Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Co jsou osobní údaje a co musíme chránit
duben 13
Co jsou osobní údaje a co musíme chránit

Ach jo. Lidi! Nejhorší je, že ani různí právníci a rádoby poradci prostě nětuší, co to jsou osobní údaje. Takže GDPR definice podle článku 4, odstavec 1:

„osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě ...

Veškeré!

Osobním údajem je tedy také historie nákupů ve vašem e-shopu, detaily o vaší půjčce, informace o tom, že jste si v masně koupili dva párky, že vlastním kolo značky Merida staré 11 let, že můj synek se jmenuje Janek, že máte rádi pálivej stejk, co si stahujete za filmy a které novinové články jste si přečetli, i když jste je nelajkovali, že jste byli na služební cestě v Mnichově, fotka vaší boty i fakt, že pracujete ve firmě XY, značka SPZ vašeho rodinného vozu, hodnota faktury za plyn, teplou vodu a telefon, nebo faktura za novou koupelnu.

Ani jedno z toho předchozího není identifikující údaj. To sice znamená, že podle této informace vás asi nikdo přesně neidentifikuje, nejspíš ani podle kombinace těchto údajů. Ale jsou to pořád vaše osobní údaje a musí požívat dostatečnou ochranu.

Takže není potřeba chránit jenom emailovou adresu a telefonní číslo a fotky obličejů. Ano, to jsou ty identifikující údaje. Ale uvědomte si, že únik samotných identifikujících údajů sám o sobě není zrovna to riziko, kvůli kterému tady GDPR přichází a vůbec stávající ochrana osobních údajů dávno je.

To že unikne seznam emailových adres ohrožuje koho a jak? Jo mohl by vám chodit spam. Tý jo, tak to se třesu strachem. Naopak únik těch prvních neidentifikujících údajů, které je skrze nějaký identifikující (nebo jejich kombinaci) možné navázat na fyzickou osobu, je to skutečné riziko.

Tzn. pokud unikne seznam jmen plus hodnota faktury za stavbu nové koupelny, ohrožuje to fyzické osoby například tím, že se zloději domáknou těch bohatších a půjdou se k nim podívat. Sousedé vám budou závidět a pomlouvat vás, za co utrácíte. Ohrožuje to i ty chudší faktury, protože se jim budou ostatní posmívat, že mají sračkovou koupelnu. Pokud někdo vystaví na netu seznam jmen a SPZ, jasně vás budou někteří hejtovat pokud pojedete někde rychle, pomalu, nebo budete stát, nebo předjíždět, nebo naopak předjíždět nebudete.

Takže chránit je potřeba všechny informace o fyzických osobách, které jsou na tyto osoby nějak, jakkoliv, identifikovatelné.

Při hodnocení úniku je potom potřeba si uvědomit co skutečně uniklo. Ne jestli unikl seznam emailů, hesel a fotek. To jsou všechno jen identifikující údaje, které moc rizika nepředstavují (kromě případu, kdy na fotce máte obřího jebáka co se zrovna chystá prasknout, nebo se drbete na zadku hřebínkem pro panenky).

Aby to byl únik, není ani nutné, aby identifikovatelnost osob byla nějaká "širokopásmová". Stačí, že se někdo, kdo o někom jiném něco nevěděl, je schopen o něm něco dozvědět :-)

Takže si buďte jisti, že i reklamní bilboard Lidl s nabídkou "každá pokladní 25 000+" je tedy kurva zveřejnění osobních údajů! Jestli je kdokoliv schopen přijít do Lidla a vidí tam pokladní, nebo ví, že jeho sousedka je tam pokladní, tak se právě dozvěděl, že ta osoba vydělává 25+.

Comments

Hřebínkem pro panenky?

Snažím se to, marně, vypudit z mysli.
JS on 13.4.2018 12:45

Souhlas

Jako vzdycky, vtipne, trefne a informativni.
Dekuji za clanek. :)
Jakub on 16.4.2018 11:06

Re: Co jsou osobní údaje a co musíme chránit

Takze zakon, kde je uvedena minimalni mzda nebo kde jsou platove tabulky statni spravy, ma osobni udaje hodne ochrany? Porusuje gdpr?
Jakub  on 16.4.2018 21:46

Re: Co jsou osobní údaje a co musíme chránit

nejspíš ne, protože to zveřejňuje podle jiného titulu :-) klasika, v podstatě všechno se dá dostat do "jiného titulu" :-)
ondass on 16.4.2018 21:52

Právní titul

Ahoj

No dle mého bych řekl, že zveřejnění informací ve veřejném rejstříku neznamená, že bych nezpracovával osobní údaje a nemusel je chránit podle nařízení GDPR. Jen některé organizace zpracovávají osobní údaje ve veřejném zájmu (právní titul) a proto je výše rizika jejich zneužití mnohem vyšší (v některých případech). Pokud musí stát dle veřejného zájmu zveřejnit tyto informace, pak musí být subjekt údajů s tímto rizikem srozuměn. Bohužel zde neexistuje příliš možností k odvolání (nechci být na daném seznamu).

Dále bych uvedl, že zveřejnění informací ve veřejném rejstříku (i kdyby tam byla emailová adresa nebo plat) neslouží k tomu, abych na danou osobu cílil jakoukoliv formu přímého marketingu nebo je zneužíval k jinému než definovanému účelu zpracování, pro který byl tento rejstřík zřízen.

Pokud tedy budu využívat informace z veřejného rejstříku a budu určovat účel zpracování, pak jsem se stal novým správcem těchto osobních údajů a podle článku 13 a 14 jsem povinen subjekt údajů informovat o daném zpracování ještě před jeho zahájením. Zde pak bude záležet na mnou zvoleném právním titulu, jako může být ke splnění smlouvy, jelikož chci subjektům usnadnit možnosti nákupu na mém e-shopu a tak aktivně ověřuji a doplňuji fakturační údaje z ARESu, atd...

Ondro rozhodně máš pravdu, že za osobní údaj je považována jakákoliv informace, jenž je přiřaditelná k fyzické osobě, tudíž vlastně cokoliv, dokonce i podle autorského zákona i dokumenty, skripty, atd.., které daná osoba vytvořila. Zde je pak nutné hodně přemýšlet nad principem minimalizace osobních údajů využívaných k danému zpracování osobních údajů, protože ne všechny informace jsou pro mne důležité.

Dále bych (a to si lidí často neuvědomují) podotkl, že osobním údajem (dokonce velmi citlivým) jsou i logy v systému (security log v ADčku, atd..), který zaznamenává čas autentizace do domény daného uživatele, nebo logy na firewallu, kde se provádí inspekce provozu. Tyto technické věci, často hraničí s přílišnými zásahy do soukromí a je potřeba je relevantně chránit zejména proti narušení důvěrnosti.

No a poslední doporučení, které řekl úřad: Lepší je prevence, před detekcí, což znamená, že budeme raději internetové stránky blokovat, než abychom je jen monitorovali.
Daniel Hejda on 19.4.2018 0:56

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments