GDPR: několik otázek a odpovědí pro internetové firmy

Jeden můj dobrý známý provozuje lokální sociální síť, dost populární. Minulý týden mi dal několik otázek týkajících se – jak jinak – GDPR. Tak jako mnoho jiných nyní chce udělat vše potřebné, aby byl v termínu – tj. do konce května, přesně do 25. – pokud možno v souladu s GDPR. Můj známý si již o GDPR něco přečetl, něco slyšel od známých, tak jako většina ostatních drobných podnikatelů. Jeho otázky jsou tedy konkrétní. Požádal jsem ho, jestli si jeho otázky můžu nechat. Souhlasil.

Podělím se s vámi o jeho otázky a zkusím na ně odpovědět – ne jako právník, ne právnickým jazykem, ale tak, jak jsem mu odpovídal u kávy. Nejde ani zdaleka o všechny důležité otázky, které menší internetové firmy musí řešit, avšak alespoň u jedné takové firmy to byly otázky, které bylo třeba si vyjasnit:

1. Jak se změní registrace (nejnižší věk pro registraci)?

Vše nasvědčuje tomu, že nejnižší věk pro registraci bez souhlasu rodičů (oprávněných zástupců) bude 15 let, bude to však jasné až po schválení zákona o zpracování osobních údajů, což nastane až po datu účinnosti GDPR (návrh zákona o zpracování je projednávám v Parlamentu.

2. Jak na automaticky agregovaná data ze zařízení?

Jedná se o ip adresu, geolokaci, jazyk, typ zařízení apod. Tyto údaje je třeba považovat za osobní údaje spadající pod ochranu v rámci GDPR. Záleží na účelu, pro jaký jsou tato data zpracovávána. Můj známý je zpracovává pro účely zabezpečení a jazyk komunikace pro účely snazší služby pro uživatele. Nepotřebuje ke zpracování souhlas uživatelů, ale měl by je informovat (např. na webu) že taková data zpracovává.

3. Co může uživatel vyžádat ke smazání. Jak řešit propojenost dat mezi sebou?

Můj známý ví, že lidé (subjekty údajů) mají několik práv, podrobně v GDPR upravených. Jedním z nich je právo na výmaz. Existuje několik způsobů, jak právo na výmaz realizovat – buď se vymažou všechna data, nebo se žadateli nabídne několik bloků dat a uživatel si může vybrat, zda smazat všechny bloky dat, nebo jen některé. Uživatel by také měl být informován, že když žádá o výmaz určitých dat tak není jiná možnost než smazat celý uživatelský účet.

4. Na základě čeho ověřit totožnost uživatele, aby data nebyly vydány cizímu?

Stejně jako je totožnost řešena při přístupu ke službě – tedy nejčastěji uživatelské jméno a heslo a ochrana proti automatizovaným generátorům zpráv. Případně podle charakteru služby mohou být aplikovaná další bezpečnostní opatření, např. číselný kód zaslaný SMS apod.

5. V jaké formě uživateli poskytnout jeho data (webová stránka s možností stažení?

Jakákoliv z těchto možností je OK: web s možností stažení, Word, zip, e-mail.

6. Co všechno jsou uživatelova osobní data podléhající GDPR?

a. Náhodně vygenerované řetězce nebo ID?

ANO

b. Datum a čas čehokoliv?

NE pokud jsou samostatná, bez spojení s dalšími daty.

c. Prázdná/nulová data?

NE

d. Soukromé zprávy přijaté od někoho cizího?

ANO

e. Diskusní řetězce zpráv, kde uživatel je kopírován jako člen diskusní skupiny?

ANO

f. Informace, kdo uživatele zablokoval?

NE

g. Smazaná data?

ANO - jde o data která jsou archivovaná v systému poskytovatele.

h. Interní poznámky nebo interní nastavení k uživateli?

NE, pokud se jedná o čistě pracovní interní poznámky poskytovatele, související např. se servisními zásahy.

i. Statistické výpočty a výsledky machine-learningu?

NE, pokud se jedná o agregovaná data. ANO, pokud jde o data, týkající se konkrétního uživatele.

j. Data, která vzniknou na stejné ip adrese, zařízení nebo pod stejným emailem?

ANO

k. Data z celkového logu přístupů?

ANO, pokud se jedná o data související s daným uživatelem.

l. Šifrovaná data?

ANO

7. Jak chránit citlivá data, hesla, šifrovací klíče, čísla kreditních karet, nevhodné fotky?

Je třeba uplatnit odpovídající bezpečnostní opatření, nejlépe v souladu s publikovanými standardními nebo všeobecně akceptovanými postupy. Je jich celá řada a je třeba vybrat opatření a pravidla odpovídající příslušné službě. GDPR klade na bezpečnost zpracování osobních údajů silný důraz.

8. Jak řešit žádost o přesun dat k někomu jinému?

Podobně jako u žádosti o přístup – viz otázky výše. Sice se poskytují pouze data zpracovávaná na základě smlouvy nebo souhlasu, ale u internetových firem se bude jednat ve většině případů o stejná data jako v případě uplatnění práva subjektu údajů na přístup – tedy prakticky o všechna osobní data. Je třeba uživatele informovat o tom, že stávající poskytovatel není odpovědný za zajištění bezpečnosti dat u nového poskytovatele, ke kterému jsou data přesouvána.

9. Jak odlišně řešit netextová data (fotky, videa, zvuky, různé kvality, různé výseky, různé modifikace)?

Netextová data je třeba řešit stejně jako textová data.

10. Jaký vliv bude mít, že tuzemská legislativa (zákon o zpracování osobních údajů) nabude účinnosti až po účinnosti GDPR?

To lze těžko odhadnout, GDPR začne platit a všechny podstatné povinnosti jsou obsažené v GDPR. Můj osobní názor je, že zpoždění přijetí zákona o zpracování osobních údajů nebude mít v praxi žádný významný vliv ani pozitivní ani negativní.

Reklama
Reklama

ISSN: 1213-5003 © Copyright 2018 ČTK

21°C

Dnes je pondělí 21. května 2018

Očekáváme v 9:00 17°C

Celá předpověď