Nariadenie GDPR a otvorené dáta - Stretnutie s ÚOOÚ - problémové okruhy


#21

…ako som spominal, tak ten kamos, pravnik, by sa rad zucastnil…robi v jednej IT firme pravnika, ale tema GDPR ho zaujima, nakolko sa s tym musi vysporiadat aj u neho v praci…na stretko pojde ako fyzicka osoba…

…dohodli sme sa, ze stvrtok posleme/zazdielame otazky, aby piatok nmohli ist na urad a na utorok nech su ready…


#22

#23

Píšem za FinStat. Mňa osobne prekvapilo, že Open Data a GDPR nikto veľmi neriešil a nedalo sa k tomu nič dohľadať. Každého koho som sa pýtal riešil GDPR z toho klasického pohľadu, keď ako zákazník/user dávaš svoje údaje v eshope, telekome, banke.

Na FinState sa nám stáva bežne, že sa ľudia ozvú, že nemáme súhlas na spracovanie ich údajov. Použijú formuláciu, ktorá patrí práve k tým eshopom, telekomom a bankám. Pritom mi tie dáta spracovávame na základe legislatívy a dokumentov, ktoré sa týkajú Open Data.

Ak by sme mali mať súhlas od každého štatutára, tak žiadne Open Data projekty ani neexistujú. Zároveň GDPR nevzniklo kvôli tomu, aby obmedzilo Open Data projekty, ale skôr kvôli tým závažnejším problémom s ochranou osobných údajov (sociálne siete, banky, …).

Ak už sa raz niekto stal podnikateľom, viac menej súhlasil so zákonmi, ktoré zverejňujú jeho dáta vo verejných registroch. A nepriamo aj s tým, že štát tieto dáta poskytuje ako Open Data práve na také účely, ako ich používa FinStat a desiatky, asi aj stovky iných subjektov.
Chápem tiež, že to pre konkrétnu osobu nie je pohodlné, ale takéto zverejnenie jeho dát na Finstate je menej závažné ako kradnutie dát zo sociálnych sietí, alebo bezpečnosť v banke, keďže len preberieme dáta, ktoré už boli zverejnené v registroch.

ÚOOÚ sa k tomu zrejme stavia tak, ako keby naozaj pri spracovaní Open Data boli potrebné súhlasy, resp. sa tie Open Data vôbec nespracovávali.
To je však v rozpore so snahou vlády, štátu, ministerstiev a úradov, ktoré sa naopak snažia, aby sa Open Data publikovali a používali.

Myslím, že UOOU tento postoj prevzal od ľudí, ktorí sa im sťažujú a formuláciu o tom, že organizácie spracúvajúce Open Data potrebujú súhlas na spracovanie ich mena a priezviska a pod.
Ale títo ľudia si tú formuláciu prevzali zo zákona, ktorý rieši použitie osobných údajov (a tieto súhlasy) v iných situáciách (banky, telekomy, eshopy).

Zo skúseností s našimi vlastnými sťažovateľmi na FinState viem (máme na to samostaných ľudí, ktorí riešia sťažnosti), že ľuďom až tak nevadí, že sa spracovávajú ich osobné údaje. Im oveľa viac vadí, že sú zverejnené, dohľadateľné cez google, že ich používame my, že na tom profitujeme a podobne.

Zároveň im nevadí, keď ich údaje sú v zamknutých platených databázach, keď sa nedajú dohľadať cez google a podobne.

A toto je už úplne mimo GDPR, pretože podĺa GDPR nejde o to, či máte produkt/databázu free alebo zamknutý, či sa dá/nedá dohľadať cez google. Subjekt ktorý tie dáta spracováva je z pohľadu GDPR na tom úplne rovnako.

Bohužiaľ UOOU bude viac vadiť verejné použitie, lebo je to viac vidieť a pre nich viac cítiť (ľudia ktorá sa na nich obracajú).
Ak by sme mali FinStat kompletne zamknutý a málokto by o nás vedel a pritom by sme spracovávali tie isté dáta, tak by to skoro nikto neriešil. Ani UOOU by tú tému nebral takto.
Máme však free web, veľkú návštevnosť a z tých 500-700 tis. návštev za mesiac padne niekoľko sťažností mesačne. Čím sú Open Data projekty asi v TOP rebríčkoch podľa počtu sťažností.
Avšak podľa môjho názoru nie podľa závažnosti.

Ďalšia vec je, že ak by aj Open Data neexistovali, Open Data projekty by sa nerobili, tak by stále existovali platené uzamknuté databázy, ktoré by takéto dáta (a aj závažnejšie) spracovávali a predávali. Firmy, ktoré podobné dáta spracovávajú existujú na Slovensku od 90tych rokov a budú existovať - žiadna z týchto firiem nezanikne. A ak by nebolo Open Data, tak by fungovali na základe zmlúv s jednotlivými štátnymi organizáciami (a aj tak stále fungujú).

Rovnako je to aj v Európe, kde existujú stovky veľkých firiem spracúvajúcich dáta ze registrov do platených databáz a nástrojov. Ani jedna z nich po zavedení GDPR nezanikne. Práve naopak - so sprísňujúcou sa reguláciou v iných oblastiach - sa im ešte rozširuje pole pôsobnosti.
Akurát si poriešia procesy a GDPR, ale budú fungovať ďalej.

Naša nevýhoda (myslím tým Open Data projekty všeobecne) je v tom, že je nás viac vidieť na verejnosti. A preto sa viac ľudí bude sťažovať.

Druhá nevýhoda je, že máme menej peňazí na právnikov a GDPR a žiadne peniaze alebo možnosti na lobistov a vyjednávanie oproti klasickým firmám, ktoré robia s registrami.

Čo sa s tým dá robiť:

  1. spoločný postup a argumentácia: prečo sa zverejňujú Open Data, podľa akých smerníc, zmluv, zákonov. Na čo sú dobré Open Data: prečo sú pre ľudí užitočné, aby nebolo vidieť len sťažujúcich sa. A samozrejme konkrétne účely podľa GDPR.

  2. Nejaká forma právnej spolupráce možno cez neziskovky ako je AFP, TIS, aby aj malé študentské tými mohli robiť open data projekty a právničinu a GDPR im zastrešili napríklad tieto neziskovky.

  3. Prezentácie, panelové diskusie a prednášky o Open Data a GDPR, kde by sme argumentovali prečo robíme to čo robíme, prečo je to pre spoločnosť prospešné a že netreba všetko zakazovať, ale hľadať rozumné riešenia.

Ja osobne viem pomôcť s bodom 3 a pripraviť nejaké prezentácie, prednášky, alebo ísť argumentovať niekam do panelu.
Tak isto trochu s bodom 1 a 2, lebo s právnikmi už niečo robíme, s neziskovkami komunikujeme a niektoré výstupy z toho sa dajú použiť aj všeobecne pre Open Data komunitu ako takú.


#24

Neviem o tom nejak detailne vela, ale legislativnym problemom pri spracuvani uz raz zverejnenych osobnych udajov je, ze GDPR nepozna taky samostatny pravny zaklad ako je u nas v § 10 ods. 3 písm. e) zákona č. 122/2013 Z. z. o ochrane osobných údajov (bolo to aj v predchádzajúcom zákone č. 428/2002 Z. z.). A pri kazdom spracuvani osobnych udajov musi byt nejaky pravny zaklad. Takze bud sa najde aj pri open data nejaky zakonny dovod spracuvania alebo bude ozaj mozne ich spracuvat len na zaklade suhlasu (vid cl. 6 GDPR).

Pravnym problemom spracuvania open dat je, ze okrem toho, ze sa mozu prist na majetkove prepojenia verejne cinnych osob a pod., sa mozu zistit aj velmi citlive osobne udaje, napr. cez spajanie sudnych rozhodnuti o rozvode (nevera), starostlivost o malolete deti a pod.


#25

Spytal som sa na mozny konflikt GDPR a iniciativy OpenData na European Open Data portali … poslali mi 11 linkov, z toho vyberam len to co ma zaujalo …

http://www.ema.europa.eu/docs/en_GB/document_library/Presentation/2017/01/WC500219338.pdf


#26

Pokiaľ sa jedná o dáta, tak súdne rozhodnutia neobsahujú žiadne dáta o fyzických osobách, maximálne meno advokáta ak zastupuje stranu ako osoba, nie advokátska kancelária, inak sú tieto výstupy obfuscované.
Okruh verejne dostupných dát (a aj free dostupných u nás na finstate) kde je možno “identifikovať” osobu sú:

  • RPVS - tu okrem mena a adresy aj dátum narodenia
  • ORSR - mená a adresy osôb vystupujúcich ako spoločníci, konatelia, atď
  • ŽRSR - meno a priezvisko ten je väčšinou ešte s nejakým doplnením mena + adresa
  • Register neziskových organizácií - IVeS - obsahuje dáta o zakladateľoch riaditeľoch, klasicky meno a adresa
  • OV - napríklad konkurzy obsahujú meno a priezvisko, adresu a aj dátum narodenia
  • RPO - obsahuje prekryv dát ORSR a ZRSR
  • RUZ - tu okrem živnostníkov a pdf ako výročných a príloh závierok, v ktorých sa môžu nachádzať nejak mená, obsahuje slobodné povolania
  • dlhy, či už sociálky, zdravotných poisťovní, alebo štátnej správy

Všetko dáta, ktoré nejak súvisia s obchodným stykom a aj tieto datasety vznikli preto aby ztransparentnili obchodný styk. Kto podnikal v dobe, kým takéto datasety neexistovali a hlavne projekty, ktore tieto dáta agregovali vedia, aké ťažké bolo posúdiť odberateľa alebo monitorovať, či náhodou firma nezmenila majiteľa. Napadá ma kopec prípadov, keď je práve dobre spojiť meno s nejakou podozrivou činnosťou a už len preto je dobré ak sú tieto dáta spracovávané.


#27

Nuz, uzitocna mi nakoniec bola ta posledna linka. (Ale vdak aza vsetky, na tych prvych dvoch aspon vidno, ze v sulade s GDPR sa zbavuju “lawyer speaku” a pouzivaju “plain English”.)

Z UK linky teda citujem:

Sustainable approach: facilitate the free flow of data and facilitate the internal market. Protect individuals. Regulation is an investment and users’ trust is value.

Mne z toho vychadza, ze teda o.i. pri nejakom opt-ine mi vysvetlia “a o.i. budu anonymizovane/agregovane/nepozmene data o vas sucastou datasetu ABC na data.gocv.sk/datasret/abc”. To by bolo v zasade cool.


#28

no minimalne zase sa mi zda ze riesime uplne zbytocnosti. OpenData aj GDPR su celoeuropske zalezitosti, ale nik tam neriesi ich nejaky mozny konflikt … inak by uz o tom boli nejake relevantne dokumenty. Cize moj dojem: kym nikde v eurpe neriesia ze by sa to hadam malo nejako sekat … len my tu :smiley: robime paniku.


#29

Tuto je naznak nejakej diskusie, ale bez vysledku. http://forum.aws.chdev.org/t/gdpr-and-ico-considerations/1268


#30

Zasielam otazky na stretko:

  1. kedy budu orientacne vydane vykonavacie predpisy k novemu zakonu o ochrane OU?
  2. treba vykonat posudenie vplyvu na ochranu OU aj vo vztahu k existujucim info systemom bez vynimky?
  3. ako si treba vykladat pojem monitorovanie v zmysle zakona (napr. par. 42, 44,atd.)
  4. co sa chape pojmom vo velkom rozsahu (bude to upravene v nejakom vykonavacom predpise)?
  5. kto zo zamestnancov sa “hodi” na vykon funkcie zodpovednej osoby (interny pravnik, CIO, Security manager)?
  6. kedy bude zverejneny zoznam spracovatelskych operacii, ktore podliehaju posudeniu vplyvu (v zmysle clanku 35 Nariadenia)?
  7. kto je zodpovedny za spracovanie a ochranu osobnych udajov v pripade medzirezortnych IS, kde vlastnik a gestor IS vystupuje v rovine rozvoja/modifikacii/zabezpecenia prevadzky IS a ine OVM su pouzivatelmi tohto IS a zadavaju do neho data a za tieto data su tieto OVM zodpovedne?
  8. kde vsade sa do uplatnit prenos osobnych udajov od jedneho prevadzkovatela k druhemu v zmysle clanku 20 Nariadenia?
  9. ak si dobre vykladam Nariadenie, tak pre pouzitie osobnych udajov na konkretny ucel musi dat pouzivatel suhlas alebo mu to vyplyva z legislativneho aktu. Ak takyto suhlas poskytol prevadzkovatelovi a prevadzkovatel na zaklade tohto suhlasu vystavuje OpenData, tak tento suhlas sa prenasa aj dalej, t.j. aj na pouzitie OpenDat tretimi stranami?
  10. v nadvaznosti na otazku 9, ako sa potom pre pouzitie OpenDat tretimi stranami uplatnuju clanky 13 az 18 Nariadenia?

#31

Upresnim: “Prenasame paniku z inych for (aj) sem.”

Ono na roznych PS sa uz par uradnikov nechalo pocut, ze v tej kombinacii (Open Data + GDPR) vidia problem. A kedze na tych stretnutiach zastupca UOOU nebol, tak vitam prilezitost ze sa stretnu “ti co maju problem” (alebo si myslia ze maju) s UOOU ohladom toho problemu.

Aj ta UK prezentacia zrejme nevznikla len tak, zrejme ma niekoho upokojit. :slight_smile:

Nuz, zajtra budeme dufam mudrejsi.


#32

…nebol som do konca dnesneho stretka…ale myslim si, ze stretko bolo do urcitej miery prospesne…treba ratat s tym, ze nikto nevie vsetko a kazdy vie nejak prispiet k popisu problemu a jeho moznosti riesenia…

…na stretku padli aj nazory, ze OpenData v SR umreli a pod…

…ja to tak skepticky nevidim…ukazalo sa standardne, ze zakony vznikaju izolovane ako povedala jedna ne-menovana opendata aktivistka @Ivet_Fercikova

…ocenujem pristup pani z Uradu na ochranu osobnych udajov, ze prisla, ze sa snazila konstruktivne viest debatu a sem-tam nacrtla aj moznosti/hacky ako obmedzenia obist …

…bud sa to napadne na sude, vyda sa judikat, podla ktoreho sa bude nasledne postupovat…

…dalsia moznost je byt proaktivny na strane statu, zmenit legislativu tak, aby to odblokovala a da sa s tym chvalit v ramci EU…napr. UPVII by si to mohol zobrat ako taky mini-legislativny projekt, centralne koordinovat a genericky vyriesit opendata vs. GDPR v SR…

…teraz sa ukaze, ze ci su OpenData pre stat tak dolezite ako sa to prezentuje…lebo je rozdiel moct vidiet a moct aj spracovavat…


#33

Ja este doplnim, co na stretku myslim uplne povedane nebolo ale je dolezite si to uvedomit:

  • GDPR akoby len prebudza ochranu udajov (ktora tu bola aj pred tym, ale bola skor spiacou Ruzenkou - ochranovalo sa len pro-forma, aj preto to fungovalo akoby v izolovanom vesmire, mimo ostanych veci)
  • GDPR sa netyka vsetkych datasetov (udaje o zivotnom pristredi, doprave ci cast Katastra, atd. - tie osobne udaje neobsahuju), tyka sa len tych v ktorych sa vyskytuju nejake osobne udaje
  • datasety s osobnymi udajmi su malou castou mnoziny vsetkych udajov (napr. ORSR/RPO, CRZ, Register konecnych uzivatelov vyhod, atd.) …
  • ale aj ked ich je malo, prave preto zvyknu byt zaujimave a dolezite (ved na co by mi bol napr. Register konecnych uzivatelov vyhod ak by som pri jeho kopirovani ci spracuvani musel odstranit mena?)
  • datasety s osobnymi udajmi vsak boli zverejnene za nejakym ucelom, ta “invazia sukromia” ma nejaky vyssi zamer (typicky verejny zaujem), cize …

… (tak ako pises) cesta moze viest napr. cez novy zakon o udajoch: ze jasne povie, aby zakony ktore zadavaju povinnost zverejnovat nejake osobne udaje zaroven riadne osetrili sulad s Open Data, aby sa dalo spolahnut na to co hovori Open Data licencia, Vynos 55/2014 (http://www.zakonypreludi.sk/zz/2014-55/znenie-20160701#p52).

Lebo teda ak by to ostalo “neosetrene”, spracuvatelia “citlivych datasetov” by ostali vo velkej pravnej neistote a len v malom mnozstve pripadov budu schopny naplnit ciele, kvoli ktorym tie datasety boli zverejnene. Tym by sa poprel zmysel zverejnovania.

Vid teda vlakno Zákon o údajoch z ktoreho aj sem zanesiem citaciu z predbezneho ceskeho usmernenia (bold je moj):

V souladu s názorem pracovní skupiny WP 29 je pak ještě nezbytné uvést, že před zveřejněním takových informací v podobě otevřených dat je třeba provést zhodnocení dopadů tohoto zveřejnění na subjekty údajů a jejich chráněná práva. To může provést buď přímo správce, který se rozhodne splnit svoji zákonnou povinnost poskytovat dané informace způsobem publikace otevřených dat. Druhou možností potom je, že dané zhodnocení proběhne na úrovni zákonodárce, který jednoznačně stanoví povinnost poskytovat některé informace jako otevřená data

(Tot aby teda poslanci, ked uz povedia “zverejnit”, tak nech to robia poriadne. A nie ze cast povinnosti v podobe napr. posudenie vplyvov “outsourcuju” na niekoho dalsieho systemom “padajuceho hovna”. Pardon za vyraz.)


#34

Ja teda len pridám moje poznámky zo stretnutia k OpenData vs. GDPR.

  • samozrejme riešime iba osobné údaje, nič iné z OpenData nie je týmto dotknuté
  • oproti súčasnému zákonu o ochrane OÚ nebude automaticky existovať právny základ spracúvania zverejnených údajov (OpenData)
  • pani z úradu v určitom bode debaty povedala, že jej to je teda veľmi ľúto, ale zrejme zverejnené OÚ nebude možné nijako ďalej spracúvať - ibaže by s tým každá dotknutá osoba súhlasila, alebo niekde v zákone bolo explicitne uvedené kto a za akým účelom to má robiť
  • a že do nášho nového zákona o ochrane OÚ bolo možné nejaké veci k tomu dať, ale sa nikto neozval, takže máme smolu a že novelizovať to pôjde veľmi ťažko
  • následne sme hľadali nejaké možnosti ako by sa to predsa len dalo v GDPR odôvodniť
  • v GDPR Čl.6.1.f sa uvádza, že spracúvanie je zákonné aj ak: “je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa”
  • predošlá konštrukcia sa nedá použiť pre OVM (lebo posledná veta čl.6.1) - tam treba hľadať iný zákonný nárok, napr. spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa (čl.6.1.c), alebo spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi (čl.6.1.e)
    .
  • ak ide o oprávnené záujmy prevádzkovateľa, tak dôležité sú pravidlá v Rec.47 (a ďalej), kde sa uvádza, že “[oprávnené záujmy môžu stačiť] ak nad nimi neprevažujú záujmy alebo základné práva a slobody dotknutej osoby, pričom sa zohľadnia primerané očakávania dotknutých osôb na základe ich vzťahu k prevádzkovateľovi.”
  • pri údajoch zverejnených na základe zákona je (podľa mňa) každej dotknutej osobe jasné, že zverejnené údaje budú nejako ďalej používané (lebo veď to je účel zverejnenia), t.j. očakávanie je splnené, preukázať treba primeranosť
  • otázny je “vzťah k prevádzkovateľovi” (t.j. dotknutá osoba musí mať nejaký vzťah so subjektom čo údaje spracúva) - pani z úradu hovorila, že je to nevyhnutná podmienka; podľa mňa však “vzťah” vzniká už tým, že prevádzkovateľ sa venuje určitej oblasti, ktorej sa zverejnené údaje týkajú (analógia monitorovania priestoru: pozerám sa na istý priestor ku ktorému mám vzťah, tým pádom mi vzniká vzťah ku každej osobe ktorá sa v tom priestore nachádza vs. som neziskovka ktorá sa pozerá “na priestor” korupcie pri verejných zákazkách, tým pádom mi vzniká vzťah so všetkými osobami, ktoré do priestoru verejných zákaziek vstupujú) a zároveň je požiadavka na vzťah oslabená rec.47,druhá veta, kde vzťah je iba jedným z možných odôvodnení oprávneného záujmu, ďalej rec.47, štvrtá veta, kde sa hovorí o tom, kedy by primerané záujmy DO mohli prevážiť a nie je tam absencia vzťahu uvedená,
  • v rec.47, posledné dve vety je explicitne uvedené, že “predchádzanie podvodom” a “priamy marketing” možno považovať za oprávnený záujem, a teda najmä pri predchádzaniu podvodom asi ťažko predpokladať nejaký (dobrovoľný) vzťah dotknutej osoby so spracovateľom údajov, čo potvrdzuje predpoklad, že požiadavka na vzťah je slabá
  • v rec.50 sa uvádza: "Spracúvanie osobných údajov na iné účely ako na účely, na ktoré boli osobné údaje pôvodne získané, by malo byť umožnené len vtedy, ak je toto spracúvanie zlučiteľné s účelmi, na ktoré boli osobné údaje pôvodne získané. V takom prípade sa nevyžaduje žiadny iný samostatný právny základ, než je právny základ, ktorý umožňoval získavanie osobných údajov. " To bude tiež zjavne limitovať možné oprávnené záujmy pri ďalšom spracúvaní, avšak explicitne je povedané, že potom netreba hľadať žiadny ďalší právny základ.
  • v rec.47 a 50 je uvedené, že v takýchto prípadoch je vždy nevyhnutné dôkladné posúdenie, či je spracúvanie primerané = test proporcionality. Takéto posúdenie musí zohľadniť: prepojenie nového a pôvodného účelu; kontext, v ktorom boli osobné údaje získané; primerané očakávania DO samy o sebe aj vyplývajúce z jeho vzťahu k spracovateľovi údajov; povahu osobných údajov; následky ďalšieho spracovania pre DO; existenciu primeraných záruk v primeraných aj zamýšľaných operáciách ďalšieho spracúvania (zrejme ide o záruky, že reálny výkon bude taký ako je deklarované). Test proporcionality je známa vec, viď. napr. https://www.uoou.cz/k-principu-proporcionality-pri-zpracovani-osobnich-udaju-na-zaklade-zakona-o-svobodnem-pristupu-k-informacim/d-5511/p1=1099
  • v rec.50,druhý odsek sa uvádza aj: “Ak dotknutá osoba udelila súhlas alebo sa spracúvanie zakladá na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti, najmä na ochranu dôležitých verejných záujmov, mal by mať prevádzkovateľ možnosť osobné údaje ďalej spracúvať bez ohľadu na zlučiteľnosť účelov.” a je mi teda dosť nejasné čo presne to znamená…
  • tieto veci sme nedoriešili, pani z úradu povedala že si to musia na ÚOOÚ prebrať a musí to byť aj v súlade s tým aký je záver v iných krajinách EÚ, a že to teda vidí dosť skepticky
    .
  • ak aj sa podarí preukázať, že spracúvanie údajov je právne podložené, bude treba plniť ďalší rad zákonných podmienok - k detailom sme sa nestihli dostať
  • špeciálne bolo spomenuté, že spracovateľ má vždy povinnosť plniť požiadavky na výkon práv dotknutých osôb - napr. povinnosť opravy nesprávnych údajov
  • ďalej povinnosť spracúvať iba správne údaje vraj v prípade zverejnených údajov znamená povinnosť monitorovať zdroj zverejnenia a ak sa tam údaje opravia/zmenia, vykonať zmenu aj v ďalšom spracovaní
  • začalo sa hovoriť aj o povinnosti informovať dotknuté osoby, že ich údaje sú spracúvané, ale to sme nedokončili, tak neviem …
    .
  • pani z úradu uviedla, že teda najlepšie by bolo, ak by OpenData veci boli upravené v samostatnom zákone - spomínal sa “zákon o OpenData” (alebo zákon o údajoch?) - ja osobne som voči tomuto dosť skeptický, je to minimálne niekoľko rokov vzdialené
  • a že v každom zákone kde sa ukladá/umožňuje pre OVM zverejňovať osobné údaje má byť uvedený aj účel ich zverejnenia a že v nových zákonoch na toto úrad dozrie - k tomuto som ešte skeptickejší, jednak to zatiaľ nikde nie je spravené a zabíja to pointu OpenData

#35

Vo Finstate vieme dodať ku každému IS alebo osobnému údaju účel spracovania. Tých účelov je viac na každý IS alebo osobný údaj a sú racionálne. Nie len vymyslené účely nejakým ohýbaním.
V zásade si vieme ošetriť väčšinu vecí, ktoré sa týkajú GDPR. Problém je, že tá na ša verejná (zadamrmo) časť, ktorá je pre spoločnosť najdôležitejšia, tak u nej sa to dá z hľadiska GDPR urobiť najťažšie (lebo tam z podstaty toho že je to verejné nemáme vzťah s užívateľom a neriešime jeho účel použitia).

Tým som chcel povedať, že keď to zoberieme biznisovo, tak sa Open Data dajú celkom dobre použiť aj s osobnými údajmi. Ale ak chceš prevádzkovať verejnú službu zadarmo, tak je to o dosť väčší problém. Čo vlastne ide proti Open Data ako takému.

Na začiatok je dobré ísť na to ako pani Valentová odporúčala, hľadať si účely, vzťah, právny základ a nejako to prispôsobiť. Ale z dlhodobého hľadiska je potrebné nejak všeobecne ošetriť Open Data aj všeobecne, aby nezanikali verejné služby a projekty ako otvorenesudy.sk a free časť Finstatu len preto, že ak máte veľmi konkrétny účel a zákazníka tak to ide, ale keď to robíte všeobecne pre spoločnosť, tak nie.


#36

Do Bruselu kvoli tomuto nikto asi nepojde, ale dobre vediet, ze sa mozno 19.1. dozvieme nieco. Z tejto diskusie vyplynulo, ze s tymto je problem nielen pri otvarani “vladnych” dat ale aj otvarani “vyskumnych” dat. https://twitter.com/sandervdwaal/status/941337784501047296


#37

Dobre si to zhrnul, @Lubor . Tá “pani z ÚOOÚ” je vrchná inšpektorka Tatiana Valentová, Odbor kontroly spracúvania osobných údajov, tatiana.valentova@pdp.gov.sk https://dataprotection.gov.sk/uoou/sk/content/kontakt-0


#38

Celkom pekne je to spracovane aj tu:

https://m.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/p1=4744


#39

#40

Toto vyzera, ze pokial sa do toho neoprie nejaka tazsia vaha (zmruk UPVII, NASES), tak sa z trendsettera dostaneme vyrazne nizsie. Uz sa nebudeme moct chvalit. :frowning: