Nariadenie GDPR a otvorené dáta - Stretnutie s ÚOOÚ - problémové okruhy

Upresnim: “Prenasame paniku z inych for (aj) sem.”

Ono na roznych PS sa uz par uradnikov nechalo pocut, ze v tej kombinacii (Open Data + GDPR) vidia problem. A kedze na tych stretnutiach zastupca UOOU nebol, tak vitam prilezitost ze sa stretnu “ti co maju problem” (alebo si myslia ze maju) s UOOU ohladom toho problemu.

Aj ta UK prezentacia zrejme nevznikla len tak, zrejme ma niekoho upokojit. :slight_smile:

Nuz, zajtra budeme dufam mudrejsi.

…nebol som do konca dnesneho stretka…ale myslim si, ze stretko bolo do urcitej miery prospesne…treba ratat s tym, ze nikto nevie vsetko a kazdy vie nejak prispiet k popisu problemu a jeho moznosti riesenia…

…na stretku padli aj nazory, ze OpenData v SR umreli a pod…

…ja to tak skepticky nevidim…ukazalo sa standardne, ze zakony vznikaju izolovane ako povedala jedna ne-menovana opendata aktivistka @Ivet_Fercikova

…ocenujem pristup pani z Uradu na ochranu osobnych udajov, ze prisla, ze sa snazila konstruktivne viest debatu a sem-tam nacrtla aj moznosti/hacky ako obmedzenia obist …

…bud sa to napadne na sude, vyda sa judikat, podla ktoreho sa bude nasledne postupovat…

…dalsia moznost je byt proaktivny na strane statu, zmenit legislativu tak, aby to odblokovala a da sa s tym chvalit v ramci EU…napr. UPVII by si to mohol zobrat ako taky mini-legislativny projekt, centralne koordinovat a genericky vyriesit opendata vs. GDPR v SR…

…teraz sa ukaze, ze ci su OpenData pre stat tak dolezite ako sa to prezentuje…lebo je rozdiel moct vidiet a moct aj spracovavat…

1 Like

Ja este doplnim, co na stretku myslim uplne povedane nebolo ale je dolezite si to uvedomit:

  • GDPR akoby len prebudza ochranu udajov (ktora tu bola aj pred tym, ale bola skor spiacou Ruzenkou - ochranovalo sa len pro-forma, aj preto to fungovalo akoby v izolovanom vesmire, mimo ostanych veci)
  • GDPR sa netyka vsetkych datasetov (udaje o zivotnom pristredi, doprave ci cast Katastra, atd. - tie osobne udaje neobsahuju), tyka sa len tych v ktorych sa vyskytuju nejake osobne udaje
  • datasety s osobnymi udajmi su malou castou mnoziny vsetkych udajov (napr. ORSR/RPO, CRZ, Register konecnych uzivatelov vyhod, atd.) …
  • ale aj ked ich je malo, prave preto zvyknu byt zaujimave a dolezite (ved na co by mi bol napr. Register konecnych uzivatelov vyhod ak by som pri jeho kopirovani ci spracuvani musel odstranit mena?)
  • datasety s osobnymi udajmi vsak boli zverejnene za nejakym ucelom, ta “invazia sukromia” ma nejaky vyssi zamer (typicky verejny zaujem), cize …

… (tak ako pises) cesta moze viest napr. cez novy zakon o udajoch: ze jasne povie, aby zakony ktore zadavaju povinnost zverejnovat nejake osobne udaje zaroven riadne osetrili sulad s Open Data, aby sa dalo spolahnut na to co hovori Open Data licencia, Vynos 55/2014 (http://www.zakonypreludi.sk/zz/2014-55/znenie-20160701#p52).

Lebo teda ak by to ostalo “neosetrene”, spracuvatelia “citlivych datasetov” by ostali vo velkej pravnej neistote a len v malom mnozstve pripadov budu schopny naplnit ciele, kvoli ktorym tie datasety boli zverejnene. Tym by sa poprel zmysel zverejnovania.

Vid teda vlakno Zákon o údajoch z ktoreho aj sem zanesiem citaciu z predbezneho ceskeho usmernenia (bold je moj):

V souladu s názorem pracovní skupiny WP 29 je pak ještě nezbytné uvést, že před zveřejněním takových informací v podobě otevřených dat je třeba provést zhodnocení dopadů tohoto zveřejnění na subjekty údajů a jejich chráněná práva. To může provést buď přímo správce, který se rozhodne splnit svoji zákonnou povinnost poskytovat dané informace způsobem publikace otevřených dat. Druhou možností potom je, že dané zhodnocení proběhne na úrovni zákonodárce, který jednoznačně stanoví povinnost poskytovat některé informace jako otevřená data

(Tot aby teda poslanci, ked uz povedia “zverejnit”, tak nech to robia poriadne. A nie ze cast povinnosti v podobe napr. posudenie vplyvov “outsourcuju” na niekoho dalsieho systemom “padajuceho hovna”. Pardon za vyraz.)

2 Likes

Ja teda len pridám moje poznámky zo stretnutia k OpenData vs. GDPR.

  • samozrejme riešime iba osobné údaje, nič iné z OpenData nie je týmto dotknuté
  • oproti súčasnému zákonu o ochrane OÚ nebude automaticky existovať právny základ spracúvania zverejnených údajov (OpenData)
  • pani z úradu v určitom bode debaty povedala, že jej to je teda veľmi ľúto, ale zrejme zverejnené OÚ nebude možné nijako ďalej spracúvať - ibaže by s tým každá dotknutá osoba súhlasila, alebo niekde v zákone bolo explicitne uvedené kto a za akým účelom to má robiť
  • a že do nášho nového zákona o ochrane OÚ bolo možné nejaké veci k tomu dať, ale sa nikto neozval, takže máme smolu a že novelizovať to pôjde veľmi ťažko
  • následne sme hľadali nejaké možnosti ako by sa to predsa len dalo v GDPR odôvodniť
  • v GDPR Čl.6.1.f sa uvádza, že spracúvanie je zákonné aj ak: “je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa”
  • predošlá konštrukcia sa nedá použiť pre OVM (lebo posledná veta čl.6.1) - tam treba hľadať iný zákonný nárok, napr. spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa (čl.6.1.c), alebo spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi (čl.6.1.e)
    .
  • ak ide o oprávnené záujmy prevádzkovateľa, tak dôležité sú pravidlá v Rec.47 (a ďalej), kde sa uvádza, že “[oprávnené záujmy môžu stačiť] ak nad nimi neprevažujú záujmy alebo základné práva a slobody dotknutej osoby, pričom sa zohľadnia primerané očakávania dotknutých osôb na základe ich vzťahu k prevádzkovateľovi.”
  • pri údajoch zverejnených na základe zákona je (podľa mňa) každej dotknutej osobe jasné, že zverejnené údaje budú nejako ďalej používané (lebo veď to je účel zverejnenia), t.j. očakávanie je splnené, preukázať treba primeranosť
  • otázny je “vzťah k prevádzkovateľovi” (t.j. dotknutá osoba musí mať nejaký vzťah so subjektom čo údaje spracúva) - pani z úradu hovorila, že je to nevyhnutná podmienka; podľa mňa však “vzťah” vzniká už tým, že prevádzkovateľ sa venuje určitej oblasti, ktorej sa zverejnené údaje týkajú (analógia monitorovania priestoru: pozerám sa na istý priestor ku ktorému mám vzťah, tým pádom mi vzniká vzťah ku každej osobe ktorá sa v tom priestore nachádza vs. som neziskovka ktorá sa pozerá “na priestor” korupcie pri verejných zákazkách, tým pádom mi vzniká vzťah so všetkými osobami, ktoré do priestoru verejných zákaziek vstupujú) a zároveň je požiadavka na vzťah oslabená rec.47,druhá veta, kde vzťah je iba jedným z možných odôvodnení oprávneného záujmu, ďalej rec.47, štvrtá veta, kde sa hovorí o tom, kedy by primerané záujmy DO mohli prevážiť a nie je tam absencia vzťahu uvedená,
  • v rec.47, posledné dve vety je explicitne uvedené, že “predchádzanie podvodom” a “priamy marketing” možno považovať za oprávnený záujem, a teda najmä pri predchádzaniu podvodom asi ťažko predpokladať nejaký (dobrovoľný) vzťah dotknutej osoby so spracovateľom údajov, čo potvrdzuje predpoklad, že požiadavka na vzťah je slabá
  • v rec.50 sa uvádza: "Spracúvanie osobných údajov na iné účely ako na účely, na ktoré boli osobné údaje pôvodne získané, by malo byť umožnené len vtedy, ak je toto spracúvanie zlučiteľné s účelmi, na ktoré boli osobné údaje pôvodne získané. V takom prípade sa nevyžaduje žiadny iný samostatný právny základ, než je právny základ, ktorý umožňoval získavanie osobných údajov. " To bude tiež zjavne limitovať možné oprávnené záujmy pri ďalšom spracúvaní, avšak explicitne je povedané, že potom netreba hľadať žiadny ďalší právny základ.
  • v rec.47 a 50 je uvedené, že v takýchto prípadoch je vždy nevyhnutné dôkladné posúdenie, či je spracúvanie primerané = test proporcionality. Takéto posúdenie musí zohľadniť: prepojenie nového a pôvodného účelu; kontext, v ktorom boli osobné údaje získané; primerané očakávania DO samy o sebe aj vyplývajúce z jeho vzťahu k spracovateľovi údajov; povahu osobných údajov; následky ďalšieho spracovania pre DO; existenciu primeraných záruk v primeraných aj zamýšľaných operáciách ďalšieho spracúvania (zrejme ide o záruky, že reálny výkon bude taký ako je deklarované). Test proporcionality je známa vec, viď. napr. https://www.uoou.cz/k-principu-proporcionality-pri-zpracovani-osobnich-udaju-na-zaklade-zakona-o-svobodnem-pristupu-k-informacim/d-5511/p1=1099
  • v rec.50,druhý odsek sa uvádza aj: “Ak dotknutá osoba udelila súhlas alebo sa spracúvanie zakladá na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti, najmä na ochranu dôležitých verejných záujmov, mal by mať prevádzkovateľ možnosť osobné údaje ďalej spracúvať bez ohľadu na zlučiteľnosť účelov.” a je mi teda dosť nejasné čo presne to znamená…
  • tieto veci sme nedoriešili, pani z úradu povedala že si to musia na ÚOOÚ prebrať a musí to byť aj v súlade s tým aký je záver v iných krajinách EÚ, a že to teda vidí dosť skepticky
    .
  • ak aj sa podarí preukázať, že spracúvanie údajov je právne podložené, bude treba plniť ďalší rad zákonných podmienok - k detailom sme sa nestihli dostať
  • špeciálne bolo spomenuté, že spracovateľ má vždy povinnosť plniť požiadavky na výkon práv dotknutých osôb - napr. povinnosť opravy nesprávnych údajov
  • ďalej povinnosť spracúvať iba správne údaje vraj v prípade zverejnených údajov znamená povinnosť monitorovať zdroj zverejnenia a ak sa tam údaje opravia/zmenia, vykonať zmenu aj v ďalšom spracovaní
  • začalo sa hovoriť aj o povinnosti informovať dotknuté osoby, že ich údaje sú spracúvané, ale to sme nedokončili, tak neviem …
    .
  • pani z úradu uviedla, že teda najlepšie by bolo, ak by OpenData veci boli upravené v samostatnom zákone - spomínal sa “zákon o OpenData” (alebo zákon o údajoch?) - ja osobne som voči tomuto dosť skeptický, je to minimálne niekoľko rokov vzdialené
  • a že v každom zákone kde sa ukladá/umožňuje pre OVM zverejňovať osobné údaje má byť uvedený aj účel ich zverejnenia a že v nových zákonoch na toto úrad dozrie - k tomuto som ešte skeptickejší, jednak to zatiaľ nikde nie je spravené a zabíja to pointu OpenData
3 Likes

Vo Finstate vieme dodať ku každému IS alebo osobnému údaju účel spracovania. Tých účelov je viac na každý IS alebo osobný údaj a sú racionálne. Nie len vymyslené účely nejakým ohýbaním.
V zásade si vieme ošetriť väčšinu vecí, ktoré sa týkajú GDPR. Problém je, že tá na ša verejná (zadamrmo) časť, ktorá je pre spoločnosť najdôležitejšia, tak u nej sa to dá z hľadiska GDPR urobiť najťažšie (lebo tam z podstaty toho že je to verejné nemáme vzťah s užívateľom a neriešime jeho účel použitia).

Tým som chcel povedať, že keď to zoberieme biznisovo, tak sa Open Data dajú celkom dobre použiť aj s osobnými údajmi. Ale ak chceš prevádzkovať verejnú službu zadarmo, tak je to o dosť väčší problém. Čo vlastne ide proti Open Data ako takému.

Na začiatok je dobré ísť na to ako pani Valentová odporúčala, hľadať si účely, vzťah, právny základ a nejako to prispôsobiť. Ale z dlhodobého hľadiska je potrebné nejak všeobecne ošetriť Open Data aj všeobecne, aby nezanikali verejné služby a projekty ako otvorenesudy.sk a free časť Finstatu len preto, že ak máte veľmi konkrétny účel a zákazníka tak to ide, ale keď to robíte všeobecne pre spoločnosť, tak nie.

2 Likes

Do Bruselu kvoli tomuto nikto asi nepojde, ale dobre vediet, ze sa mozno 19.1. dozvieme nieco. Z tejto diskusie vyplynulo, ze s tymto je problem nielen pri otvarani “vladnych” dat ale aj otvarani “vyskumnych” dat. https://twitter.com/sandervdwaal/status/941337784501047296

Dobre si to zhrnul, @Lubor . Tá “pani z ÚOOÚ” je vrchná inšpektorka Tatiana Valentová, Odbor kontroly spracúvania osobných údajov, tatiana.valentova@pdp.gov.sk https://dataprotection.gov.sk/uoou/sk/content/kontakt-0

Celkom pekne je to spracovane aj tu:

https://m.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/p1=4744

1 Like

Toto vyzera, ze pokial sa do toho neoprie nejaka tazsia vaha (zmruk UPVII, NASES), tak sa z trendsettera dostaneme vyrazne nizsie. Uz sa nebudeme moct chvalit. :frowning:

mi napadla otazka
problem by bol s dalsim zverejnovanim tych dat, alebo aj samotnym spracovanim?
uvediem priklad…rpvs obsahuje udaje ako adresa a datum narodenia, ja ich spracujem, zoskupim podla tychto udajov ale v konecnom vysledku ich neuvediem, ale len meno…porusil som nieco?

v zmysle GDPR budes prevadzkovatel a musis splnit podmienky na prevadzkovatela systemu, ktory spracuva osobne udaje

potom k tomu, ze zverejnis “len” meno…tak tu narazas na ine ustanovenia, ktore GDPR definuje a to je, ze osoba si od teba moze vyziadat potvrdenie, ze ci o nej evidujes nejake osobne data, ak ano, tak ma pravo poziadat o ich vymaz alebo o zastavenie zbierania dat…tu ty musis opat preukazat, ze bez osobnych dat o osobe nevies fungovat a pod., akonahle existuje iny sposob ako si to vies zabezpecit, tak bud osobne data vymazes alebo ich prestanes zbierat, alebo by si to musel mat napr uvedene v zakone a aj to ze ich mozes dalej publikovat

s publikovanim je potom dalsi problem, ze definujes na aky ucel ich publikujes a osoba by ti na kazdy iny ucel mala dat suhlas

definicia co su osobne udaje je uz pomerne velka, nie je to uz len meno, priezvisko a adresa

-> cize ked si to vsetko spojis, tak zistis, kde je presne problem s OpenDatami vs GDPR…

potes panbuh tolko problemov
este laicka otazka, kedze tie data predpokladam ostanu v rpvs volne pristupne, tak tieto nariadenia sa tykaju len firiem/obcianskych zdruzeni ci aj fyzickych osob? ked si jozko mrkvicka stiahne tie udaje z rpvs api a spravi s nimi co chce a uverejni to na serveri v thajsku tak aj na to myslela eu, alebo tak daleko sa nedostali?

myslelo sa na vsetko z tohto pohladu…nemyslelo sa na to ako to zasihane spominane OpenData

podla mojho nazoru GDPR je hlavne zamerane voci produktom typu FB, Google produktom, shopom a pod., kde a zbieraju data a profiluju sa a pod.

keby sa toho niekto chytil na najvyssej urovni a otvoril dialog s EK, nakolko OpenData je tiez priorita EK, tak by z toho mohol vytrieskat aj politicky kapital a aj by sa urobila rozumna a prospesna vec

2 Likes

…inak teraz ked som sa kupal, tak mi napadlo, ze ak v ramci projektu https://redflags.slovensko.digital/projekty/4196 nevyriesia OpenData vs. GDPR, tak ten projekt asi nebude realizovatelny ako sa planovalo…

2 Likes

Vychadza to po 100k€ na poslanca … cize ak by potom implementacia bola za 0€ … to by hadam slo. A pridal by som sa k dakujucim. :>

(Pozor, naozaj zartujem, urcite sa nesnazim navadzat na kupovanie poslancov. :slight_smile: )

Uvidime, co vypali z DSI/PSI/EC public hearingu (Nariadenie GDPR a otvorené dáta - Stretnutie s ÚOOÚ - problémové okruhy). Na OKFN fore - https://discuss.okfn.org/t/gdpr-vs-part-of-open-data/6254 - zatial ticho.

Niekto nebude v okoli Bruselu 19.1.? https://ec.europa.eu/digital-single-market/en/news/public-hearing-review-directive-reuse-public-sector-information

Ahoj, za ČR tam nikdo nejede. U nás totiž zákon o svobodném přístupu k informacím řeší odbor dozory a kontroly a ti tam nejedou. Jako opendatista tam bohužel nejedu.

https://webcast.ec.europa.eu/public-hearing-on-the-review-of-the-directive-on-the-reuse-of-public-sector-information# tu by mal byt zajtra webcast. Ak by sa niekomu chceli spisat odtial zaujimave postrehy ma u mna pivo (alebo nieco co si vyberie).

Nikde som tu zatial nevidel spomenuty Recital 154 nariadenia (zvyraznenie je odo mna), ktory by, podla mojho nazoru, mohol nejake veci zachranit.

Týmto nariadením sa umožňuje, aby sa pri jeho uplatňovaní zohľadňovala zásada prístupu verejnosti k úradným dokumentom. Prístup verejnosti k úradným dokumentom možno považovať za verejný záujem. Osobné údaje uvedené v dokumentoch, ktoré má v držbe orgán verejnej moci alebo verejnoprávny subjekt, by tento orgán verejnej moci alebo verejnoprávny subjekt mal môcť poskytnúť verejnosti, ak je takéto poskytnutie stanovené v práve Únie alebo v práve členského štátu, ktorým príslušný orgán verejnej moci alebo verejnoprávny subjekt podlieha. V takýchto právnych predpisoch by sa mal zosúladiť prístup verejnosti k úradným dokumentom a opakované použitie informácií verejného sektora s právom na ochranu osobných údajov a preto sa v nich môže ustanoviť potrebné zosúladenie s právom na ochranu osobných údajov podľa tohto nariadenia. Odkaz na orgány verejnej moci a verejnoprávne subjekty by mal v tejto súvislosti zahŕňať všetky orgány alebo iné subjekty, na ktoré sa vzťahuje právo členského štátu v oblasti prístupu verejnosti k dokumentom. Smernica Európskeho parlamentu a Rady 2003/98/ES nemení a žiadnym spôsobom neovplyvňuje úroveň ochrany fyzických osôb pri spracúvaní osobných údajov podľa ustanovení práva Únie a práva členského štátu, a najmä nemení povinnosti a práva ustanovené v tomto nariadení. Uvedená smernica by sa nemala vzťahovať najmä na dokumenty, ku ktorým je prístup vylúčený alebo obmedzený na základe prístupových režimov z dôvodu ochrany osobných údajov, a na časti dokumentov dostupné na základe týchto režimov, ktoré obsahujú osobné údaje, ktorých opakované použitie je stanovené v práve ako nezlučiteľné s právom týkajúcim sa ochrany fyzických osôb pri spracúvaní osobných údajov.

1 Like