Nokumo logo

14. kol 20
Kako znati je li podatak osobni podatak: izbjegnite početničke greške u vezi s GDPR-om

Koje su podaci osobni podaci?

Kada razmatrate jesu li neki podaci osobni podaci, koristite ovaj princip:

Ako se bilo koja informacija odnosi na određenu (identificiranu ili identificirajuću) fizičku osobu, smatra se osobnim podacima.

GDPR pojašnjava što su osobni podaci i navodi primjere informacija poput i doslovno kaže: 'osobni podaci' znače sve informacije koje se odnose na identificiranu ili identificirajuću fizičku osobu ('ispitanik podataka'); identificirajuća fizička osoba je osoba koja se može identificirati, izravno ili neizravno, posebno referencom na identifikator poput imena, identifikacijskog broja, podataka o lokaciji, internetskog identifikatora ili na jedan ili više čimbenika specifičnih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet te fizičke osobe;

Dakle, komad podataka trebao bi se smatrati osobnim:

  • bez ograničenja vrste ili prirode podataka (zato članak 4.1. a kaže: "osobni podaci znače bilo koje informacije koje se odnose na identificiranu ili identificirajuću fizičku osobu ('ispitanik podataka');"
  • odnosi se na određenu osobu, što uglavnom znači da je o toj osobi
  • može se koristiti za identificiranje ili učiniti identificirajućim određenu osobu (osoba se smatra "identificiranom" kada je, unutar skupine osoba, "diferencirana" od svih drugih članova skupine)
    da se odnosi na fizičku osobu (pojedinca, ljudsko biće)

Ključna riječ ovdje je: "odnositi se". Zapamtite frazu: svaki podatak koji se odnosi na pojedinca osobni je podatak.

Odnos između podataka i osobe nikada ne smije biti izvučen iz konteksta jer priroda odnosa uvelike ovisi o tome jesu li podaci osobni ili ne.

Priroda veze između podataka i pojedinca određuje može li se podaci zapravo smatrati osobnim podacima. Imajte na umu da veza može biti nepostojeća ili tek formirana, postojeća, prekinuta ili puknuta, promijenjena od formiranja ili može mijenjati svoju bit ili odnos koji stvara s pojedincem.

Te osobine veze mogu se mijenjati tijekom vremena

  • jer se pojedinac mijenja
  • podaci se mijenjaju
  • priroda veze se mijenja

uzrokujući značajnu promjenu koju veza ima na pojedinca i kontekst u cjelini.

Kontekst aktivnosti obrade podataka sastavni je dio procjene njezine zakonitosti

Kontekst je:

  • određen protiv svih vrsta podataka
  • određen protiv svih vrsta subjekata podataka
  • određen protiv svih aktivnosti obrade podataka
  • kombinacija svih utjecaja koje osobni podaci imaju na pojedinca
  • kombinacija svih utjecaja koje obrada osobnih podataka ima na pojedinca
  • opisan opisivanjem prirode svih veza između osobnih podataka, aktivnosti obrade podataka, obrađivača podataka, upravitelja podataka, trećih strana s jedne strane i pojedinca (fizička osoba) s druge strane (fizička osoba)

Bitno je napomenuti da bilo koji podatak može postati osobnim podacima ili prestati biti osobnim podacima, ovisno o kontekstu i vremenu, čak i kada sami osobni podaci uopće ne mijenjaju (ali se mijenja kontekst).

U primjeru gdje pojedinci čitaju oglas za posao, primaju informacije o plaći za određenu poziciju iz oglasa. Je li oglašena plaća osobni podatak? Jasno odgovor: Ne. (Ne u tom konkretnom trenutku kada je pojedinac upravo pročitao oglas)

Evo raspada razloga zašto plaća nije bila osobni podatak u tom trenutku: U trenutku čitanja, nije uspostavljena veza s značajnim utjecajem između plaće oglasa za posao (podaci) i čitatelja (pojedinca), potencijalnog poslodavca (upravitelja podataka), tako da kontekst još nije uspostavljen. Podaci postoje u svom kontekstu oglasa za posao, a pojedinac postoji u kontekstu vlastitog, pri čemu ova dva konteksta nemaju značajan utjecaj jedan na drugoga.

Za vezu da bi imala spomenuti značajan utjecaj, to bi značilo da se podaci koriste ili će se vjerojatno koristiti za učenje, procjenu, tretiranje na određeni način, donošenje odluke o ili utjecaj na status ili ponašanje pojedinca. U slučaju kada veza između pod

ataka i subjekta podataka uzrokuje značajan utjecaj na subjekta podataka, takav događaj uspostavlja kontekst suživota podataka i subjekta podataka, čime se podaci klasificiraju kao osobni i stoga su zaštićeni GDPR-om.

Međutim, ako pojedinac iz prethodnog primjera kasnije (komponenta vremena konteksta) postane zaposlen (ispunjavajući ranije spomenuti oglas za posao), uspostavlja se izravna veza između plaće (podataka) i zaposlenika (pojedinca).

Transparentnost u obradi podataka također je regulirana GDPR-om. Bez obzira na to koje podatke obrađujete, u kojem kontekstu i u koje svrhe, pravilo transparentnosti za svaku pojedinu obradu u vezi s subjektom podataka nikada se ne smije prekršiti ili čak činiti da se krši. Prvo pravilo transparentnosti obrade podataka je:

Kratka verzija prvog pravila transparentnosti: Recite što radite i radite što ste rekli.

Dugija verzija pravila glasila bi: "Recite što radite i zašto to radite i objasnite prava subjekata podataka, a zatim radite što ste rekli, objasnite zašto ste to rekli i osigurajte da je lako ostvariti prava subjekta podataka.", ali autor će pripremiti još jedan blog post o tome kako slijediti glavne principe zakonitosti, pravednosti i transparentnosti kako je navedeno u članku 5.a. GDPR-a.

Nemojte reći da radite više nego što zapravo radite, ali nikada ne propustite obavijestiti subjekta podataka da nešto radite s podacima koje ste primili.

Kontekst može uzrokovati da se podaci ponovno klasificiraju s neosobnih na osobne

Priroda novo uspostavljene veze između plaće i zaposlenika očigledna je (zapošljavanje), a utjecaj je također jasan. U trenutku kada se uspostavi veza između podataka (iznos plaće) i pojedinca (subjekt podataka), plaća postaje osobni podaci jer je povezana i s radnikom, a veza utječe na radnika značajno i stvara nove dodatne veze (koje imaju različite razine utjecaja). Kao primjer, plaća značajno utječe na kvalitetu života, kreditni rejting (nova veza), vrstu automobila koji voze (nova veza), tip stambene jedinice (nova veza), kvart (nova veza), itd. Uspostavljanjem jedne ili više veza, uspostavlja se kontekst, a njezine atribute postaje očitim.

Kao primjer, pretpostavimo da fotograf, kao pojedinac (fizička osoba) angažira odvjetnika (fizičku osobu) da tuži hipotetsku tvrtku koja pruža softver za praćenje vremena putem SaaS-a zbog kršenja autorskih prava. Pretpostavimo da je odvjetnik sebe predstavio kao stručnjaka u području prava intelektualnog vlasništva fotografu. Kada fotograf kao tužitelj izgubi tužbu, fotograf prijavljuje odvjetnika odvjetničkoj komori za profesionalnu pogrešku.

Tijekom početnog sudskog postupka, kada je fotograf držao ulogu tužitelja, sva e-pošta između odvjetnika i njegovog klijenta sadržavala je podatke o odvjetniku (ime, ulica, grad, poštanski broj, broj telefona, referentne podatke ...). Korespondencija e-poštom između odvjetnika i fotografa tijekom početnog sudskog postupka nije bila o odvjetniku ili samostalno pisanje bez cilja, ali je imala 

svrhu raspravljati o tužbama za kršenje autorskih prava. Stoga podaci odvjetnika ne bi trebali biti smatrani osobnim podacima tijekom vremena tužbe za kršenje autorskih prava, ali bilo koji drugi tip podataka zaštićen od objave jer je to profesionalna tajna ili spada pod privilegiju odvjetnika i klijenta.

Međutim, kako je fotograf kasnije (komponenta vremena konteksta) prijavio odvjetnika za profesionalnu pogrešku, ti postupci postali su o odvjetniku (kao subjektu podataka), a podaci odvjetnika postali su osobni podaci zaštićeni GDPR-om.

Spremanje osobnih podataka zaposlenika obradna je aktivnost i mora imati jasnu određenu svrhu. Svrha obrade osobnih podataka mora biti zakonita (imati pravnu osnovu). Obrada bez svrhe ili s nezakonitom svrhom prekršaj je kažnjiv prema GDPR-u.

Poštivanje temeljnog prava svih pojedinaca na zaštitu osobnih podataka nije uvijek lako

Pazite, neki podaci koji bi trebali biti klasificirani kao osobni podaci ponekad nisu. Podaci ili skup podataka ne moraju potvrditi identitet pojedinca sami po sebi, već samo omogućiti, olakšati, ubrzati ili pojednostaviti identifikaciju pojedinca. Dobar primjer dopuštanja identifikacije je kada sami osobni podaci nisu dovoljni za potvrdu identiteta (npr. skup podataka koji sadrži samo ime i prezime, visinu i težinu pojedinca, bez drugih osobnih podataka: taj skup podataka ne sadrži dovoljno informacija za identifikaciju određene osobe, budući da može postojati mnogo ljudi s istim imenima i prosječnom težinom i visinom). Bez obzira na činjenicu da taj skup podataka (grupni sastavni identifikator) ne može identificirati određenu osobu, također se smatra osobnim podacima, posebno biometrijskim podacima, ali i drugim vrstama osobnih podataka (identifikatori).

Identifikacija određene osobe iz osobnih podataka obradna je aktivnost i regulirana je GDPR-om. Takva obradna aktivnost uvijek bi trebala biti zakonita, pravedna i transparentna, kako je Europska unija izričito proglasila zaštitu osobnih podataka temeljnim pravom i slobodom svake fizičke osobe (pojedinca). Stoga bi sve obradne aktivnosti trebale strogo poštivati GDPR. Jedan koji obavlja obradu podataka (obraditelj podataka) i jedan koji kontrolira osobne podatke (upravitelj podataka) mogu biti odgovorni za bilo koji prekršaj, nepoštovanje, nepridržavanje ili prekršaj koji može izazvati ozbiljne pravne posljedice i visoke novčane kazne ako ne poštuju odredbe GDPR-a.

Trebalo bi razviti formalni test koji određuje jesu li podaci osobni

Ne klasificirati podatke ili skup podataka kao osobne podatke može dovesti do nepodudarnosti s pravnim zahtjevima kako je navedeno u GDPR-u. Kao što ovaj post opisuje, nije uvijek očito da bi neki podaci trebali biti klasificirani kao osobni podaci.

Uzimajući u obzir cjelokupni tekst, posebno jer postoji vidljiva struktura u ovom mišljenju, autor vjeruje da se može provesti formalni test kako bi se odredilo treba li se neki podaci smatrati osobnim podacima. Autor će pokušati stvoriti takav formalni test i opisati ga u jednom od sljedećih blog postova.

Ovaj blog post dostupan je od strane autora koji je licencirani interni auditor za ISO 27001 i ima bogato iskustvo u upravljanju privatnošću. Ovaj blog namijenjen je isključivo u edukacijske svrhe kao i za prikaz stajališta autora o tome kako poslovanje shvaća zakon, a ne za pružanje konkretnog pravnog savjeta. Koristeći ovu blog stranicu, razumijete da ne postoji odnos odvjetnika i klijenta između vas i izdavača ovog bloga. Blog ne bi trebao biti korišten kao zamjena za stručni pravni savjet od strane licenciranog profesionalnog odvjetnika. Stajališta autora ne moraju nužno predstavljati stajališta Infraneta (vidi naše podatke o osnivanju) niti predstavljaju obećanje. Fotografije: Pexels.com

Preporučeni članci

  • 11. ruj 20

    Izbjegavanje kršenja osjetljivih osobnih podataka

    Povreda osobnih podataka može se dogoditi nenamjerno, ne nužno zbog nemara, već zato što analiza ponekad pokazuje da određeni podaci nisu osobni podaci, dok su zapravo. Naše stajalište je da oznaka podataka kao osobnih ovisi o mnogim čimbenicima, uglavnom o kontekstu obrade podataka. Postupanje s posebnim kategorijama podataka zahtijeva dodatnu pažnju.

  • 09. ruj 20

    Neizravna identifikacija pojedinca korištenjem osobnih podataka.

    GDPR samo spominje neizravnu identifikaciju kao način identifikacije osobe, ali ostavlja sve u mraku o ostatku. Nije samo stvar u tome želi li netko identificirati nekoga, već i o intrinzičnoj vrijednosti podataka i njegovoj inherentnoj sposobnosti olakšavanja procesa identifikacije nekoga, bez obzira na to želi li netko to učiniti ili ne.

  • 02. ruj 20

    Izravna identifikacija pojedinca korištenjem osobnih podataka

    Što je izravna potvrda identiteta? Kako se kretati kroz GDPR, budući da široko kaže: "identificirana fizička osoba je ona koja se može identificirati, izravno ili neizravno", a da ne spominje što je izravna identifikacija i što ona podrazumijeva. Pogledi autora mogli bi vam pomoći da to bolje razumijete.

  • 30. kol 20

    Identifikacija pojedinca putem osobnih podataka

    Kako potvrditi identitet osobe? Koja su načela potvrde identiteta i njihov odnos s autentifikacijom? Kako biti u skladu s GDPR-om, spriječiti krađu identiteta i povrede podataka osobnih informacija? Ovaj blog post sažima neke od tema vezanih uz GDPR koje smo obrađivali na visokoj razini. Ako tek započinjete s GDPR-om u zahtjevnom projektu, nadamo se da naši stavovi mogu učiniti vaše putovanje bržim i ekonomičnijim.

  • 14. kol 20

    Kako znati je li podatak osobni podatak: izbjegnite početničke greške u vezi s GDPR-om

    Koje podatke treba označiti kao osobne podatke i što znači izravno ili neizravno identificiranje pojedinca? Kako prepoznati osobne podatke kada nije očito da bi se podaci trebali tretirati kao osobni i uživati u potpunoj zaštiti prema GDPR-u. Zašto se ne raspravlja više o kontekstu obrade podataka? Neki od naših stavova u ovom blogu mogli bi vas natjerati na razmišljanje.

  • 06. kol 20

    Cookie pristanak i GDPR - izbjegavajte uobičajene pogreške

    Koje podatke treba označiti kao osobne podatke i što znači izravno ili neizravno identificiranje pojedinca? Kako prepoznati osobne podatke kada nije očito da se podaci zapravo trebaju tretirati kao osobni i uživati u potpunoj zaštiti prema GDPR-u. Zašto ljudi manje raspravljaju o kontekstu obrade podataka? Neke od naših gledišta u ovom blogu mogu vas natjerati na razmišljanje.

  • 04. kol 20

    ISO/IEC 27001 - razumijte naš način razmišljanja

    Kada je u pitanju sigurnost informacija, naš je cilj da razumijete naš način razmišljanja. Vjerujemo da ako razumijete kako mi razmišljamo, bolje ćete shvatiti stvarnu važnost pridržavanja standarda ISO 27001 i sve prednosti koje donosi vašem poslovanju.