Článok 4 📖 GDPR. Vymedzenie pojmov

Článok 4 GDPR. Vymedzenie pojmov

Na účely tohto nariadenia:

1. „osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

Komentár Pokyny & Case Law Odôvodnenia

Komentár

(RU)

Когда номер телефона – персональные данные?

(1) В настоящем комментарии рассматривается Позиция WP29 4/2007 о концепции
персональных данных от 20 июня 2007 года (далее—Позиция WP29).

В европейской доктрине и законодательстве определение персональных данных умышленно дано широко, не имеет и, скорее всего, никогда не будет иметь четких и однозначных критериев. Для чего эксперты в области приватности в составе WP29, а затем и законодатели это сделали?

Раздел III Позиции WP29 выделяет в конструкции персональных данных 4 «несущих» блока: «любая информация», «относящаяся к», «идентифицированному или идентифицируемому», «физическому лицу». Для целей нашего анализа потребуются два центральных элемента: «относящаяся к» и «идентифицированному или идентифицируемому», поскольку они в наибольшей степени характеризуют сторону контролера персональных данных как участника правоотношений.

(2) Данные, «относящиеся к» субъекту, включают в себя не только информацию о самом субъекте, но и о принадлежащих ему или иным образом связанных с ним объектах, питомцах. Таким образом, данными, «относящимися к» субъекту, являются не только номер телефона, автомобиля, компьютера, банковской карты, фитнес трекера, чипа питомца, но и иные характеристики этих объектов и животных: цена, износ, серийные номера, поломки, диагнозы, результаты анализов и т.д.

Позиция WP29 также выделяет три элемента, каждый из которых, независимо от наличия других, может сделать любую информацию «относящейся к» субъекту — это содержание, цель и результат.

Информация может относиться к субъекту по своему содержанию, если она о конкретном физическом лице, например, результаты тестов на экзамене, номер телефона конкретного лица, профиль определенного пользователя в соцсетях.

Информация может относиться к субъекту также по цели, если она используется или, вероятнее всего, будет использована в целях оценки, влияния на статус или поведение субъекта, проявления определенного рода отношения к субъекту. Например, список посещенных сотрудниками компании интернет страниц в корпоративной сети, может быть использован для целей мониторинга эффективности использования рабочего времени каждым сотрудником, или для блокировки определенных страниц определенным сотрудникам.

Информация может относиться к субъекту персональных данных, даже в отсутствие признаков «содержания» и «цели», если есть признак результата: если обработка данных, вероятнее всего, повлияет на права и интересы субъекта, например, даже если слегка изменит отношение окружающих к нему, заставит выделять его среди остальных в сообществе. Например, информация о том, что дедушка школьника получил премию Дарвина, может вызвать насмешки и издевательства со стороны сверстников.

Эти три элемента относимости данных к субъекту применяются каждый в отдельности, но, если присутствует хотя бы один элемент, нет надобности выявлять остальные два — данные точно относятся к субъекту.

(3) Третий блок конструкции персональных данных: «идентифицированному или идентифицируемому» — имеет квалифицирующее значение для номера телефона и прочих номеров, характеристик объектов и живых существ, относящихся к субъектам.

Позиция WP29 определяет лицо как идентифицируемое, если оно еще не идентифицировано, но его возможно идентифицировать прямо, например, по имени (если оно позволяет выделить субъекта из группы) или косвенно — по номеру паспорта, автомобиля, телефона или комбинации существенных критериев, позволяющих выделить субъекта из группы (это может быть возраст, место проживания, внешний вид и т.д.).

Однако одна лишь гипотетическая вероятность идентификации субъекта не делает информацию персональными данными. Если возможность идентифицировать субъекта отсутствует или ничтожно мала, данные не считаются персональными. В этом месте некоторые контролеры с радостью воскликнут, что у них и в мыслях не было идентифицировать кого либо, что они всего лишь собирают номера телефонов, автомобилей и некоторых карт, принадлежащих субъектам. Но мы понимаем, что идентификация по этим номерам возможна при сопоставлении с другой базой данных, например, в рамках межведомственного обмена данными, получения данных от сотовых контролеров, с дорожных камер видеонаблюдения, либо в рамках интеграции систем.

Как же определить степень и вероятность того, что контролер или любое третье лицо, завладевшее информацией, решит воспользоваться возможностью идентифицировать субъектов?

Для этого необходимо определить какие разумные усилия контролер или любое третье лицо должны будут приложить для идентификации конкретных субъектов: затраты денежных средств на такие усилия; временные и человеческие ресурсы; наличие технологии, позволяющей выполнить идентификацию без особых усилий и затрат; подразумеваемая (а не декларируемая цель) и построение обработки; какие выгоды может извлечь контролер или любое другое третье лицо; продолжительность хранения данных и потенциальное развитие технологий для идентификации в этот период.

В каждом конкретном случае необходимо определять наличие возможности и прилагаемые ресурсы контролера для идентификации субъектов по номеру телефона. Если возможность есть, или цель и контекст обработки предполагает идентификацию субъекта, то номер телефона является персональными данными.

Номер телефона — является персональными данными, так как он в зависимости от ситуации либо служит идентификатором личности, либо представляет собой информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. Все прочие номера и характеристики принадлежащих субъекту объектов и живых существ, в том или ином контексте обработки, также могут квалифицироваться в качестве персональных данных.

(4) Даже при отсутствии ФИО субъекта персональных данных у контролера и любого третьего лица, и даже при отсутствии у них возможности идентифицировать субъекта, они все же имеют возможность очень серьезно повлиять на поведение субъекта, нарушить его права и интересы.

Ведь номер телефона, существенно отличается от остальных номеров вещей принадлежностей еще и тем, что по нему можно непосредственно связаться с субъектом и вмешаться в его частную жизнь, причинить ему беспокойство. Возможны: мошенничество, пранк, звонки ночью или ранним утром в выходные, нежелательные смс, звонки, спам. Все это может не только причинить вред здоровью субъекта, нанести ущерб его материальному благосостоянию, но и заставить субъекта сменить номер телефона, и даже поменять контролера, по вине которого произошло нарушение его прав.

Контактные данные в целом (номер телефона, email, адрес и т.д.) позволяют злоумышленникам вступить в непосредственный контакт с субъектом против его воли, чтобы, предположим, угрожать его жизни и безопасности, манипулировать им, назойливо завладеть его вниманием, мешать работе и личной жизни (вторжение согласно Таксономии приватности). Дополнением к мерам защиты таких данных должна быть разумная осмотрительность самого субъекта при раскрытии своих контактных данных третьим лицам, поскольку их компрометация может заставить субъекта сменить номер или переехать, а также нарушить интересы третьих лиц, например семьи субъекта.

Как показано выше, даже без полной идентификации субъекта по контактным данным возможно нарушение его прав. Конфиденциальность этих данных обеспечивает безопасность жизни и здоровья субъекта, его близких, позволяет держать под контролем свои внешние коммуникации, снижает его доступность для внешнего мира, выстраивает личные границы субъекта, оберегает его личное пространство, что дает субъекту комфорт и уверенность.

(EN) […]

(EN) Sign in
to read the full text

(EN) Author

(EN) Elena Sebjakina CIPP/E, Privacy by design

(EN) Data Protection Officer, GDPR Consultant

(EN) Ask a question

(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN) Ask a question

Pokyny & Case Law

(EN)

Documents

Article 29 Working Party, Opinion Nº 4/2007 on the concept of personal data (2007).

Article 29 Working Party, Opinion 1/2008 on data protection issues related to search engines (2008).

Data outlining the use of the service can be divided into different categories:

the query logs (content of the search queries, the date and time, source (IP address and cookie), the preferences of the user, and data relating to the user’s computer);

data on the content offered (links and advertisements as a result of each query);

and data on the subsequent user navigation (clicks).

Search engines may also process operational data relating to user data, data on registered users and data from other services and sources such as e-mail, desktop search, and advertising on third party websites.

An individual’s search history is personal data if the individual to which it relates, is identifiable

Though IP addresses in most cases are not directly identifiable by search engines, identification can be achieved by a third party. Internet access providers hold IP address data. Law enforcement and national security authorities can gain access to these data and in some Member States private parties have gained access also through civil litigation. Thus, in most cases – including cases with dynamic IP address allocation – the necessary data will be available to identify the user(s) of the IP address.

When a cookie contains a unique user ID, this ID is clearly personal data.

ANNEX 1 contains example of data processed by search engines.

Article 29 Working Party, Opinion 05/2014 on Anonymisation Techniques (2014).

Data Protection Commission (Ireland), Guidance Note: Anonymisation and Pseudonymisation (2019).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020):

9. There are two principal sources of location data available for modelling the spread of the virus and the overall effectiveness of confinement measures:
– location data collected by electronic communication service providers(such as mobile telecommunication operators) in the course of the provision of their service; and
– location data collected by information society service providers’ applications whose functionality requires the use of such data (e.g., navigation, transportation services,etc.).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020):

18. The term “user” is typically used to refer to individuals who are registered with the service, i.e. those who have an “account” or “profile”. Many social media services can, however, also be accessed by individuals without having registered (i.e. without creating an account or profile). Such individuals are typically not able to make use of all of the same features or services offered to individuals who have registered with the social media provider. Both users and non-registered individuals may be considered “data subjects” within the meaning of Article 4(1) GDPR insofar as the individual is directly or indirectly identified or identifiable.

Case Law

CJEU, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs, C-70/10 (2011).

CJEU, Worten – Equipamentos para o Lar SA/Autoridade para as condições de trabalho, C-342-12 (2013).

CJEU, YS/Minister voor Immigratie, Integratie en Asiel, C-141/12 and C-372/12 (2014).

CJEU, Digital Rights Ireland Ltd/Minister for Communications, Marine and Natural Resources, C-293/12 and C-594/12 (2014).

CJEU, Breyer/Germany, C-582/14 (2016).

CJEU, Nowak/Data Protection Commissioner, C-434/16 (2017).

CJEU, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce/Manni, C-398/15 (2019).

Odôvodnenia

(26) Zásady ochrany údajov by sa mali vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Osobné údaje, ktoré boli pseudonymizované a ktoré by sa mohli použitím dodatočných informácií priradiť fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby. Na zistenie toho, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, by sa mali zohľadniť všetky objektívne faktory, ako sú náklady a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj. Zásady ochrany údajov by sa preto nemali uplatňovať na anonymné informácie, konkrétne na informácie, ktoré sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je identifikovateľná. Toto nariadenie sa preto netýka spracúvania takýchto anonymných informácií vrátane spracúvania na štatistické účely alebo účely výskumu.

2. „spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

Komentár Pokyny & Case Law

Komentár

(EN) Though GDPR Art.4(2) does not mention „purpose“, a „processing“ should actually be understood as an operation or set of operations united by one purpose. The purpose determines the role of data controller, legal ground for processing, defines the exception allowing for the processing of special categories of data, it limits processing to one purpose (purpose limitation principle), serves as a criteria for data minimisation, and determines a risk level and scope of data subject rights.

Some operations may serve multiple purposes, for instance, storage of email addresses allows a company to provide login to its website (purpose 1) and to send marketing communications (purpose 2). In that case this operation (storage) is a part of two processing activities at the same time. Stopping one of them (for example as a result of a withdrawal of consent for marketing emails) does not prevent company from continuing the another one (allowing the user to login).

(EN) […]

(EN) Sign in
to read the full text

(EN) Author

(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN) Ask a question

Pokyny & Case Law

(EN)

Documents

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

The behavioural advertising methods often entail the processing of personal data. This is due to various reasons:

i) behavioural advertising normally involves the collection of IP addresses and the processing of unique identifiers (through the cookie). The use of such devices with a unique identifier allows the tracking of users of a specific computer even when dynamic IP addresses are used. In other words, such devices enable data subjects to be ‚singled out‘, even if their real names are not known.

ii) Furthermore, the information collected in the context of behavioural advertising relates to, (i.e. is about) a person’s characteristics or behaviour and it is used to influence that particular person. This view is further confirmed if one takes into account the possibility for profiles to be linked at any moment with directly identifiable information provided by the data subject, such as registration related information.

DPC (Ireland), Guidance for Organisations Accidentally in Receipt of Personal Data (2020):

An organisation, whether in the public, private or voluntary sector, must be aware of the possibility of finding itself accidentally in possession of personal data. The broad definition of ‘processing’ in Article 4(2) of the GDPR means that opening, transmitting, deleting or simply storing personal data that you have unintentionally acquired will bring the GDPR into play.

DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).

Case Law

CJEC, Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy and Satamedia Oy, C-73/07 (2008).

CJEC, Lindqvist, C-101/01 (2003).

CJEU, Schwarz/Stadt Bochum, C-291/12 (2013).

CJEU, La Quadrature du Net et al./Premier ministre et al., C-511/18, C-512/18, C-520/18 (2020).

CJEU, Privacy International/Secretary of State for Foreign and Commonwealth Affairs, C-623/17 (2020).

3. „obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

4. „profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

Pokyny & Case Law

(EN) Article 29 Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (2018):

Profiling is composed of three elements:

it has to be an automated form of processing;

it has to be carried out on personal data; and

the objective of the profiling must be to evaluate personal aspects about a natural person.

Article 4(4) refers to ‘any form of automated processing’ rather than ‘solely’ automated processing (referred to in Article 22). Profiling has to involve some form of automated processing – although human involvement does not necessarily take the activity out of the definition.

Profiling is a procedure which may involve a series of statistical deductions. It is often used to make predictions about people, using data from various sources to infer something about an individual, based on the qualities of others who appear statistically similar.

The GDPR says that profiling is automated processing of personal data for evaluating personal aspects, in particular to analyse or make predictions about individuals. The use of the word ‘evaluating’ suggests that profiling involves some form of assessment or judgement about a person.

A simple classification of individuals based on known characteristics such as their age, sex, and height does not necessarily lead to profiling. This will depend on the purpose of the classification. For instance, a business may wish to classify its customers according to their age or gender for statistical purposes and to acquire an aggregated overview of its clients without making any predictions or drawing any conclusion about an individual. In this case, the purpose is not assessing individual characteristics and is therefore not profiling.

The GDPR is inspired by but is not identical to the definition of profiling in the Council of Europe Recommendation CM/Rec (2010)132 (the Recommendation), as the Recommendation excludes processing that does not include inference. Nevertheless the Recommendation usefully explains that profiling may involve three distinct stages:

data collection;

automated analysis to identify correlations;

applying the correlation to an individual to identify characteristics of present or future behaviour.

Controllers carrying out profiling will need to ensure they meet the GDPR requirements in respect of all of the above stages.

Broadly speaking, profiling means gathering information about an individual (or group of individuals) and evaluating their characteristics or behaviour patterns in order to place them into a certain category or group, in particular to analyse and/or make predictions about, for example, their:

ability to perform a task;

interests; or

likely behaviour.

5. „pseudonymizácia“ je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

Komentár Pokyny & Case Law Odôvodnenia

Komentár

(RU) Псевдонимизация в значении GDPR фактически является обезличиванием в значении, принятом в Российской Федерации. В соответствии со ст.3 Федерального закона от 27.07.2006 N 152-ФЗ „О персональных данных“ (ред. от 31.12.2017) „обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных“ (Выделение мое – СВ).

(EN) Author

(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN) Ask a question

Pokyny & Case Law

(EN) EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

Odôvodnenia

(28) Použitie pseudonymizácie osobných údajov môže znížiť riziká pre príslušné dotknuté osoby a pomôcť prevádzkovateľom a sprostredkovateľom pri plnení ich povinností v oblasti ochrany údajov. Výslovné zavedenie „pseudonymizácie“ v tomto nariadení nie je určené na to, aby sa vylúčili akékoľvek iné opatrenia na ochranu údajov.

(29) V záujme vytvorenia stimulov na používanie pseudonymizácie pri spracúvaní osobných údajov by sa mali pri súčasnom umožnení všeobecnej analýzy umožniť opatrenia na pseudonymizáciu v rámci toho istého prevádzkovateľa v prípade, že daný prevádzkovateľ prijal technické a organizačné opatrenia potrebné na zabezpečenie vykonania tohto nariadenia vo vzťahu k danému spracúvaniu, a na zabezpečenie toho, že sa dodatočné informácie na priradenie osobných údajov konkrétnej dotknutej osobe uchovávajú oddelene. Prevádzkovateľ, ktorý spracúva osobné údaje, by mal určiť oprávnené osoby v rámci toho istého prevádzkovateľa.

6. „informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

Komentár Pokyny & Case Law Súvisiace texty

Komentár

(RU) Варианты перевода на русский термина Filing System

Наиболее приемлемым переводом filing system на русский язык является система данных либо файловая система (см. таблицу внизу).

	Filing System (en.), zbiór danych (pl.)
	Система данных	Файловая система	Картотека (Украина)	Картотека или систематизированное собрание персональных данных (Россия)	Если обеспечивается поиск по определенным критериям (картотеки, списки, базы данных, журналы и другое) (Беларусь)
Понятность	+		+
Отсутствие коллизии	+	+		+	+
Близость к оригиналу	+-	+

Pokyny & Case Law

(EN)

Case Law

CJEU, Tietosuojavaltuutettu/Jehovan todistajat – uskonnollinen yhdyskunta, C-25/17 (2018).

Súvisiace texty

Článok 2 GDPR. Vecná pôsobnosť

1. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

7. „prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

Komentár Pokyny & Case Law

Komentár

(EN) Examples from the British supervisory authority (ICO):

A specialist company provides software and data analysis to process the daily pupil attendance records of a state-maintained school for an annual fee. For the software provision the company is not a processor, but for the data analysis it is a processor for the school.
The readers of a monthly science magazine receive a hard copy delivered to their home. Their subscriptions and the mailings are handled by a separate company at the publisher’s request. The company is a processor for the magazine publisher.
A marketing company sends promotional vouchers to a hairdresser’s customers on the hairdresser’s behalf. The marketing company is a processor for the hairdresser.
An organisation uses a cloud service to store and analyse its data. The organisation remains the controller and the cloud service provider is its processor.

Pokyny & Case Law

(EN)

Document

Article 29 Working Party, Opinion 1/2008 on data protection issues related to search engines (2008).

A search engine provider that processes user data including IP addresses and/or persistent cookies containing a unique identifier falls within the material scope of the definition of the controller, since he effectively determines the purposes and means of the processing.

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

When behavioural advertising entails the processing of personal data, ad network providers also play the role of data controller. Ad network providers have complete control over the purposes and means of the processing.

However, the publishers‘ responsibility covers the first stage, i.e. the initial part of the data processing, namely the transfer of the IP address that takes place when individuals visit their websites. This is because the publishers facilitate such transfer and co-determine the purposes for which it is carried out, i.e. to serve visitors with tailored adverting. In sum, for these reasons, publishers will have some responsibility as data controllers for these actions.

Article 29 Working Party, Opinion 1/2010 on the concepts of “controller” and “processor” (2010).

ICO, Guidelines Data controllers and data processors (2014) – Guidelines by the British Supervisory Authority ICO.

CNIL, Guide for processors (2017) – Guidelines by the French Supervisory Authority CNIL.

European Data Protection Supervisor, Concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 (2019).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020).

Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020):

The ‘controller’ of personal data is the entity that determines the ‘purposes and means’ of processing personal data – i.e. ‘why’ and ‘how’ the personal data is processed.

Case Law

CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16 (2018).

CJEU, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, C-40/17 (2019).

8. „sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

Pokyny & Case Law

(EN) Article 29 Working Party, Opinion 1/2010 on the concepts of „controller“ and „processor“ (2010).

CNIL, Guide for processors (2017) – Guidelines from the French Supervisory Authority CNIL.

European Data Protection Supervisor, Concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 (2019).

9. „príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

Odôvodnenia

(31) Orgány verejnej moci, ktorým sa poskytujú osobné údaje v súlade so zákonnou povinnosťou na výkon ich oficiálnej úlohy, napríklad daňové a colné orgány, finančné spravodajské jednotky, nezávislé správne orgány alebo orgány finančného trhu zodpovedné za reguláciu trhov s cennými papiermi a dohľad nad nimi, by sa nemali považovať za príjemcov, ak v súlade s právom Únie alebo právom členského štátu prijímajú osobné údaje, ktoré sú nevyhnutné na vykonávanie určitého zisťovania vo všeobecnom záujme. Žiadosti o poskytnutie by mali orgány verejnej moci zasielať vždy písomne, spolu so zdôvodnením, príležitostne a nemali by sa týkať celého informačného systému ani viesť ku prepojeniu informačných systémov. Uvedené orgány verejnej moci by mali osobné údaje spracúvať v súlade s platnými pravidlami ochrany údajov podľa účelov spracúvania.

10. „tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

11. „súhlas dotknutej osoby“ je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

Pokyny & Case Law Odôvodnenia Súvisiace texty

Pokyny & Case Law

(EN)

Document

EDPB, Guidelines 5/2020 on Consent under Regulation 2016/679 (2020).

Case law

CJEU, Schwarz/Stadt Bochum, C-291/12 (2013).

CJEU, Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV/Planet49 GmbH, C‑673/17 (2019).

Odôvodnenia

(32) Súhlas by sa mal poskytnúť jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby so spracúvaním osobných údajov, ktoré sa jej týkajú, a to napríklad písomným vyhlásením vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením. Mohlo by to zahŕňať označenie políčka pri návšteve internetového webového sídla, zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či úkon, ktorý v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov. Mlčanie, vopred označené políčka alebo nečinnosť by sa preto nemali pokladať za súhlas. Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo účely. Ak sa spracúvanie vykonáva na viaceré účely, súhlas by sa mal udeliť na všetky tieto účely. Ak má dotknutá osoba poskytnúť súhlas na základe požiadavky elektronickými prostriedkami, požiadavka musí byť jasná a stručná a nemala by pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje.

(33) Často nie je možné v čase získavania údajov úplne určiť účel spracúvania osobných údajov na účely vedeckého výskumu. Preto by sa dotknutým osobám malo umožniť udeliť svoj súhlas pre určité oblasti vedeckého výskumu, pokiaľ sú dodržané uznávané etické normy vedeckého výskumu. Dotknuté osoby by mali mať možnosť udeliť svoj súhlas iba na určité oblasti výskumu alebo časti výskumných projektov v rozsahu, ktorý umožňuje zamýšľaný účel.

Súvisiace texty

12. „porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

Pokyny & Case Law

(EN) Article 29 Working Party, Guidelines on Personal Data Breach Notification Under Regulation 2016/679 (2018):

In its Opinion 03/2014 on breach notification, WP29 explained that breaches can be categorised according to the following three well-known information security principles:
– “Confidentiality breach” – where there is an unauthorised or accidental disclosure of, or access to, personal data.
– “Integrity breach” – where there is an unauthorised or accidental alteration of personal data.
– “Availability breach” – where there is an accidental or unauthorised loss of access to, or destruction of, personal data.

13. „genetické údaje“ sú osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby;

Pokyny & Case Law Odôvodnenia

Pokyny & Case Law

(EN) Article 29 Working Party, Working Document on Genetic Data (2004).

Odôvodnenia

(34) Genetické údaje by sa mali vymedziť ako osobné údaje týkajúce sa zdedených alebo nadobudných genetických charakteristických znakov fyzickej osoby, ktoré sú výsledkom analýzy biologických vzoriek danej fyzickej osoby, najmä analýzy chromozómov, deoxyribonukleovej kyseliny (DNA) alebo ribonukleovej kyseliny (RNA) alebo analýzy inej látky, ktorá umožňuje získanie rovnocenných informácií.

14. „biometrické údaje“ sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje;

Pokyny & Case Law

(EN)

To qualify as biometric data as defined in the GDPR, processing of raw data, such as the physical, physiological or behavioural characteristics of a natural person, must imply a measurement of this characteristics. Since biometric data is the result of such measurements, the GDPR states in its Article 4.14 that it is “resulting from specific technical processing relating to the physical, physiological or behavioural characteristics”.The video footage of an individual cannot however in itself be considered as biometric data under Article 9, if it has not been specifically technically processed in order to contribute to the identification of an individual.

In order for it to be considered as processing of special categories of personal data (Article 9) it requires that biometric data is processed “for the purpose of uniquely identifying a natural person”.
To sum up, in light of Article 4.14 and 9, three criteria must be considered:

— Nature of data: data relating to physical, physiological or behavioural characteristics of a natural person,

— Means and way of processing: data “resulting from a specific technical processing”,

— Purpose of processing: data must be used for the purpose to uniquely identifying a natural person.

EDPB, Guidelines 3/2019 on processing of personal data through video devices — 2019

Article 29 Working Party, Opinion 03/2012 on developments in biometric technologies (2012).

Article 29 Working Party, Opinion 02/2012 on facial recognition in online and mobile services (2012).

Article 29 Working Party, Working document on biometrics (2003).

15. „údaje týkajúce sa zdravia“ sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave;

Pokyny & Case Law Odôvodnenia

Pokyny & Case Law

(EN)

Documents

EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak, (2020).

Odôvodnenia

(35) Osobné údaje týkajúce sa zdravia by mali zahŕňať všetky údaje týkajúce sa zdravotného stavu dotknutej osoby, ktoré poskytujú informácie o minulom, súčasnom alebo budúcom fyzickom alebo duševnom zdravotnom stave dotknutej osoby. Zahŕňajú aj informácie o fyzickej osobe získané pri registrácii na účely poskytovania služieb zdravotnej starostlivosti danej fyzickej osobe alebo pri ich poskytovaní podľa smernice Európskeho parlamentu a Rady 2011/24/EÚ (9); číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený na individuálnu identifikáciu tejto fyzickej osoby na zdravotné účely; informácie získané na základe vykonania testov alebo prehliadok častí organizmu alebo telesných látok vrátane genetických údajov a biologických vzoriek; a akékoľvek informácie, napríklad o chorobe, zdravotnom postihnutí, riziku ochorenia, anamnéze, klinickej liečbe, alebo o fyziologickom alebo biomedicínskom stave dotknutej osoby bez ohľadu na zdroj týchto informácií, či už pochádzajú napríklad od lekára alebo iného zdravotníckeho pracovníka, z nemocnice, zo zdravotníckej pomôcky alebo z vykonania diagnostického testu in vitro.

_{(9) Smernica Európskeho parlamentu a Rady 2011/24/EÚ z 9. marca 2011 o uplatňovaní práv pacientov pri cezhraničnej zdravotnej starostlivosti (Ú. v. EÚ L 88, 4.4.2011, s. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC}

16. „hlavná prevádzkareň“ je:

Odôvodnenia

(36) Hlavnou prevádzkarňou prevádzkovateľa v Únii by malo byť miesto jeho centrálnej správy v Únii, pokiaľ sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov neprijímajú v inej prevádzkarni prevádzkovateľa v Únii, pričom v takom prípade by sa za hlavnú prevádzkareň mala považovať táto iná prevádzkareň. Hlavná prevádzkareň prevádzkovateľa v Únii by sa mala určiť podľa objektívnych kritérií a mala by zahŕňať efektívne a skutočné vykonávanie riadiacich činností, pri ktorých sa prijímajú hlavné rozhodnutia týkajúce sa účelu a prostriedkov spracúvania prostredníctvom stálych dojednaní. Uvedené kritérium by nemalo byť závislé od toho, či sa spracúvanie osobných údajov vykonáva na tomto mieste. Prítomnosť a použitie technických prostriedkov a technológií spracúvania osobných údajov alebo spracovateľských činností nepredstavujú sami osebe hlavnú prevádzkáreň, a preto nie sú určujúcimi kritériami pre hlavnú prevádzkareň. Hlavnou prevádzkarňou sprostredkovateľa by malo byť miesto jeho centrálnej správy v Únii alebo ak v Únii nemá centrálnu správu, tak miesto, kde sa uskutočňujú hlavné spracovateľské činnosti v Únii. V prípadoch týkajúcich sa tak prevádzkovateľa, ako aj sprostredkovateľa by mal príslušným vedúcim dozorným orgánom zostať dozorný orgán členského štátu, v ktorom má prevádzkovateľ svoju hlavnú prevádzkareň, ale dozorný orgán sprostredkovateľa by sa mal považovať za dotknutý dozorný orgán a uvedený dozorný orgán by sa mal zúčastňovať na postupe spolupráce stanovenom v tomto nariadení. V každom prípade dozorné orgány členského štátu alebo členských štátov, v ktorých má sprostredkovateľ jednu alebo viac prevádzkarní, by sa nemali považovať za dotknuté dozorné orgány, ak sa návrh rozhodnutia týka len prevádzkovateľa. Ak spracúvanie vykonáva skupina podnikov, hlavná prevádzkareň riadiaceho podniku by sa mala považovať za hlavnú prevádzkareň skupiny podnikov okrem prípadu, keď o účeloch a prostriedkoch spracúvania rozhoduje iný podnik.

a) pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala;

b) pokiaľ ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii, alebo ak sprostredkovateľ nemá centrálnu správu v Únii, prevádzkareň sprostredkovateľa v Únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto nariadenia;

Súvisiace texty

17. „zástupca“ je fyzická alebo právnická osoba usadená v Únii, ktorú prevádzkovateľ alebo sprostredkovateľ písomne určil podľa článku 27 a ktorá ho zastupuje, pokiaľ ide o jeho povinnosti podľa tohto nariadenia;

Súvisiace texty

Článok 27 GDPR. Zástupcovia prevádzkovateľov alebo sprostredkovateľov, ktorí nie sú usadení v Únii

1. Ak sa uplatňuje článok 3 ods. 2, prevádzkovateľ alebo sprostredkovateľ písomne určí zástupcu v Únii.

[…]

3. Zástupca musí byť usadený v jednom z tých členských štátov, v ktorých sa nachádzajú dotknuté osoby, ktorých osobné údaje sa spracúvajú v súvislosti s ponukou tovaru alebo služieb pre nich, alebo ktorých správanie sa sleduje.

4. Prevádzkovateľ alebo sprostredkovateľ poverí zástupcu, aby sa naňho popri prevádzkovateľovi alebo sprostredkovateľovi alebo namiesto prevádzkovateľa alebo sprostredkovateľa obracali najmä dozorné orgány a dotknuté osoby, a to vo všetkých otázkach týkajúcich sa spracúvania na účely zabezpečenia súladu s týmto nariadením.

5. Určením zástupcu prevádzkovateľom alebo sprostredkovateľom nie sú dotknuté právne prostriedky nápravy, ktoré by sa mohli iniciovať proti samotnému prevádzkovateľovi alebo sprostredkovateľovi.

18. „podnik“ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;

19. „skupina podnikov“ je riadiaci podnik a ním riadené podniky;

Komentár Odôvodnenia

Komentár

(EN)

In order to impose fines that are effective, proportionate and dissuasive, the supervisory authority shall use for the definition of the notion of an undertaking as provided for by the CJEU for the purposes of the application of Article 101 and 102 TFEU, namely that the concept of an undertaking is understood to mean an economic unit, which may be formed by the parent company and all involved subsidiaries. In accordance with EU law and case-law*, an undertaking must be understood to be the economic unit, which engages in commercial/economic activities, regardless of the legal person involved (Recital 150)

* The ECJ case law definition is: «the concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed” (Case Höfner and Elsner, para 21, ECLI:EU:C:1991:161). An undertaking «must be understood as designating an economic unit even if in law that economic unit consists of several persons, natural or legal» (Case Confederación Española de Empresarios de Estaciones de Servicio [para 40, ECLI:EU:C:2006:784)

Art29WP, Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, wp253 (2017)

Odôvodnenia

(37) Skupinu podnikov by mal zahŕňať riadiaci podnik a ním riadené podniky, pričom riadiaci podnik by mal byť podnikom, ktorý môže vykonávať dominantný vplyv na ostatné podniky napríklad v dôsledku toho, že ich vlastní, v dôsledku finančnej účasti alebo pravidiel upravujúcich činnosť podniku alebo v dôsledku právomoci presadiť vykonávanie pravidiel ochrany osobných údajov. Podnik, ktorý kontroluje spracúvanie osobných údajov v podnikoch, ktoré sú s ním prepojené, by sa mal spolu s týmito podnikmi považovať za skupinu podnikov.

20. „záväzné vnútropodnikové pravidlá“ je politika ochrany osobných údajov, ktorú dodržiava prevádzkovateľ alebo sprostredkovateľ usadený na území členského štátu na účely prenosu alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti;

21. „dozorný orgán“ je nezávislý orgán verejnej moci zriadený členským štátom podľa článku 51;

22. „dotknutý dozorný orgán“ je dozorný orgán, ktorého sa spracúvanie osobných údajov týka, pretože:

Odôvodnenia

a) prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu;

b) dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo

c) sťažnosť sa podala na tento dozorný orgán;

23. „cezhraničné spracúvanie“ je buď:

a) spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo

b) spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte;

Súvisiace texty

24. „relevantná a odôvodnená námietka“ je námietka voči návrhu rozhodnutia, či došlo k porušeniu tohto nariadenia, alebo či je plánované opatrenie vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi v súlade s týmto nariadením, ktoré musí jasne preukázať závažnosť rizík, ktoré predstavuje návrh rozhodnutia, pokiaľ ide o základné práva a slobody dotknutých osôb a prípadne voľný pohyb osobných údajov v rámci Únie;

Pokyny & Case Law

(EN)

Documents

EDPB, Guidelines on relevant and reasoned objection under Regulation 2016/679 (2020).

25. „služba informačnej spoločnosti“ je služba vymedzená v článku 1 bode 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 (19);

Súvisiace texty

_{(19) Smernica Európskeho parlamentu a Rady (EÚ) 2015/1535 z 9. septembra 2015, ktorou sa stanovuje postup pri poskytovaní informácií v oblasti technických predpisov a pravidiel vzťahujúcich sa na služby informačnej spoločnosti (Ú. v. EÚ L 241, 17.9.2015, s. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC}

26. „medzinárodná organizácia“ je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody.

Všeobecné nariadenie o ochrane údajov (GDPR)

Odôvodnenia Zanechať komentár

Odôvodnenia

(27) Toto nariadenie sa neuplatňuje na osobné údaje zosnulých osôb. Členské štáty môžu stanoviť pravidlá týkajúce sa spracúvania osobných údajov zosnulých osôb.

(30) Fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad IP adresa, cookies, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu. Tieto môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu.

Zanechať komentár

[js-disqus]