Nariadenie GDPR a otvorené dáta - Stretnutie s ÚOOÚ - problémové okruhy

mi napadla otazka
problem by bol s dalsim zverejnovanim tych dat, alebo aj samotnym spracovanim?
uvediem priklad…rpvs obsahuje udaje ako adresa a datum narodenia, ja ich spracujem, zoskupim podla tychto udajov ale v konecnom vysledku ich neuvediem, ale len meno…porusil som nieco?

v zmysle GDPR budes prevadzkovatel a musis splnit podmienky na prevadzkovatela systemu, ktory spracuva osobne udaje

potom k tomu, ze zverejnis “len” meno…tak tu narazas na ine ustanovenia, ktore GDPR definuje a to je, ze osoba si od teba moze vyziadat potvrdenie, ze ci o nej evidujes nejake osobne data, ak ano, tak ma pravo poziadat o ich vymaz alebo o zastavenie zbierania dat…tu ty musis opat preukazat, ze bez osobnych dat o osobe nevies fungovat a pod., akonahle existuje iny sposob ako si to vies zabezpecit, tak bud osobne data vymazes alebo ich prestanes zbierat, alebo by si to musel mat napr uvedene v zakone a aj to ze ich mozes dalej publikovat

s publikovanim je potom dalsi problem, ze definujes na aky ucel ich publikujes a osoba by ti na kazdy iny ucel mala dat suhlas

definicia co su osobne udaje je uz pomerne velka, nie je to uz len meno, priezvisko a adresa

-> cize ked si to vsetko spojis, tak zistis, kde je presne problem s OpenDatami vs GDPR…

potes panbuh tolko problemov
este laicka otazka, kedze tie data predpokladam ostanu v rpvs volne pristupne, tak tieto nariadenia sa tykaju len firiem/obcianskych zdruzeni ci aj fyzickych osob? ked si jozko mrkvicka stiahne tie udaje z rpvs api a spravi s nimi co chce a uverejni to na serveri v thajsku tak aj na to myslela eu, alebo tak daleko sa nedostali?

myslelo sa na vsetko z tohto pohladu…nemyslelo sa na to ako to zasihane spominane OpenData

podla mojho nazoru GDPR je hlavne zamerane voci produktom typu FB, Google produktom, shopom a pod., kde a zbieraju data a profiluju sa a pod.

keby sa toho niekto chytil na najvyssej urovni a otvoril dialog s EK, nakolko OpenData je tiez priorita EK, tak by z toho mohol vytrieskat aj politicky kapital a aj by sa urobila rozumna a prospesna vec

…inak teraz ked som sa kupal, tak mi napadlo, ze ak v ramci projektu https://redflags.slovensko.digital/projekty/4196 nevyriesia OpenData vs. GDPR, tak ten projekt asi nebude realizovatelny ako sa planovalo…

Vychadza to po 100k€ na poslanca … cize ak by potom implementacia bola za 0€ … to by hadam slo. A pridal by som sa k dakujucim. :>

(Pozor, naozaj zartujem, urcite sa nesnazim navadzat na kupovanie poslancov. )

Uvidime, co vypali z DSI/PSI/EC public hearingu (Nariadenie GDPR a otvorené dáta - Stretnutie s ÚOOÚ - problémové okruhy). Na OKFN fore - https://discuss.okfn.org/t/gdpr-vs-part-of-open-data/6254 - zatial ticho.

Niekto nebude v okoli Bruselu 19.1.? https://ec.europa.eu/digital-single-market/en/news/public-hearing-review-directive-reuse-public-sector-information

Ahoj, za ČR tam nikdo nejede. U nás totiž zákon o svobodném přístupu k informacím řeší odbor dozory a kontroly a ti tam nejedou. Jako opendatista tam bohužel nejedu.

https://webcast.ec.europa.eu/public-hearing-on-the-review-of-the-directive-on-the-reuse-of-public-sector-information# tu by mal byt zajtra webcast. Ak by sa niekomu chceli spisat odtial zaujimave postrehy ma u mna pivo (alebo nieco co si vyberie).

Nikde som tu zatial nevidel spomenuty Recital 154 nariadenia (zvyraznenie je odo mna), ktory by, podla mojho nazoru, mohol nejake veci zachranit.

Týmto nariadením sa umožňuje, aby sa pri jeho uplatňovaní zohľadňovala zásada prístupu verejnosti k úradným dokumentom. Prístup verejnosti k úradným dokumentom možno považovať za verejný záujem. Osobné údaje uvedené v dokumentoch, ktoré má v držbe orgán verejnej moci alebo verejnoprávny subjekt, by tento orgán verejnej moci alebo verejnoprávny subjekt mal môcť poskytnúť verejnosti, ak je takéto poskytnutie stanovené v práve Únie alebo v práve členského štátu, ktorým príslušný orgán verejnej moci alebo verejnoprávny subjekt podlieha. V takýchto právnych predpisoch by sa mal zosúladiť prístup verejnosti k úradným dokumentom a opakované použitie informácií verejného sektora s právom na ochranu osobných údajov a preto sa v nich môže ustanoviť potrebné zosúladenie s právom na ochranu osobných údajov podľa tohto nariadenia. Odkaz na orgány verejnej moci a verejnoprávne subjekty by mal v tejto súvislosti zahŕňať všetky orgány alebo iné subjekty, na ktoré sa vzťahuje právo členského štátu v oblasti prístupu verejnosti k dokumentom. Smernica Európskeho parlamentu a Rady 2003/98/ES nemení a žiadnym spôsobom neovplyvňuje úroveň ochrany fyzických osôb pri spracúvaní osobných údajov podľa ustanovení práva Únie a práva členského štátu, a najmä nemení povinnosti a práva ustanovené v tomto nariadení. Uvedená smernica by sa nemala vzťahovať najmä na dokumenty, ku ktorým je prístup vylúčený alebo obmedzený na základe prístupových režimov z dôvodu ochrany osobných údajov, a na časti dokumentov dostupné na základe týchto režimov, ktoré obsahujú osobné údaje, ktorých opakované použitie je stanovené v práve ako nezlučiteľné s právom týkajúcim sa ochrany fyzických osôb pri spracúvaní osobných údajov.

Bol tam o.i. Dimitar Dimitrov z Bulharska. Rec na GDPR prisla, ale do hlbky asi nesli:

https://twitter.com/dimi_z/status/954283261282398208

Skusam hladat detaily.

Verejný záujem sa spomína aj v recitále 45 a článku 86, no mne z toho vychádza, že na to aby sme mohli použiť verejný záujem nám musí najskôr právo EU alebo to slovenské určovať, že máme tieto dáta poskytovať verejnosti.

Skusme priklad:

ŠIESTA ČASŤ
VEREJNOSŤ KATASTRÁLNEHO OPERÁTU, HODNOVERNOSŤ A ZÁVÄZNOSŤ ÚDAJOV KATASTRA
§ 68 Verejnosť katastrálneho operátu
Katastrálny operát je verejný. Každý má právo doň nahliadať a robiť si z neho výpisy, odpisy alebo náčrty.
(2) Pri nahliadaní do katastrálneho operátu alebo pri poskytovaní osobných údajov z katastra sa osobné údaje sprístupňujú alebo poskytujú v rozsahu meno, priezvisko, rodné priezvisko, dátum narodenia a miesto trvalého pobytu. Tento rozsah osobných údajov sa vzťahuje aj na zverejňovanie osobných údajov z katastrálneho operátu.

162/1995 Z.z. - Zákon Národnej rady Slovenskej repu... - SLOV-LEX

Nestaci?

…podla mna by bolo este idealne, keby tam bolo zadefinovane, ze zverejnene udaje mozu byt dalej spracuvane tretimi stranami…

…mna este zaujima trocha ina vec…ale musi to riesit kazdy prevadzkovatel v zmysle GDPR, teda napr. aj Finstat…

…cital som taketo: “Máte maximálne 72 hodín na nahlásenie zisteného porušenia bezpečnosti osobných údajov kontrolnému orgánu, a to vrátane popisu povahy daného porušenia a vyplývajúcich súvislostí.”…toto generuje otazku, ze ked mam pouzivatela IS, napr. zamestnanec, ktory z popisuje svojej prace potrebuje pristupovat k “osobnym udajom”, napr. meno, priezvisko, titul, adresa, telefon, email, datum narodenia, tak ci ja ako prevadzkovatel:

• mam povinost v zmysle vyssie uvedenej citacie sledovat aj vsetky read operacie, t.j. ked si zamestnanec prezeral udaje osoby cez UI IS,
• co sa povazuje za porusenie bezpecnosti osobnych udajov…akoze keby niekto ofotil obrazovky s osobnymi udajmi napr. jednej osoby, tak je to porusenie bezpecnosti osobnych udajov?

Co si myslite?

JUSTICE AND CONSUMERS ARTICLE 29 - [Closed] Guidelines on Article 49 of Regulation 2016/679 Tu je sanca nieco napisat + uz sa tam nieco aj spomina vo working paper.

Transfer made from a public register - (49 (1) (g) and 49 (2))
Article 49 (1) (g) and Article 49 (2) allow the transfer of personal data from registers under certain
conditions. A register in general is defined as a “(written) record containing regular entries of items or
details” or as “an official list or record of names or items » > 36, where in the context of Article 49, a
register could be in written or electronic form.
The register in question must, according to Union or Member State law, be intended to provide
information to the public. Therefore, private registers (those in the responsibility of private bodies)
are outside of the scope of this derogation (for example private registers through which creditworthiness
is appraised.
The register must be open to consultation by either:
(a) the public in general or
(b) any person who can demonstrate a legitimate interest.
These could be, for example: registers of companies, registers of associations, registers of criminal
convictions, (land) title registers or public vehicle registers.
In addition to the general requirements regarding the set-up of the registers themselves, transfers
from these registers may only take place if and to the extent that, in each specific case, the
conditions for consultation that are set forth by Union or Member State law are fulfilled (regarding
these general conditions, see Article 49 (1) (g).
Data controllers and data processors wishing to transfer personal data under this derogation need to
be aware that a transfer cannot include the entirety of the personal data or entire categories of the
personal data contained in the register (Article 49 (2)). Where a transfer is made from a register
established by law and where it is to be consulted by persons having a legitimate interest, the
transfer can only be made at the request of those persons or if they are recipients, taking into
account of the data subjects’ interests and fundamental rights37
. On a case by case basis, data

36 Merriam Webster Dictionary, Register Definition & Meaning - Merriam-Webster (22.01.2018); Oxford
Dictionary Oxford Languages | The Home of Language Data (22.01.2018).
37 Recital 111 of the GDPR
15
exporters, in assessing whether the transfer is appropriate, would always have to consider the
interests and rights of the data subject.
Further use of personal data from such registers as stated above may only take place in compliance
with applicable data protection law.
This derogation can also apply to activities carried out by public authorities in the exercise of their
public powers (Article 49 (3)).

Art.49 je celý iba o prenose údajov do zahraničia. Subjekt “ku ktorému sa prenesú” - a spracúva ich ďalej - musí štandardne splniť GDPR, čiže aj mať zákonný dôvod na spracovanie údajov. Čiže základ pre spracúvanie OpenData to nerieši (a nevidím v tom ani žiadnu analógiu).

Na FB v skupine Webup je moje video o GDPR a Open Data, (snad je to dostupne cez ten FB): Redirecting...
Priblizne 35 minuta.

Pripadne ak mate zaujem tak mozte pozriet hole PPTcko z tejto prezentacie v prilohe.

Co sa tyka toho verejneho zaumu (jeden z moznych pravnzch zakladov na spracovanie OU), tak nepamatam si uplne presne dovod, ale pravnici to neodporucali, nebolo to pouzitelne na nase ucely. O par dni by sme mali mat hotovu analyzu a z nej to snad bude lepsie vysvetlitelne.

GDPR a Open Data.pptx (64.9 KB)

Do 9.3.2018 je možné posielať návrhy k novej vyhláške:
Predbežná informácia PI/2018/46 Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o postupe pri posudzovaní vplyvu na ochranu osobných údajov

Tak dnes zase v Prahe na Open Data Expo opat s GDPR prezentaciou. Tento krat uz trosku lepsie PPTcko. Celkom to tam vyvolalo rozruch aj vela komentov na twitteri:

GDPR a Open Data Praha.pptx (53.2 KB)

Video cca od 1:10 h Open Data Expo 2018