GDPR – Zásady ochrany osobních údajů

  • Úvod
  • Správce a jeho pověřenec pro ochranu osobních údajů
  • Kategorie zpracovávaných osobních údajů a účel jejich zpracování
  • Právní titul (důvod) zpracování osobních údajů
  • Doba uchovávání osobních údajů
  • Předávání osobních údajů třetím subjektům, využití služeb zpracovatele osobních údajů
  • Informace o automatizovaném rozhodování a profilování
  • Práva subjektů údajů
  • Informovaný souhlas se zpracováním osobních údajů v souvislosti s testováním uživatelů

ÚVOD

Obecné nařízení Evropského parlamentu a rady (EU) 2016/679, o ochraně osobních údajů GDPR (General Data Protection Regulation) je ucelenou právní úpravou ochrany osobních údajů a každý správce nebo zpracovatel osobních údajů je povinen se tímto nařízením řídit.

Cílem právní úpravy GDPR je ochrana subjektů údajů (uživatelé – testované osoby, jejich zákonní zástupci, lékaři) před neoprávněných zacházením s jejich osobními údaji, a to včetně umožnění větší kontroly nad tím, co se s jejich osobními údaji děje.

Zákon č. 110/2019 Sb., o zpracování osobních údajů blíže upravuje některé oblasti zpracování osobních údajů.

Osobní údaj = veškeré informace, které lze přiřadit konkrétní fyzické osobě
Zpracování osobních údajů = jakákoliv operace s osobními údaji (včetně shromažďování, uložení, použití i výmazu)
Citlivé osobní údaje = „zvláštní kategorie osobních údajů“ – údaje o zdravotním stavu, údaje o rasovém či etnickém původu, náboženském vyznání ..
Správce = určuje účely a prostředky zpracování osobních údajů (nebo mu jsou určeny zákonem)
Zpracovatel = zpracovává osobní údaje pro správce
Pseudonymizace = operace s osobními údaji, po jejímž provedení nebude bez použití dodatečných informací možné údaje přiřadit ke konkrétní osobě
Anonymizace = operace s osobními údaji, po jejímž provedení nadále nebude možné údaje přiřadit ke konkrétní osobě (takové údaje pak již nejsou osobními údaji ve smyslu GDPR)

V roli zákonného správce osobních údajů zde z titulu zadavatele, investora a budoucího provozovatele je

Pražský inovační institut (Pii)
Mariánské náměstí 2/2, 
Staré Město
110 00 Praha 1
ID datové schránky: u7bp5ww
IČ: 08874883
info@prahainovacni.eu

který pověřil po dobu inovační fáze projektu provozováním systému společnost:


T‑Mobile Czech Republic a.s.

Tomíčkova 2144/1
148 00 Praha 4
IČ: 64949681

Kategorie osobních údajů v informovaném souhlasu specifikují typy dat, která jsou shromažďována a zpracovávána. Tato kategorie je důležitá pro transparentnost a umožňuje uživatelům aplikace lépe porozumět rozsahu shromažďování jejich údajů. Údaje jsou zpracovávány pouze v rozsahu, který je nezbytný pro dosažení účelu tj. včasné upozornění na případné budoucí problémy s kognitivními funkcemi uživatele. V kontextu aplikace CogniTrainee se jedná o:

  • Základní osobní identifikační údaje – jsou použity pro identifikaci uživatele, komunikaci, nebo pro poskytnutí personalizované zkušenosti v aplikaci.
    • jméno
    • příjmení
    • adresa
    • číslo telefonu
    • e-mailová adresa
  • Demografické údaje – mohou pomoci lépe pochopit uživatelskou základnu a mohou být využity pro statistické a výzkumné účely. 
    • rok narození
    • rodinný stav
    • nejvyšší dosažené vzdělání
  • Audio a  video záznamy – používají se k testování kognitivních funkcí, analýze a porovnání výsledků. Jde o citlivé osobní údaje a jsou ihned na vstupu před jejich zpracováním pseudoanonymizované.
    • hlasový záznam odpovědí a reakcí
    • obrazový záznam výrazu tváře
  • Výsledky uživatelů – jedná se pseudoanonymizované údaje nezbytné pro sledování trendu ve výsledcích testovaní a postupu v hermím plánu
    • výsledky testů
    • výsledky (dosažené skóre) her
  • Anonymizované údaje všechna data, která již neumožňují identifikaci konkrétního uživatele. Používají se pro trénování algoritmů strojového učení, aby aplikace poskytovala přesnější výsledky.

Právní základ pro zpracování údajů je souhlas uživatele se zpracováním svých osobních údajů pro účely testování. Tento souhlas je dobrovolný a může být kdykoliv odvolán. Dále se jedná o oprávněný zájem správce osobních údajů.

Dobou uchovávání osobních údajů je dle právní úpravy GDPR je časový rámec, v kterém jsou osobní údaje uchovávány před jejich vymazáním nebo anonymizací. Tento parametr je klíčový pro zajištění transparentnosti a dodržování právních předpisů. Po uplynutí této doby budou data buď trvale odstraněna nebo anonymizována, takže již nelze identifikovat konkrétního jednotlivce. Doba uchovávání by měla být obecně přizpůsobena účelu zpracování a zákonům, které vyžadují uchovávání údajů po určitou dobu (např. účetní a daňové zákony, …) a měla by být pouze nezbytně nutná.

U aplikace Cogni Trainee rozdělujeme osobní údaje v rámci doby uchování na tři skupiny.

První tvoří audio a video záznamy, které jsou uchovávány na zabezpečených datových úložištích v podobě jednotlivých souborů. Audio a video záznamy jsou těmi nejcitlivějšími daty obsahující osobní údaje, na druhou stranu jsou klíčovým zdrojem pro analýzu a následný výpočet konečného výsledku při každém testovacím cyklu. Z toho vyplývá i doba uchování těchto audio a video souborů nezbytně nutná pro porovnání výsledků testů. Tyto soubory budou po uplynutí 12ti měsíců automaticky, neobnovitelně vymazány.

Druhou skupinou jsou výsledky testů a demografická data. Tyto údaje jsou při prvním zpracování, tedy registraci uživatele, pseudoanonymizovány, což znamená, že bez dalších údajů nejsou tato data přiřaditelná ke konkrétní osobě. Po uplynutí 24 měsíců budou data anonymizována.

Třetí skupinou jsou základní osobní identifikační údaje. Doba zpracování po dobu trvání informovaného souhlasu, nejdéle však 24 měsíců od posledního přihlášení uživatele k aplikaci. Po této době budou údaje vymazány.

Uživatel má právo samozřejmě kdykoli, tedy i v průběhu této lhůty, požádat o výmaz a vystavení protokolu o tomto úkonu. Pokud využije tohoto práva „být zapomenut“, data ze skupiny 1 a 3 jsou smazána, data ze skupiny 2 jsou anonymizována.

Pro naplnění transparentnosti má každý uživatel právo vyžádat si takové množství dalších upřesňujících informací, které bude potřebovat rozhodnutí podpsat či nikoli Informovaný souhlas, který je podmínkou pro registraci a použití aplikace.

Správce dat i zpracovatel(é) průběžně pravidelně hodnotí a aktualizují své politiky uchovávání údajů, aby zajistili jejich soulad s aktuálními právními předpisy a nejlepšími postupy. Což může mít i vliv na např. zkrácení doby uchování osobních údajů.

Správce dat i zpracovatel(é) mohou využít služeb třetích stran, například subjekt pověřený provozováním systému.

Tato kapitola se týká specifických způsobů zpracování osobních údajů, které mohou mít významný dopad na jednotlivce a zároveň jsou nezbytné k provozu aplikace. Podrobněji:

1. Automatizované Rozhodování

  • Automatizované rozhodování znamená použití algoritmů nebo softwarových nástrojů k rozhodnutí, které má právní nebo jinak významný dopad na jednotlivce, bez zásadního lidského zásahu.
  • V případě aplikace CogniTrainee může být tímto výpočet výsledného skóre a jeho oznámení uživateli nebo kontaktní osobě. Výsledkem může být podle hodnoty skóre i upozornění, že se uživatel nachází již ve stavu vysoké pravděpodobnosti budoucích kognitivních potíží tzv. alert.

2. Profilování

  • Profilování je forma automatizovaného zpracování, které používá osobní údaje k hodnocení určitých osobních aspektů jednotlivce.
  • V aplikaci Cogni Trainee, pro testování kognitivních funkcí, může být profilování použito k přizpůsobení např. hernímu plánu a doporučení na základě předchozích výsledků nebo preferencí uživatele.

3. Práva související s automatizovaným rozhodováním a profilováním

  • Uživatelé musí být informováni o tom, že se provádí automatizované rozhodování nebo profilování, včetně logiky, významu a předpokládaných následků takových procesů pro uživatele.
  • Uživatelé mají právo vyjádřit svůj názor a zpochybnit výsledek.

Práva subjektu údajů jsou klíčovou součástí GDPR (General Data Protection Regulation), evropského nařízení o ochraně osobních údajů. Tato práva poskytují jednotlivcům kontrolu nad jejich osobními údaji a zahrnují:

1. Právo na přístup

  • Uživatelé mají právo zjistit, zda jsou jejich osobní údaje zpracovávány, a pokud ano, mají právo získat přístup k těmto údajům a dalším informacím, jako je účel zpracování, kategorie zpracovávaných údajů, příjemci údajů, doba uchovávání údajů, atd.
  • Správce i všichni zpracovatelé musí poskytnout kopii osobních údajů, pokud o to subjekt údajů požádá.

2. Právo na opravu svých osobních údajů

  • Uživatelé mají právo nechat opravit nepřesné osobní údaje týkající se jich samých.
  • Správce i všichni zpracovatelé musí opravit chybné údaje bez zbytečného odkladu.

3. Právo na vymazání („právo být zapomenut“)

  • Uživatelé mohou požadovat vymazání svých osobních údajů, pokud nejsou již potřebné pro účely, pro které byly shromážděny, nebo pokud subjekt údajů odvolá souhlas se zpracováním.
  • Správce i všichni zpracovatelé musí údaje vymazat, pokud neexistuje žádný legitimní důvod pro jejich další zpracování.

4. Právo na omezení zpracování

  • Uživatelé mají právo omezit zpracování svých osobních údajů v určitých okolnostech, například pokud zpochybňují přesnost údajů nebo namítají proti zpracování.
  • Správce i všichni zpracovatelé musí omezit zpracování údajů, dokud se nespraví přesnost údajů nebo se nevyřeší námitky.

5. Právo na přenositelnost údajů

  • Uživatelé mají právo obdržet osobní údaje, které poskytli organizaci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a mají právo tyto údaje přenést jinému správci.
  • Správce i všichni zpracovatelé musí poskytnout údaje nebo přenést je jinému správci, pokud je to technicky proveditelné.

6. Právo na námitku

  • Uživatelé mohou vznést námitku proti zpracování svých osobních údajů, pokud mají k tomu důvod související se svou konkrétní situací.
  • Správce i všichni zpracovatelé musí zastavit zpracování údajů, pokud neexistují přesvědčivé legitimní důvody pro zpracování, které převáží nad zájmy subjektu údajů.

se zpracováním osobních údajů v softwarové aplikaci CogniTrainee pro ranou detekci progrese kognitivního deficitu u starší populace nad 65 let věku

Přečetl(a) jsem si pozorně všechny informace na stránce www.cognitrainee.cz/gdpr, které podrobně popisují zpracování osobních údajů při používání aplikace CogniTrainee. Všechny mé dotazy a připomínky byly zodpovězeny k mé spokojenosti. Informace jsem pochopil(a) a rozumím účelu a způsobu zpracování mých osobních údajů výše uvedenou aplikací.
Beru na vědomí že:

  • mám právo kdykoliv svůj souhlas odvolat
  • můj souhlas je dobrovolný a je podmínkou pro využití služeb aplikace
  • vím, jak mohu uplatnit svá práva v oblasti ochrany osobních údajů

Souhlasím se zpracováním svých osobních při používání aplikace CogniTrainee pro účely testování kognitivních funkcí