Nariadenie GDPR a otvorené dáta - Stretnutie s ÚOOÚ - problémové okruhy


#1

V súvislosti s nariadením GDPR (General Data Protection - European Commission) vzniká viacero otázok a obavy, či toto nariadenie (ne)bude mať negatívne dopady na open data projekty mimovládok alebo iných podnikateľov vo verejnom záujme (napr. zvyšovanie transparentnosti), ktoré využívajú dáta z verejných online registrov, a pod. Z tohto dôvodu spolu s Úradom na ochranu osobných údajov plánujeme do konca roka 2017 zorganizovať stretnutie (workshop, okrúhly stô či niečo podobné ) s cieľom vyjasniť aké zmeny vďaka GDPR nastávajú, ale hlavne zodpovedať otázky, ktoré open data komunita má s fokusom na využívanie (otvorených) dát.

Celé znenie GDPR v anglickej ale aj slovenskej verzii nájdete na stránke Úradu na ochranu osobných údajov (ÚOOÚ) https://dataprotection.gov.sk/uoou/sk/main-content/nariadenie-gdpr

Touto cestou jednak pozývam na stretnutie (dátum, miesto - upresníme včas) ale aj chcem poprosiť všetkých tých, čo majú nejaké konkrétne otázky k implementácii GDPR a chcú ich mať zodpovedané priamo ÚOOÚ aby ich formulovali prostredníctvom tejto platformy.

Ďalej ich posunieme na ÚOOÚ, ktorý si pripraví odpovede a zodpovedá ich na spomínanom stretnutí.

Ďakujem!


MAGISTRAT Bratislava - otvaranie dat
Nezaradené správy zo zahraničia
#2

Hlavné otázky:

  • ako je to so “spájaním” datasetov - keď v oboch sú osobné údaje o určitom človeku - môžem údaje spojiť a používať ďalej? paranoidní ochranári súkromia (POS) toto nazývajú “profilovanie osoby”, čo by teda podľa nich malo rozhodne byť zakázané - táto otázka sa vlastne dotýka aj “účelu zverejnených údajov”, či vôbec takéto niečo existuje a ako sa s tým narába

  • pri zverejnení osobných údajov má ten kto ich zverejňuje nejako riešiť či a ako sa dajú zneužiť, alebo použiť mimo pôvodného účelu - lebo POS stále presadzujú teóriu že nejako by sa to malo vopred skúmať a obmedziť publikovanie údajov ak takéto niečo “hrozí” - čo je podľa mňa nezmysel

  • ako identifikovať osobu o ktorej sú údaje zverejňované - tu sú dva protikladné pohľady - na jednej strane účelom zverejnenia (napr. zverejnenie zo zákona) je jednoznačná identifikácia osoby - na druhej strane ochrana osobných údajov má tendenciu všetky poriadne identifikátory zakázať


#3

tento tyzden som cital nariadenie, dnes som sedel s pravnikom, ktory sa v tom tiez zacina orientovat a otvoril som presne otazku, ze ake dopady to moze mat na opendata a ich pouzivanie…dobre otvorena tema!!!


#4

Zaujimavy pripad tu: https://pdpecho.com/2017/03/13/cjeu-in-manni-data-subjects-do-not-have-the-right-to-obtain-erasure-from-the-companies-register-but-they-do-have-the-right-to-object/


#5

Dalsie odkazy:


#6

…zaujimave by bolo sa opytat finstatu na ich pohlad a ako vnimaju GDPR smerom k ich biznisu…


#7

Filip Glasa z Finstat bol prave clovek, ktory to ako prvy inicioval. Sme v kontakte.


#8

Ale povedzme si otvorene, ak to bude diskusia (ako častokrát doteraz) používatelia/ITčkari versus právnici úradu, tak výsledok je dopredu jasný. Chcelo by to právnikov aj na našej strane. @Ivet_Fercikova viete s týmto pomôcť?

Lebo aj moja osobná skúsenosť s ÚOOÚ je že “prirodzene” rozširujú požiadavky na ochranu/zakazovanie pokiaľ_až_sa_dá. Čo je aj očakávateľné vzhľadom na zameranie úradu. Čiže takéto rokovania obvykle nie sú v štýle že nevedomí prišli načerpať úradnej múdrosti, ale tvrdý súboj (argumentov) z oboch strán.


#9

…skusim prezistit pravnika, s ktorym som sedel a preberali sme to…


#10

Myslim ze places na nespravnom hrobe. Gdpr nie je slovensky vymysel a novy zakon ho v podstate len kopiruje


#11

K “spájaniu” datasetov:

Chcel som sa opýtať, či niekde existujú spísané argumenty (niečo na spôsob “manifesta”) od “POS” skupiny ľudí, ale @jsuchal potom pridal dobrý odkaz ( https://citizens-guide-open-data.github.io/guide/4-od-and-privacy). Takže máme aj niečo lepšie, alebo len toto? Ako pri každej téme, základom argumentácie skupiny POS je zrejme veľmi racionálna myšlienka, rovnako ako pri skupine, ktorá chce mať údaje čo najviac otvorené pre využiteľnosť. Môj odhad je (ale rád si nechám vysvetliť), že so stúpajúcou mierou prepojenia otvorených datasetov (o občanoch) násobne stúpa pravdepodobnosť “stotožnenia” konkrétneho človeka (napríklad môjho suseda) s občanom XYZ, len na základe mne prístupných faktov (napríklad koľko má približne rokov, kde približne býva, auto s akou “kubatúrou” je na neho registrované…).

Do každej diskusie je dobré poznať z čoho vychádza jedna aj druhá strana.


#12

@Ivet_Fercikova na aky termin cca planujes to stretko?


#13

Trochu divne, ze neviem k tomu vobec nic najst, ze by sa riesilo na EU urovni. Urcite toto muselo napadnu uz stovky ludi tam.

@hanecak nemas nejake kontakty do CZ? Tam to musia tiez riesit.


#14

…cital som to nariadenie…je to brutal high level a nejednoznacne…nie su k tomu ziadne guidy ani nic zo strany EK (aspon ja osm nenasiel)…Urad na ochranu osobnyhc udajov by mal vydat k tomu dokumetny, usmernenia v zmysle nariadania…zatial tiez nic…

…divim sa, ze rozne firmy ponukaju sluzby, ze “Vas pripravime na zvladnutie GDPR”…


#15

Tu je ku GDPR hromada guidelineov http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.
Urad ma info o GDPR vs zakon o ochrane osobnych udajov a FAQ tu: https://dataprotection.gov.sk/uoou/sk/main-content/dokumenty-k-nariadeniu-gdpr


#16

Na základe momentálne platného Zákona o ochrane osobných údajov v SR možno ďalej spracovať osobné údaje, ktoré už boli zverejnené v súlade so zákonom, a ktoré sú voľne dostupné ako open data, no takáto možnosť už v rámci GDPR nie je, preto by ma zaujímalo ako bude možné po nadobudnutí účinnosti GDPR ďalej nakladať s open data, ktoré obsahujú aj osobné údaje, a ďalej ich spracovávať. Ide napr. o:

  • informácie o štatutároch a prokuristoch z ORSR (meno, priezvisko, adresa)
  • informácie o úpadcoch fyzických osobách v konkurznom konaní alebo oddlžení z Obchodného vestníka (meno, priezvisko, dátum narodenia, adresa)
  • informácie o živnostníkoch a iných obdobných formách podnikania zo Živnostenského registra a Registra účtovných závierok (meno, priezvisko, adresa)
    A na akom právnom základe ich bude možné spracovávať naďalej (bez ich súhlasu)?

#17

Za mna je v prvom rade dolezite, aby UOOU zacal realne participovat na Open Data aktivitach. Nech to neberu ako kritiku, ale ak na UPPVII bezia PS kde sa riesia Open Data, kde sa X-krat spomenie “GDPR” a Y-krat “ochrana osobnych udajov” ale zastupca UOOU tram nie je, tak to je “fail”.

Nic totiz nie je iba cierne alebo biele, aj preto existuju urady ako UOOU, aby teda v pripade nejakeho odtiena sedej vedeli dat co najsilnejsie vyjadrenie k tomu, ci je to este OK alebo uz nie, aby sa predislo blamazam. Nepublikovat nic (Open Data) je jeden extrem, publikovat vsetko je druhy extrem. Ani jeden nie je dobry (resp. spravny v 100% pripadov).

Moje konkretne otazky teda su:

  1. Kedy zacne zastupca UOOU chodit na PS na UPPVII resp. sa celkovo zapajat do aktivit okolo Open Data?
  2. Co konkretne (okrem upravy zakona) doteraz urobili? (nejaky high-level sumar pochopitelny aj pre laikov)
  3. Ake maju plany do budocna? (nejaky high-level sumar pochopitelny aj pre laikov)

IMHO GDPR publikovaniu osobnych udajov pomoze (resp. ma potencial pomoct), priklad: Ked si na zaklade GDPR organizacie spravia datovy audit (ak uz ho doteraz nespravili kvoli OGP uloham), tak maju takmer vsetky potrebne informacie na rozhodnutie ci ten ktory dataset publikovat ako Open Data (a ci ho treba anonymizovat) alebo nie. Kopa PO totiz zakapava v otazke Open Data prave na tom, ze nemaju audit a teda neviedia, ake udaje vlastne maju.

Poznamka pomimo: Ciastocne ako humorne odlahcenie som na PS na UPPVII uz navrhol zrusenie UOOU (co by samozrejme nestacilo, trebalo by zrusit aj ich ostatne ekvivaleny minimalne v EU). Motivaciou tohto kroku je tento argument v clanku “The Birth And Death Of Privacy: 3,000 Years of History Told Through 46 Images” (https://medium.com/the-ferenstein-wire/the-birth-and-death-of-privacy-3-000-years-of-history-in-50-images-614c26059e):

Humans do have an instinctual desire for privacy. However, for 3,000 years, cultures have nearly always prioritized convenience and wealth over privacy.

A podla mna ochrana osobnych udajov uz zacina byt velmi “nepohodlna” (a draha a neefektivna, podobne ako “vojna proti drogam”, kedze sukromie chranime, ale udaje o kreditkach ci ine osobne udaje sa kradnu a “stracaju” masivne uz takmer na dennej baze).

Suhlasim. A podla toho, co som pocul od UOOU doteraz (toho Slovenskeho, Ceskeho aj inych), tak vraj spravny postup je, ze 1) sa sam nabonzujes na UOOU a 2) ozves sa identifikovanym osobam, ze mas ich osobne udaje a ze maju moznost poziadat o ich zmazane (tot som velmi zjednodusil). Ked to potom skonfrontujem s tym, co vsetko masy ludi davaju vedome ci nevedome na Facebook ci Google (a NSA) a ze “ako to maju na haku” (nevyznaju sa, je im to jedno, dokonca to vitaju), tak ma fakt opakovane napadne, ze naco to vlastne riesit?

Ludia (aj uradnici) si to az teraz zacinaju uvedomovat. Mozeme podebatit s ludmi v CR ci Bulharsku o ktorych viem, ze sa tomu venuju.

Vieme, ze nasi uradnici maju velmi radi konkretne navody. Kedze GDPR nic take nedava, tak je to (pre beznych slovenskych, ale asi aj inych) uradnikov velmi velmi “zle”. A teda je to prilezitost na zarobok pre komercne firmy. Nie je to prva (potencionalne predrazena) pomoc, ktora bola kedy ponukana organizaciam VS. :slight_smile:

Este vecne: Uz existuje tzv. WP29 (https://en.wikipedia.org/wiki/Article_29_Data_Protection_Working_Party), co je pracovna skupina venujuca sa pripave odporucani, usmerneni a inych podobnych dokumentov. Neskor z nej vznikne “EU regulator”. Silne postavenie ale maju narodne urady ako napr. nas UOOU - budu rozhodovat vramci svojho statu, obcas aj mimo neho. Dolezite vsak je, ze musia rohodovat konzistentne v celej EU. Ak teda neskor uvidime, ze v rovnakej veci rozhodne napr. cesky reguilator inak nez slovesky, mozeme ich popotahovat a ziadat ujednotenie.

Dalej par veci, co som si poznacil zo seminara o GDPR ktore ostatne organizovalo PPP:

  • doteraz sa ochrana osobnych udajov skor len “fejkovala” (a.k.a. potemkinova dedina): napisal sa “bezpecnostny projekt”, povedalo sa ze vsako je super (mame firewall, mame skoleneho sysadmina, atd.) ale nic z toho realne nebolo
    • GDPR toto pritvrdzuje
    • a ak niekto nema ani len ten “maly realny zaklad” vyzadovany v minulosti, bude sa s GDPR pasovat velmi tazko
  • zaklad: minimalizovat zber udajov: len to co treba na agendu a nic viac
    • IMHO, ak nieco nemam, tak ani nie je debata o tom ci to mam zverejnit ako Open Data, nemusim to chranit, atd.
    • IMHO “jeden krat a dost” je v tomto kontexte “king”: nebudem pytat ludi napr. adresu, skratka len nakuknem do RFO, odobrim ze vsetko sedi a do vlastneho IS zapisem len “obcanovi ID 123 sme schvalili ziadost ABC”
  • srandicky typu “vypytam ci od obcana OP a sprvim si scan” by mali rychlo skoncit
  • policia&spol. maju nadalej “specialny rezim”, lebo vsak ako vysetrovat zlocin ak si nenapisem meno ci rodne cislo?
  • centralne systemy sa budu riesit lahsie, nocnou morou su zdielane adresare kde su tony dokumentov a nie je jasne kto do toho vidi, kto moze zapisovat, atd. a vynasanie na USB je trivialne
  • nizke povedomie celkovo o osobnych udajoch, ich povahe a potrebach ochrany => malo by sa zacat masivne vzdelavat, a nie len udarnici ale aj obcania

#18

Priatelia, bližšie info:

Termín stretnutia s ÚOOÚ je 12.12.2017 od 9:00 do 12:00 u nas na Urade na Cukrovej 14 - koľkí prídete?

Predpokladaný navrhovaný program:

  1. Úvod, požiadavky na zverejňovanie údajov - Open data (ÚSVROS)
  2. Aktuálny stav v ochrane osobných údajov (ÚOOU)
  3. GDPR a máj 2018 – zmeny (ÚOOU)
  4. Otázky, tipy&triky, ako nájsť riešenia (spoločná diskusia)

S ÚOOÚ je dohoda, že si pripravia krátke vstupy k bodom 2 a 3. Súčasne im vopred zašleme otázky, ktoré od vás máme, nech pripravia nejaké návrhy. A ak budú na stretnutí ďalšie nejasnosti, následne vypracujú nejaké odpovede.

Úplný ideál, tak sa tešíme.

Milan


#19

Termín stretnutia s ÚOOÚ je 12.12.2017 od 9:00 do 12:00 u nas na Urade na Cukrovej 14


#20

Ahojte,

prosím, všetci, čo máte záujem prísť, registrujte sa na tomto mieste.

Ďakujem :slight_smile: