Právní předpisy:Pokyny pro shromažďování údajů

This page is a translated version of the page Legal:Data Collection Guidelines and the translation is 100% complete.

Právo na soukromí je jádrem toho, jak komunity přispívají k projektům Wikimedie – dodržování tohoto práva je ústředním aspektem závazků WMF v oblasti lidských práv. Tyto pokyny pro shromažďování dat nastiňují osvědčené postupy ve Wikimedia Foundation pro řízení rizik ochrany soukromí při shromažďování dat. Doplňují uchovávání dat a pokyny pro zveřejňování dat společnosti WMF a poskytují pokyny, jak zacházet s potenciálně citlivými daty během celého jejich životního cyklu ve WMF. Dohromady tyto pokyny přispívají k našemu závazku chránit data uživatelů, jak je rozpracováno v našich zásadách ochrany osobních údajů.

Šíře toho, co představuje shromažďování dat, se může značně lišit, protože mnoho týmů v nadaci se zabývá nějakým způsobem shromažďování dat. Abychom poskytli vodítko pro smysluplné vyhodnocení potenciální činnosti shromažďování dat, zaměřujeme se především na pochopení informací týkajících se pěti obecných kategorií:

Subjekty údajů (např. čtenáři, redaktoři, uživatelé aplikací, dárci)
Odesílatelé dat (např. nástroje WMF jako prohlížeč, aplikace nebo rozšíření nebo poskytovatelé softwaru třetích stran)
Příjemci dat (např. WMF, WME, přidružené společnosti, poskytovatelé softwaru třetích stran, veřejnost)
Typ dat (např. informace o uživatelském účtu, informace o stránce, telemetrická data, demografické informace, informace o postoji nebo chování, geografické informace, informace o událostech)
Využití dat a změny v používání dat (např. zveřejněné v nezpracovaném formátu, zveřejněné anonymně, nezveřejněné, deidentifikace, agregace a uchování natrvalo)

Následující tabulka pro třídění rizik shromažďování dat představuje tyto kategorie jako kritéria, která mají zaměstnancům pomoci vyhodnotit úroveň rizika jejich činnosti shromažďování dat.

Tabulka pro vrstvení rizik sběru dat

Kritéria nízkého rizika
Subjekt údajů podléhá platným zásadám ochrany osobních údajů společnosti WMF; Odesílatel údajů podléhá platným zásadám ochrany osobních údajů společnosti WMF; Příjemcem dat je společnost WMF nebo poskytovatel softwaru třetí strany schválený společností WMF, který nepoužívá soubory cookie; Poznámka: Pokud poskytovatel softwaru třetí strany používá soubory cookie nebo jiné úložiště na straně klienta, okamžitě se to stane středně nebo vysoce rizikovou aktivitou Data budou uchovávána po typickou dobu uchování a poté smazána, agregována nebo deidentifikována a sanitována; Shromážděné údaje nezahrnují: více položek nehašovaných osobních údajů^[1] osobní údaje + uživatelské jméno/ID uživatele nebo ID aplikace dlouhodobá historie sledování^[2] + jedinečný ID^[3] podrobná geografická data^[4] + jedinečný ID^[3] citlivé údaje^[5]

Úroveň rizika	Úroveň 1: Vysoké riziko	Úroveň 2: Střední riziko	Úroveň 3: Nízké riziko
Úroveň rizika	*Údaje, které by mohly určitě* vystavit subjekty údajů nebo příjemce riziku újmy.**	*Údaje, které by mohly pravděpodobně* nebo možná vystavit subjekty údajů nebo příjemce riziku újmy.**	*Údaje, u kterých je nepravděpodobné* vystavit subjekty údajů nebo příjemce riziku újmy.**
Kritéria	Shromažďování údajů probíhá průběžně^[6] a nesplní DVĚ NEBO VÍCE z kritérií nízkého rizika. NEBO Shromážděná data jsou jednorázová^[7] a nesplní TŘI NEBO VÍCE z kritérií nízkého rizika.	Shromažďování údajů probíhá průběžně^[6] a nesplní JEDNO z kritérií nízkého rizika. NEBO Shromážděná data jsou jednorázová^[7] a nesplní DVĚ z kritérií nízkého rizika.	Shromažďování údajů probíhá průběžně^[6] a nesplňuje NULA z kritérií nízkého rizika. NEBO Shromážděná data jsou jednorázová^[7] a nesplní JEDNO NEBO NULA z kritérií nízkého rizika. Jediným kritériem, které selhalo, nemůže být sběr citlivých dat.
Cíl doby odezvy	3 pracovní týdny	5 pracovních dnů	nelze aplikovat
Očekávané procento požadavků (interní metrika)	15%	35%	50%
Co by týmy WMF měly dělat dál?
Co dělat pro všechny úrovně rizika	Jakmile vyhodnotíte svou úroveň rizika pomocí této třídící tabulky, zaznamenejte aktivitu shromažďování dat do formuláře protokolu aktivity shromažďování dat. Pokud se později rozhodnete použít získaná data pro nový účel, přehodnoťte prosím svou úroveň rizika pomocí stupňovací tabulky a odešlete nový formulář protokolu činnosti sběru dat.
Další věci, které je třeba udělat v závislosti na vaší aktivitě shromažďování dat a úrovni rizika	Pro průzkumy: Vyplňte prohlášení průzkumu o ochraně osobních údajů a doplňte svůj formulář protokolu činnosti shromažďování dat.
	Pro všechny ostatní aktivity shromažďování dat: Odešlete aktivitu shromažďování dat na požadavek L3SC, který doplní váš formulář protokolu aktivity shromažďování dat ke kontrole oddělením Privacy Engineering a Privacy Legal (+ dalšími týmy v případě potřeby). Recenzenti navrhnou zmírňující opatření, aby bylo riziko nízké nebo střední. Během procesu L3SC si kontroloři vyžádají schválení činnosti sběru dat od ředitele nebo vyššího ředitele, než je tým, který činnost sběru dat vlastní, aby bylo možné pokračovat ve vysoce rizikových činnostech sběru dat.	Pro všechny ostatní činnosti shromažďování dat: Odešlete činnost shromažďování dat na požadavek L3SC ke kontrole oddělením Privacy Engineering a Privacy Legal (+ dalšími týmy v případě potřeby). Recenzenti navrhnou zmírňující opatření, aby bylo riziko nízké. Během procesu L3SC si kontroloři vyžádají schválení činnosti sběru dat od technického manažera týmu, který vlastní činnost sběru dat, aby bylo možné pokračovat v činnostech sběru se středním rizikem.	Pro všechny ostatní činnosti shromažďování dat: Není nutná žádná další kontrola ze strany Privacy Engineering nebo Privacy Legal.

Opakování nebo změny stávajících činností sběru dat

Pokud se činnost shromažďování dat opakuje,^[8] následné revize budou představovat známé riziko a budou vyžadovat méně přísné revizní standardy. Například:

Jednorázový průzkum s vysokým rizikem v prvním čtvrtletí by byl v pozdějších čtvrtletích považován za známé vysoké riziko (rychlejší reakce a kadence rozhodování), pokud jsou shromážděné informace stejné.
Středně rizikové probíhající shromažďování dat v systému iOS by bylo považováno za známé střední riziko (vyžadující pouze zadání do formuláře protokolu), pokud již bylo pro Android zkontrolováno identické schéma.

Navrhované změny stávajících probíhajících činností shromažďování údajů by měly být považovány za takové, které zahrnují změnu typu shromažďovaných údajů, a měly by být považovány za nový záznam ve formuláři protokolu činnosti shromažďování údajů/nový sběr údajů ke kontrole.

Opatření ke zmírnění rizika

Zde je seznam příkladů zmírňujících opatření, která můžete přijmout, abyste snížili riziko vaší činnosti shromažďování dat:

Vzhledem k tomu, že pro špatného hráče je triviálně snadné odvodit podrobná geografická data z úplné IP adresy, je pro účely těchto pokynů shromažďování úplných verzí IP adres považováno za jedinečný identifikátor.^[3] a k úniku granulárních geografických dat – proto je shromažďování IP adres středně rizikovou činností shromažďování dat. Mezi relevantní zmírnění patří:
- vypuštění posledních dvou oktetů IP adres (např. 192.168.xxx.xxx)
- hashovací IP adresa + user-agent (podobně jako podpis aktéra)
Za okolností, kdy jsou podrobná geografická data kritická, zvažte sběr dat z nižších než národních geografických údajů a následné odstranění všech jedinečných ID.
Chcete-li shromažďovat rizikovější jedinečná ID (jako je IP adresa) a udržovat stav s nízkým rizikem, může být nutné je hašovat.

Definice

↑
Osobní údaje: (ze Zásad ochrany osobních údajů Wikimedia Foundation): Informace, které nám poskytnete, nebo informace, které shromažďujeme a které by mohly být použity k vaší osobní identifikaci. Aby bylo jasno, i když nezbytně neshromažďujeme všechny následující typy informací, považujeme alespoň následující za "osobní údaje", pokud jsou jinak neveřejné a lze je použít k vaší identifikaci:
1. vaše skutečné jméno, adresa, telefonní číslo, e-mailová adresa, heslo, identifikační číslo na státem vydaném průkazu totožnosti, IP adresa, informace o uživatelském agentovi, číslo platebního účtu;
2. pokud jsou spojeny s jednou z položek v pododdílu (1), jakékoli citlivé údaje, jako je datum narození, pohlaví, sexuální orientace, rasový nebo etnický původ, manželský nebo rodinný stav, zdravotní stav nebo postižení, politická příslušnost a náboženství.
↑ Data dlouhodobé historie sledování: Data, která zaznamenávají historii zobrazení stránek > 90 dní pro odhlášené uživatele nebo > 1 zobrazení stránky pro přihlášené uživatele.
↑ ^3.0 ^3.1 ^3.2 Unikátní identifikátor (ID): Rozšíření "Osobních informací", jak je definováno ve WMF Zásady ochrany osobních údajů. Do tohoto seznamu přidáme uživatelské jméno/ID uživatele a ID instalace aplikace. Hašované verze jedinečných ID v prostém textu jsou stále považovány za jedinečná ID, protože mohou stále jednoznačně identifikovat uživatele.
↑ Granulární geografická data: Data, která identifikují polohu uživatele na nižší než národní úrovni.
↑ Citlivé údaje: (ze zásad ochrany osobních údajů Wikimedia Foundation): datum narození, pohlaví, sexuální orientace, rasový nebo etnický původ, manželský nebo rodinný stav, zdravotní stav nebo postižení, politická příslušnost a náboženství.
↑ ^6.0 ^6.1 ^6.2 Probíhající sběr dat: Údaje shromažďované průběžně, obvykle automatizovanými prostředky. To zahrnuje telemetrická data z interakcí aplikace/web. Důležité je, že jde o data shromážděná prostřednictvím implicitního souhlasu právě pomocí WMF projektů. Může být dlouhodobá (pro monitorování používání po neurčitou dobu) nebo krátkodobá (pro provádění experimentů s určitým koncem).
↑ ^7.0 ^7.1 ^7.2 Jednorázový sběr dat: Data shromážděná v jediném případě, obvykle prostřednictvím průzkumu. Subjekty údajů mohou v této souvislosti výslovně souhlasit se sdílením údajů potvrzením prohlášení o ochraně osobních údajů, vyplněním průzkumu a kliknutím na tlačítko "Odeslat".
↑
Opakující se sběr dat: Případy sběru dat, které buď:
- se opakují po určité době (např. každý měsíc, čtvrtletí nebo rok) nebo
- mají ekvivalentní schémata shromažďování dat v některých souborech kontextů (např. iOS a Android).

[personal_info-1] Osobní údaje: (ze Zásad ochrany osobních údajů Wikimedia Foundation): Informace, které nám poskytnete, nebo informace, které shromažďujeme a které by mohly být použity k vaší osobní identifikaci. Aby bylo jasno, i když nezbytně neshromažďujeme všechny následující typy informací, považujeme alespoň následující za "osobní údaje", pokud jsou jinak neveřejné a lze je použít k vaší identifikaci:
vaše skutečné jméno, adresa, telefonní číslo, e-mailová adresa, heslo, identifikační číslo na státem vydaném průkazu totožnosti, IP adresa, informace o uživatelském agentovi, číslo platebního účtu;

pokud jsou spojeny s jednou z položek v pododdílu (1), jakékoli citlivé údaje, jako je datum narození, pohlaví, sexuální orientace, rasový nebo etnický původ, manželský nebo rodinný stav, zdravotní stav nebo postižení, politická příslušnost a náboženství.

[2] vaše skutečné jméno, adresa, telefonní číslo, e-mailová adresa, heslo, identifikační číslo na státem vydaném průkazu totožnosti, IP adresa, informace o uživatelském agentovi, číslo platebního účtu;

[3] ud jsou spojeny s jednou z položek v pododdílu (1), jakékoli citlivé údaje, jako je datum narození, pohlaví, sexuální orientace, rasový nebo etnický původ, manželský nebo rodinný stav, zdravotní stav nebo postižení, politická příslušnost a náboženství.

[long_term-2] Data dlouhodobé historie sledování: Data, která zaznamenávají historii zobrazení stránek > 90 dní pro odhlášené uživatele nebo > 1 zobrazení stránky pro přihlášené uživatele.

[unique_id-3] 3.0 ^3.1 ^3.2 Unikátní identifikátor (ID): Rozšíření "Osobních informací", jak je definováno ve WMF Zásady ochrany osobních údajů. Do tohoto seznamu přidáme uživatelské jméno/ID uživatele a ID instalace aplikace. Hašované verze jedinečných ID v prostém textu jsou stále považovány za jedinečná ID, protože mohou stále jednoznačně identifikovat uživatele.

[granular_geo-4] Granulární geografická data: Data, která identifikují polohu uživatele na nižší než národní úrovni.

[sensitive_data-5] Citlivé údaje: (ze zásad ochrany osobních údajů Wikimedia Foundation): datum narození, pohlaví, sexuální orientace, rasový nebo etnický původ, manželský nebo rodinný stav, zdravotní stav nebo postižení, politická příslušnost a náboženství.

[ongoing-6] 6.0 ^6.1 ^6.2 Probíhající sběr dat: Údaje shromažďované průběžně, obvykle automatizovanými prostředky. To zahrnuje telemetrická data z interakcí aplikace/web. Důležité je, že jde o data shromážděná prostřednictvím implicitního souhlasu právě pomocí WMF projektů. Může být dlouhodobá (pro monitorování používání po neurčitou dobu) nebo krátkodobá (pro provádění experimentů s určitým koncem).

[one_off-7] 7.0 ^7.1 ^7.2 Jednorázový sběr dat: Data shromážděná v jediném případě, obvykle prostřednictvím průzkumu. Subjekty údajů mohou v této souvislosti výslovně souhlasit se sdílením údajů potvrzením prohlášení o ochraně osobních údajů, vyplněním průzkumu a kliknutím na tlačítko "Odeslat".

[recurring-8] Opakující se sběr dat: Případy sběru dat, které buď:
se opakují po určité době (např. každý měsíc, čtvrtletí nebo rok) nebo

mají ekvivalentní schémata shromažďování dat v některých souborech kontextů (např. iOS a Android).

[11] se opakují po určité době (např. každý měsíc, čtvrtletí nebo rok) nebo

[12] í ekvivalentní schémata shromažďování dat v některých souborech kontextů (např. iOS a Android).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]