych) uradnikov velmi velmi “zle”. A teda je to prilezitost na zarobok pre komercne firmy. Nie je to prva (potencionalne predrazena) pomoc, ktora bola kedy ponukana organizaciam VS.
Este vecne: Uz existuje tzv. WP29 (Article 29 Data Protection Working Party - Wikipedia), co je pracovna skupina venujuca sa pripave odporucani, usmerneni a inych podobnych dokumentov. Neskor z nej vznikne “EU regulator”. Silne postavenie ale maju narodne urady ako napr. nas UOOU - budu rozhodovat vramci svojho statu, obcas aj mimo neho. Dolezite vsak je, ze musia rohodovat konzistentne v celej EU. Ak teda neskor uvidime, ze v rovnakej veci rozhodne napr. cesky reguilator inak nez slovesky, mozeme ich popotahovat a ziadat ujednotenie.
Dalej par veci, co som si poznacil zo seminara o GDPR ktore ostatne organizovalo PPP:
doteraz sa ochrana osobnych udajov skor len “fejkovala” (a.k.a. potemkinova dedina): napisal sa “bezpecnostny projekt”, povedalo sa ze vsako je super (mame firewall, mame skoleneho sysadmina, atd.) ale nic z toho realne nebolo
GDPR toto pritvrdzuje
a ak niekto nema ani len ten “maly realny zaklad” vyzadovany v minulosti, bude sa s GDPR pasovat velmi tazko
zaklad: minimalizovat zber udajov: len to co treba na agendu a nic viac
IMHO, ak nieco nemam, tak ani nie je debata o tom ci to mam zverejnit ako Open Data, nemusim to chranit, atd.
IMHO “jeden krat a dost” je v tomto kontexte “king”: nebudem pytat ludi napr. adresu, skratka len nakuknem do RFO, odobrim ze vsetko sedi a do vlastneho IS zapisem len “obcanovi ID 123 sme schvalili ziadost ABC”
srandicky typu “vypytam ci od obcana OP a sprvim si scan” by mali rychlo skoncit
policia&spol. maju nadalej “specialny rezim”, lebo vsak ako vysetrovat zlocin ak si nenapisem meno ci rodne cislo?
centralne systemy sa budu riesit lahsie, nocnou morou su zdielane adresare kde su tony dokumentov a nie je jasne kto do toho vidi, kto moze zapisovat, atd. a vynasanie na USB je trivialne
nizke povedomie celkovo o osobnych udajoch, ich povahe a potrebach ochrany => malo by sa zacat masivne vzdelavat, a nie len udarnici ale aj obcania
Termín stretnutia s ÚOOÚ je 12.12.2017 od 9:00 do 12:00 u nas na Urade na Cukrovej 14 - koľkí prídete?
Predpokladaný navrhovaný program:
Úvod, požiadavky na zverejňovanie údajov - Open data (ÚSVROS)
Aktuálny stav v ochrane osobných údajov (ÚOOU)
GDPR a máj 2018 – zmeny (ÚOOU)
Otázky, tipy&triky, ako nájsť riešenia (spoločná diskusia)
S ÚOOÚ je dohoda, že si pripravia krátke vstupy k bodom 2 a 3. Súčasne im vopred zašleme otázky, ktoré od vás máme, nech pripravia nejaké návrhy. A ak budú na stretnutí ďalšie nejasnosti, následne vypracujú nejaké odpovede.
