Nariadenie GDPR a otvorené dáta - Stretnutie s ÚOOÚ - problémové okruhy


#81

Vďaka za záznam, mám ale trochu hlbšiu otázku na to, ako plánujete riešiť §20 vo Finstate (teda ak to nie je tajné).
Ten odsek sa týka väčšiny spracúvania OÚ v prípade, že to nie je údaj získaný priamo od dotknutej osoby, presná definícia - Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ je povinný dotknutej osobe poskytnúť… Sú tam aj výnimky, kedy to potrebné nie je, ale bude potrebné to dobre vyargumentovať (napr. neprimerané úsilie, znemožnenie cieľov spracúvania) - idete teda informovať dotknuté osoby (napr. SMSkou, e-mailom) že o nich OÚ spracúvate? Príde mi to totiž dosť crazy riešenie.
To, že sú tie informácie o tom, ako a kto údaje spracúva niekde na webe podľa toho usmernenia nestačí a treba aktívne danú osobu kontaktovať/informovať ju.
Český ÚooÚ práve preložil aj usmernenie pracovnej skupiny 29, kde sú takéto výnimky trochu bližšie definované - usmernenie (strana 23)


#82

neviem ci si si nepozrel zaznam cely, lebo prave toto sa riesilo…ak si dobre spominam budu to riesit cez “opravneny zaujem”


#83

pozeral som celý záznam, možno som to prepočul, pozriem znovu pre istotu… každopádne oprávnený záujem sa vzťahuje len na “zákonnosť spracúvania”, ten s týmto bodom, ktorý som spomenul, nesúvisí


#84

Zaznamy z konferencie tu.

Inak navrh aktualizacia PSI smernice je tu.


#85

Nie som si uplne isty, ale myslim ze dotknute osoby budeme informovat u nas na webe podrobnejsim popisom co, odkial, ako a kde spracovavame. Toto riesime v ramci iplementacie a nemame vsetky detaily hotove.


#86

K revizie PSI som na Twitri postuchol aj “Open Data vs. GDPR”. Odpoved:

Ak si dobre pamatam, p. Malte Beter bol jednym z tych, ktory pripravovali predchadzajucu reviziu PSI. Chapem, ze “case-by-case” znamena ze nebude “blank check” pre akekolvek dotknute Open Data, ale ze sa pre kazdy dotknuty dataset bude musiet (resp. dokonca mal a ma) robit separatny assessment.

Nim uvadzany dokument “EDPS opinion from 18 April 2012” chapem tak, ze EDSP odporuca o.i. “require that an assessment be carried out by the public sector body concerned
before any PSI containing personal data may be made available for reuse (Section
3.1)
”, co by IMHO/IANAL pouzivatelom dotknutych otvorenych udajov o cosi ulahcilo ich vlastny assessment.


#87

Rozhovor o GDPR napriklad aj o katastri https://www.etrend.sk/ekonomika/pravnik-nechala-nemozme-sa-tvarit-ze-ideme-znizovat-mnozstvo-otvorenych-dat-a-argumentovat-gdpr.html


#88

Z toho článku:
“Čo však nie je v slovenskom katastrálnom zákone, je účel, teda to z akého dôvodu sa informácie zverejňujú.
Prečo je to dôležité mať v zákone účel?
Z hľadiska opakovaného použitia. Ak mám stanovený účel, tak subjekty, ktoré údaje opakovane používajú, teda ich sťahujú do vlastných aplikácií, majú ľahšiu cestu v odôvodnení svojho účelu spracovania.”

Písať do zákonov presný účel použitia údajov je cesta do pekla. Už teraz sú naše zákony častokrát na EÚ pomery extrémne podrobné. Toto iba ďalej zvýši byrokraciu a šanca že sa podarí na prvý (druhý, tretí…) krát do zákona dostať “presne to čo potrebujeme” je minimálna.

A pozor: ak si navykneme do zákonov písať “účel zverejňovania informácií”, tak pod hlavičkou ochrany osobných údajov zabijeme aj všetko ostatné okolo, čo sa fyzických osôb vôbec netýka.
Alebo skúsi niekto nadraftovať “účel zverejňovania údajov registra adries”? Alebo hoci aj “účel zverejňovania údajov o geografickej polohe parciel” z katastra nehnuteľností?


#89

Ale rovnako aj garancia obmedzenia, ktoré môže primárny zdroj vyžadovať od druhej strany. Napríklad tým, že bude vyžadovať, aby bolo zabránené nejakému hromadnému sťahovaniu údajov. Lebo sa môže stať situácia, že kataster sprístupní údaje niekomu inému a ten nebude mať dostatočné opatrenia technického charakteru na sťahovanie údajov, ktoré budú následne využívané na marketingové a na ďalšie účely.

Ako programator co zopar scraperov uz spravil rovno hovorim, ze neexistuje ziadna ochrana proti hromadnemu stahovaniu. NEEXISTUJE. Da sa to vyrazne skomplikovat, ale povedz mi obranu a poviem ti protiutok.

Taktiez nesuhlasim s tou castou “na marketingove ucely”. Ved snad tu mame zakony a institucie, ktore limituju reklamu, spam, maju na to nastroje a sakncie atd. Toto mi pride ako - podme zakazat kuchynske noze - lebo sa tym da niekto porezat na ulici.


#90

https://www.merk.cz/databaze-firem-gdpr/

Tuto jedno (podla mna uplne haluzne riesenie) tohto problemu.


#91

ak spravne chapem tak sa tvaria ze ziadne data u seba nedrzia, ale len robia kvazi online API na verejne registre, ty si vyklikas co chces a live ti to pospaja data z registrov a ponukne na stiahnutie?
nejak sa mi nechce verit ze u seba nic nedrzia :slight_smile:


#92

Aj keby nic nedrzali, tak ich spracovavaju. Ale zrejme ide o take docasne riesenie, aby mali formalne GDPR vyriesene do 25.5. a potom mas cas to dorobit poriadne.
Alebo je to taky trosku pochybny marketingovy tah.


#93

Presne, tie údaje stále spracovávajú, aj keď ich u seba nedržia. Majú však tú výhodu, že tie osoby v databáze nevedia že sú tam, tým pádom sa nemá kto sťažovať…

Čo sa týka tej otázky na to informovanie dotknutej osoby, tak som to nakoniec po konzultáciách s právničkou vyriešil tak, že dotknuté osoby informovať nebudem a mám pripravené dokumenty s argumentami, prečo to tak robím. Je to však aj tak riziko, pretože nikto zatiaľ nevie, aké argumenty u úradu obstoja.
Myslím, že vo finstate sa môžete teoreticky spoľahnúť aj na “neprimerané úsilie”, čo sa týka toho informovania osôb, keďže by ste mohli akurát tak všetkých osobám poslať lisť, čo je dosť neprimerané…


#94

Aj ked to nie je priamo suvis s open data tak mi napadla otazka, je nutne splnat GDPR aj v internej firemnej aplikacii, ktora robi len s udajmi zamestnancov? Ak hej tak to je nieco na styl upravy v eshopoch, ze sa im da nieco navyse potvrdit?


#95

Určite áno.


#96

Robim aplikaciu ktora len taha data z firemneho AD…toto je mozno otazka na pravnikov, ale ak uz firma poriesi osobne udaje v active directory tak vsetky dalsie aplikacie co citaju AD data (vsak to je primarny ucel AD by sa dalo povedat, poskytovat udaje o celej org na jednom mieste) by mohli byt z obliga nie?


#97

podla mna firma musi voci zamestnancom poriesit, ze jej poskytuju osobne data na konkretne ucely a tam by mala byt zahrnuta aj dana app, ktoru robis…beriem to tak, ze zamestnanec by mal dat suhlas, ze poskytuje data na ucel sledovania a evidovania dochadzky, personalnej agendy, “sledovania” v praci, atd. atd…


#98

konkretne ake argumenty?


#99

Keďže sa v mojom prípade opieram o čl. 14 ods. 5 písmeno b) (…informovanie osoby znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania), tak argumentujem mojim oprávneným záujmom a podstatou mojej služby, ktorá je založená na anonymite… + sú tam konkrétne situácie, ku ktorým by došlo, ak by bola dotknutá osoba informovaná a ako by to poškodilo moje ciele + ciele tretích strán (zákazníkov) … odkazujem tam aj na vypracovaný balančný test, ktorý môže tiež pomôcť.


#100

Nemas nejaky priklad takehoto niecoho vypracovaneho?