GDPR co je osobní údaj?
Tak uplynul více než měsíc od účinnosti GDPR a ukazuje se, že je nejasno v základních pojmech, jako je „osobní údaj“.
1)Podle čl. 4/1 GDPR se osobním údajem rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě.
2)Úmyslem evropského zákonodárce bylo, aby definice osobního údaje pokrývala co nejširší spektrum informací. K širokému výkladu pojmu přispívá i Soudní dvůr EU, který např. v rozsudku C-213/15, ještě před účinností GDPR, konstatoval, že za osobní údaj je nutno považovat i dynamickou IP adresu.
3)Nulíček a kol. v publikaci GDPR, Wolters Kluwer, 2017, na str. 78 uvádí, že osobním údajem je i informace o spotřebě energií.
4)Mgr. Kroh a JUDr. Novotný opakovaně na seminářích uvádí, že osobním údajem je jak spotřeba energií, tak dluh člena SVJ atd.
5)Nejenom na základě výše uvedených informací, jsem uvedl na adrese
http://www.portalsvj.cz/…-udaju-v-svj
že osobním údajem jsou i náklady na služby, výše dluhu atd..
6)Domníval jsem se, že pojem osobní údaj je poměrně jasný, ale dne 21.6.2018 vyšlo SVJ aktuálně č. 6/2018, kde se uvádí:
„Čísla měřidel, stavy spotřeb k jednotlivým datům, předpisy záloh, úhrady a náklady osobním údajem ve smyslu Nařízení nejsou.“
Dále autorka článku Mgr. Adriana Kvítková pokračuje:
„Není tudíž potřeba aby správce/zpracovatel zajistil subjektům údajů přístup k těmto údajům ve smyslu čl. 15 Nařízení.“
7)Ale abych končil optimisticky
- předsedkyně ÚOOÚ uvedla, že pokuty podle GDPR do doby účinnosti adaptačního zákona nebude úřad udělovat. Zlé jazyky tvrdí, že je ani do doby účinnosti adaptačního zákona udělovat nemůže, ale to se nehodí prezentovat. Když se to podá jako dobrodiní ÚOOÚ pro správce a zpracovatele, tak to vypadá jinak
- připravuje se kodex chování při správě nemovitostí podle čl. 40 GDPR. Pokud by kodex byl vydán a byl posvěcen ÚOOÚ, tak by se možná část nejasností odstranila.
Hezký den!
ÚOOÚ již tuším v roce 2014 konstatoval, že automatizovaný sběr náměrů je zpracováním osobních údajů. Z toho lze usoudit, že zde jistě bude záležet i na četnosti odečtů.
Troufám si tvrdit, že náměr potřebný k rozúčtování, tedy jednou za rok, osobním údajem být nemusí.
Ovšem třeba hodinový (denní) záznam spotřeby sbíraný automatizovaným systémem, již osobním údajem bude. Z těchto dat již je možné při zpracování usoudit na spoustu zajímavých údajů. Třeba: je uživatel doma nebo je na chalupě, chodí si jako prostatik pravidelně ve tři hodiny odskočit na toaletu, proč každou středu má doma manžel milenku a oba se kolem jedenácté osprchují atd.
Je smutným konstatováním, že ačkoli měli všechny firmy automatizovaně sbírající data odečtů povinnost registrace na ÚOOÚ, ani jeden z členů spolku ARTAV, tuto povinnost splněnou neměl. Hlavně, že teď plkají kolem povinností plynoucích z GDPR.
Petr Patočka VIPA CZ s.r.o.
Jednotka může mít více vlastníků. Podle mne osobní údaj může být
přiřaditelná pouze jediné osobě, osobní údaj nelze sdílet mezi osobami.
Tuto vlastnost přesněji vystihuje definice v angličtině. Subjekt je
v jednotném čísle.
„personal data“ means any information relaiting to an identified or
identifiable individual („data subjekt“)
Pokud jednotku bude reprezentovat pouze jeden vlastník, pak tato osoba může
zastávat role „subjekt náměru“.
Připouštíme-li sdílení osobního údaje mezi více subjekty pak je
třeba řešit postup vznikne-li konflikt mezi osobami jak nakládat s osobním
údajem. Konkrétně dá-li svolení jeden vlastník náměry zveřejnit na
nástěnce a druhý ne jak má postupovat zpracovatel. Protože zákon takový
konflikt neřeší usuzují, že ani sdílení nepředpokládá. Nastane-li
stejný konflikt u vlastníků různých jednotek, pak lze jednoznačně
uplatnit vůli vlastníka (dá-li souhlas jeho údaj zveřejnit nebo naopak).
Bez pochopení základního pojmu daleko nedostaneme!
Osobní údaj je údaj, který je atributem (vlastností) osoby (datum narození, váha, výška…). Číslo mobilu neidentifikuje osobu, ale vstupní bod do sítě nějakého mobilního operátora. Tento údaj se stává osobním údajem osoby tehdy, existuje-li záznam relace (vztahu) mezi osobou a neosobním údajem, tj. záznam, který dokladuje vztah osoby k tomuto neosobnímu údaji (např. smlouva o přidělení mobilu osobě uživatele, nebo prohlášení, že osoba mobil daného čísla používá). Takže vlastnosti další, netvořící přímo vlastnost osoby se stává osobním údajem existuje-li záznam a dokument, který tento údaj nějaké osobě přiřadí. Osobní údaj je údaj buď tvořící vlastnost osoby, nebo vlastnost jiná, osobě záznamem vztahu mezi osobou a vlastností přiřazená. Osobní údaj je buď identifikující (jedinečná pro osobu /rodné číslo neduplicitní/) nebo neidentifikující (nejedinečná pro osobu /váha, výška/).
AsiTak,
pokud správně chápu Váš příspěvek, tak souhlasíte s většinovým názorem, že např. spotřeba energií, pohledávka za dlužníkem atd. je osobní údaj, protože ho dokážu určité osobě přiřadit.
Hezký den!
Pavel
Osobní údaj je relativní pojem. Moje číslo mobilu O2 pro SVJ je osobním údajem, neboť jsem podepsal prohlášení, že telefon daného čísla používám. Totéž číslo mobilu pro O2 je osobním údajem kupujícího, neboť je uveden v dokumentu o nákupu. Protože mobil mi koupila jiná osoba tak číslo mobilu je osobním údajem jiné osoby u SVJ než u O2. U přiřazených vlastností je třeba i specifikovat další atributy osobního údaje jako kdo, kdy, kde na základě jakého určení atd..
„Byť je definice osobního údaje poměrně široká, je nutné
vzít v potaz, že aplikace zákona o ochraně osobních údajů, resp.
obecného nařízení nastává až při zpracování osobních
údajů.“
Zpracování dat pro daný účel je vždy konkrétní záležitost a při
navrhování formy a obsahu nosičů dat ručně zpracovaných pomocí
formulářů a písemností nebo při navrhování úložiště dat pro
automatizované zpracování dat je třeba zvažovat a brát do úvahy uvedené
aspekty (a mnoho další) o datech a jejich vzájemných vztazích např.
i to, zda osobní údaj je spojen přímo se subjektem nebo existuje odkaz na
subjekt. Můžete uvést argumenty nesouhlasu?
AsiTak,
souhlasím s tím, že osobní údaj je relativní pojem.
Jaký máte názor na tvrzení Mgr. Kvítkové?
Hezký den!
Pavel
Definice osobního údaje článek 4 bod 1)
Model – Osobní údaj (číslo mobilu CisMob) a identifikovaná fyzická
osoba (číslo subjektu CisSubj údajů)
= Osobním údajem (číslo mobilu) je každá informace o identifikované
fyzické osobě (číslo subjektu údajů) kterou lze přímo identifikovat.
V záznamu/dokladu o mobilech je přímo uvedeno mimo čísla mobilu
i číslo subjektu mobilu.
… CisMob ….CisSubj …..
Druhá varianta přímé vazby
V záznamu/dokladu o subjektu je přímo uvedeno mimo čísla subjektu
i číslo mobilu.
….CisSubj ….. CisMob….
= nepřímá identifikace osoby odkazem (výrobním číslem VyrCisMob)
V záznamu/dokladu o subjektu je uvedeno mimo čísla subjektu i výrobní
číslo mobilu, dále v záznamu/dokladu o mobilech je uvedeno mimo čísla
mobilu i výrobní číslo mobilu a číslo subjektu mobilu zde uvedeno
není.
CisSubj ….. VyrCisMob….
-------------VyrCisMob ….CisMob …..
Je evidentní, že ze znalosti čísla subjektu lze dohledat i číslo mobilu a
obráceně.
Nelze o žádném údaji prohlásit bez znalosti celého systému evidence že
je údajem osobním nebo není. Např. v příkladu VyrCisMob je údajem
osobním. Výrobní číslo vodoměru nebude, nelze-li zjistit přiřazenou
osobu pro nějaký účel.
Pavle, napadá mě jediné, a to přes čtvrtstoletí starý výrok Cyrila Höschla:
„Třetina obyvatel téhle země je slabá duchem, každý sedmý občan je debilní nebo dementní nebo alkoholik a zhruba polovina obyvatel v této zemi má podprůměrný intelekt.“
Mě napadlo… Nelze přiřadit početní charakteristiky množství a průměr kvalitativním znakům které jsou neměřitelné, neporovnatelné a nespočitatelné.
Ten můj předchozí příspěvek byl myšlen hlavně jako bonmot a současně ;-) nastavené zrcadlo, jelikož je pro mne nepochopitelné, co z něčeho, co má dávat užitek a prospěch, „superspecialisté“ dokáží udělat. Jak dokáží své odborné pokyny a vysvětlení ;-) „svým občanům“ třeba i obrátit proti vlastnímu smyslu nařízení. Já mám drobnou radu, ani ne pro vás, AsiTak, protože tak nějak cítím (po přečtení vašich příspěvků výše), že my dva máme potenciál se shodnout na tom, co je a není osobní údaj, ale pro ostatní diskutéry, a to zní: Vždy, když si nevíte rady, vraťte se k preambuli GDPR. GDPR nevzniklo proto, aby nám udělalo ze života peklo, ale aby švihlo přes prsty ty, kteří se nám dosud ze života peklo snažili a snaží udělat.
A jak se zde na portále stalo téměř mým zvykem, dovolím si s vámi nesouhlasit, protože IQ, pod nějž spadají uvedené pojmy slabost duchem, debilita, demence a intelekt jsou měřitelné. Alkoholismus je onemocnění, ale když máme diagnózu, máme i čárku do statistiky, tj. kvantitu.
- pokud nahradíme kvalitativní znak kvantitativním, pak měřit můžeme, ale už měříme něco jiného. Množina alkoholiků je určitě něco jiného než množina nemocných s diagnosou alkoholizmu. Pan profesor měl na mysli asi odhad početních charakteristik těch kvalitativních znaků.
- V čem přináší potěšení a radost GDPR zpracovatelům dat
- osobní údaj je údaj jako každý jiný a navíc je zde to, že musí existovat vazba na subjekt (nutná podmínka) která je buď přímá nebo nepřímá odkazovaná. To je smysl definice osobního údaje.
- zvýšena ochrana dat proti ztrátě a zneužívání
- vymazání osobních údajů po ukončení souhlasu a oprávnění zpracovávat. Zde nevidím žádnou jednoduchou a levnou cestu jak to zajistit. Podle mne tato funkcionalita musí být předem projektována. Pouhý výmaz dat obvykle vede ke zhroucení zpracování.
Poslední komentáře