Článok 2 ods. 1 GDPRNariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov priamo predpokladá, že osobné údaje sa budú spracúvať úplne alebo čiastočne automatizovane a že budú svojou podstatou určené na to, aby tvorili súčasť informačného systému. Pri zapisovaní osobných údajov do informačného systému alebo automatizovanými prenosmi a zápismi napríklad z webového sídla sa tieto osobné údaje zapisujú do tabuliek na pozadí systémov. Tieto tabuľky s údajmi tak vytvárajú databázu osobných údajov. GDPR sa vzťahuje na všetky spracovateľské operácie s osobnými údajmi, pričom žiadnym spôsobom neurčuje ich minimálny počet. Z toho dôvodu sa bude GDPR vzťahovať rovnako na databázy obsahujúce osobné údaje, bez ohľadu na to, koľko osobných údajov a v akej štruktúre je v nich zapísaných.
Prevádzkovateľ
Každá fyzická alebo právnická osoba, ktorá sama alebo spolu s inými subjektmi určí účel a prostriedky spracúvania osobných údajov, je podľa GDPR v postavení prevádzkovateľa. Z tohto pravidla (ak opomenieme ostatné tri výnimky z vecnej pôsobnosti GDPR upravené v článku 2 ods. 2), GDPR umožňuje jedinú výnimku a tou je spracúvanie osobných údajov fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti. Mimo túto výnimku, ak fyzická alebo právnická osoba spracúva osobné údaje (de facto aj „nevedome“), je povinná od začiatku vykonávania spracovateľských operácií dodržiavať všetky povinnosti, ktoré GDPR na prevádzkovateľa kladie. Niektoré povinnosti musí prevádzkovateľ napokon spĺňať ešte pred samotným začatím aktívneho spracúvania, už v príprave či dizajnovaní informačného systému alebo návrhu procesu spracovateľskej operácie (napr. bezpečnostné opatrenia, posúdenie rizík).
Databáza
Databáza je akákoľvek báza údajov, ktoré sú určené k následnému spracovaniu (aj len uloženie údajov bez ďalšieho je spracovateľská operácia, rovnako tak aj likvidácia). Zjednodušene napísané, databáza je tabuľka, do ktorej sa údaje zapisujú pri práci v informačnom systéme alebo sa prenášajú z webovej stránky (frontend), ktorá podľa zložitosti systému a operácií, množstva účelov a údajov môže mať nekonečné množstvo riadkov a stĺpcov. Na pozadí (backend) sa súčasne môže vytvárať pre rôzne operácie (účely) niekoľko x tabuliek. Do databázy sa údaje zapisujú podľa vopred určených potrieb a mohli by sme povedať aj očakávaní budúceho užívateľa. Dáta zapísané v určitej štruktúre by následne mali prevádzkovateľovi pomocou vhodne zvolených príkazov (scriptov, pokynov) umožniť s dátami v databáze pracovať. Umožniť mu najmä výber alebo preskupenie dát, vyhľadávanie, zlučovanie, tvorbu štatistických prehľadov, vyhodnocovanie dát a pod. V skratke, databáza by mu mala uľahčiť výkon jeho hlavných činností alebo podnikania (vrátane dosiahnutia zisku).
Osobný údaj
Napokon je nevyhnutne potrebné doplniť aj definíciu samotného osobného údaja. Ak totiž nevieme, či určitý údaj je alebo nie je osobným údajom, nebude možné ani posúdiť, či sa na danú databázu, do ktorej sa údaj zapíše, GDPR vzťahuje. Osobný údaj je akákoľvek informácia, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby a ktorá je spôsobilá ju identifikovať priamo alebo nepriamo. Môže pritom ísť o odkazy na rôzne identifikátory (napr. meno, priezvisko, dátum narodenia, rodné číslo, ID klienta, lokalizačné údaje), ale aj odkazy na rôzne prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu fyzickej osoby.
Dočítajte článok až do konca, zostáva vám z neho ešte . Celé znenie nájdete v produkte EPI Odborné články:
Databázy s osobnými údajmi z pohľadu GDPR
Autor: JUDr. Paula Babicová
Súvisiace právne predpisy ZZ SR
Súhlas s použitím cookies
Vlastné nastavenie cookies