46 otázek a odpovědí ke GDPR

Nedávno jsme organizovali webinář na novou EU legislativu GDPR (General Data Protection Regulation) – obecné nařízení o ochraně osobních údajů, které se týká každé firmy i státní organizace v ČR i SR. Sešlo se spoustu dotazů a zde jsou odpovědi:

 

Je možné někde získat plný seznam všech položek, které se považují za osobní údaje?

V GDPR je tato definice napsaná obecně. Konkrétní příklady a nejčastější typy osobních údajů v organizacích uvádíme v našich prezentacích, bohužel však z důvodu široké působnosti zákona, resp. nařízení není jednoduché vyjmenovat všechny možné údaje, které jsou považovány za osobní data. Jedná se o jakýkoliv údaj, týkající se určené nebo určitelné fyzické osoby.

 

Pokud eviduji ve webové aplikaci jméno, příjmení a e-mail člověka, jde o osobní údaje, které pod tento zákon spadají? A musí k nim takto přistupovat jak já, tak i provozovatel této webové aplikace?

Ano, pokud se jedná o kontaktní údaje fyzické osoby, půjde o osobní údaje. Tato data spadají do působnosti zákona, resp. regulace. Musíte k nim dle toho přistupovat jak vy, tak provozovatel aplikace.

 

Jak je to s údaji poskytnutými policii (DNA, otisky prstů atd..) vzhledem k právům?

Pokud se jedná o údaje poskytované z důvodu, že jejich zpracování vyžaduje samostatný zákon (jako v případě policejního vyšetřování), pro jejich sběr není vyžadován explicitní souhlas subjektu údajů. Samozřejmě se ale na ně vztahují další požadavky GDPR, mimo jiné také povinnost je zabezpečit před zneužitím ze strany policie.

 

Právo na výmaz je absolutní? Pokud zákazník, kterému mám doručit objednávku požádá o výmaz, tak já musím tyto údaje smazat? Jak se řeší následky tohoto výmazu?

Právo na výmaz není absolutním právem. Je možné ho uplatnit pouze za předpokladu, že nejsou osobní údaje již potřebné pro účel, pro který byly shromažďovány nebo zpracovávány. Dalším důvodem, kdy nemůže dojít k výmazu osobních údajů, je existence jiné právní povinnosti či zákona, který výmazu brání, např. zákon o archivaci a povinnost organizací archivovat dokumenty obsahující osobní údaje po určitou, zákonem stanovenou dobu.

 

Jakým způsobem je možné ověřit, kde všude jsou mé data v dané organizaci uloženy? Na jedné straně vidím požadavek, na druhé straně se jedná o tvrzení dané organizace, kde všude má data uloženy jsou.

Pro ověření musí proběhnout analýza ze strany Vaší organizace, abyste zjistili, kde všude se s osobními daty pracuje. Jinak nebudete schopni naplnit požadavky zákona, resp. GDPR. Pokud totiž dojde k incidentu nebo porušení zákona, odpovědnost spadá na organizaci, která data zpracovávala.

 

Pokud si ve svém CRM vedu emailovou adresu a mobil na zaměstnance u zákazníků, znamená to, že si najednou budu muset žádat explicitní souhlas, že si údaje mohu uložit?

Záleží, jestli jste již o souhlas žádali v době sběru dat a také od účelů takového sběru. Pokud je zpracování nevyhnutné pro agendu spojenou s poskytnutím služby nebo produktu (např. rozhodně potřebujete adresu pro to, abyste mohli zákazníkovi produkt poslat. Ve Vašem případě je na pováženou, jestli skutečně potřebujete kontaktní údaje od každého zákazníka – záleží na důvodech), osobní data v minimálním rozsahu můžete zpracovat i bez souhlasu subjektů. Samozřejmě na Vás ale spadají další povinnosti zákona, resp. nařízení.

 

Bylo zmíněno, že souhlas rodičů se vztahuje na děti od 16 let. Musí tedy všechny služby evidovat věk uživatelů? Stačí zákazníka/uživatele vyzvat k zadání věku – například na internetu, nebo je třeba to nějak kontrolovat?

Věková hranice pro rodičovský souhlas je dána v rozmezí od 13 do 16 let věku, kdy si každý stát může určit minimální věkovou hranici, kdy je vyžadován rodičovský souhlas. Ano, z toho důvodu je nezbytné ověřit si věk osoby, která uděluje ke zpracování svých osobních údajů souhlas.

 

Právo na přenositelnost dat je bezplatné –  je banka povinna mi tyto údaje předat bezplatně?

Ano, správce je povinen vydat tyto informace bezplatně.

 

Kdo reguluje/kontroluje textaci „Souhlasu se zpracováním osobních dat“?

Konkrétní znění není regulováno, pro doporučení v této oblasti je možné se obrátit na doporučení EU, resp. poradenské služby právních kanceláří.

 

Koho se tedy přesně GDPR týká? Konkrétně mi jde třeba o e-shop, který má jen třeba 2 zaměstnance, ale zpracovává údaje stovek zákazníků.

Ano, i e-shop, který zpracovává osobní údaje zákazníků, spadá do účinnosti GDPR. V podstatě jakákoliv organizace, která má alespoň 1 zaměstnance, musí zpracovávat osobní údaje zaměstnanců, takže je musí ze zákona chránit.

 

Bude se i jmenování pověřence týkat i personálních agentur?

S ohledem na množství a charakter osobních údajů si troufáme tvrdit, že personální agentury budou mít povinnost jmenovat pověřence pro ochranu osobních údajů (DPO).

 

Z čeho vyplývá „rozsáhlé zpracování“? Co je bráno jako rozsáhlé? Je vydefinováno množství dat?

Tyto termíny nejsou v nařízení jasně definovány, dle výkladových vodítek WP 29 je rozsáhlé definováno pomocí několika faktorů: počet dotčených subjektů údajů, objem dat, doba trvání zpracování, územní rozsah. Jako příklad rozsáhlého zpracování lze uvést například zpracovávání údajů o pacientech v rámci běžné činnosti nemocnice (zpracování údajů o pacientech jednotlivým lékařem se však za rozsáhlé nepovažuje). Rozsáhlým zpracováním bude i zpracování osobních údajů vyhledávačem pro potřeby cílené reklamy či zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky.

 

Jak často musí být prováděna kontrola outsourcovaným DPO?

Výkon funkce pověřence není časově jakkoliv omezen, výkon kontroly nad správným nakládáním s osobními údaji je soustavnou činností a je jen na samotné organizaci, zda-li si jmenuje interního nebo externího pověřence.

 

Jakou roli bude mít nadále úřad na ochranu osobních údajů? Bude dále probíhat registrace u úřadu?

Povinnost registrace (oznámení zpracování osobních údajů) s účinností GDPR odpadá. Úřad ale dostane vyšší pravomoci i možnosti výše pokut v případě porušení zákona, resp. regulace.

 

Kdo je odpovědný při incidentu a kdo bude platit pokutu – správce nebo zpracovatel?

Na tuto otázku rozhodně není jednoznačná odpověď. Velmi bude záležet na tom, zdali k úniku dat došlo na straně správce nebo zpracovatele, v případě existence smlouvy mezi oběma stranami doporučuji si odpovědnost obou subjektů velmi precizně vydefinovat.

 

Aplikuje se GDPR na zaměstnance dané firmy?

Povinnosti GDPR se vztahují na organizace, ale povinnosti ochrany osobních údajů samozřejmě přecházejí i na zaměstnance, kteří s nimi pracují.

 

Vyplývá z tohoto tedy vlastní vyšší odpovědnost správce nebo zpracovatele, aby sám implementoval požadavky GDPR?

Samozřejmě, pokud správce či zpracovatel mají zaměstnance, a tudíž zpracovávají jejich osobní údaje, tak se musí řídit povinnostmi vyplývajícími z GDPR. Taková společnost může být ve dvojí roli, pro svoje klienty může být v roli zpracovatele, zatímco pro svoje zaměstnance v roli správce.

 

Pokud správu GDPR bude provádět externí firma, kdo bude penalizován při úniku citlivých dat? Je stále zodpovědná firma nebo se to dá smluvně přenést na dodavatele?

Povinnost ochrany osobních údajů se dle GDPR vztahuje jak na správce, tak i zpracovatele (externí organizaci, která data zpracovává). Obě entity jsou tedy odpovědné za jejich ochranu, jelikož tato data zpracovávají – i v případě, že správce pouze data posbírá a pošle dodavateli.

 

V dostupných informacích o GDPR jsem se dočetl, že bude také zapotřebí upravit Privacy policy. Je někde možné nalézt informace ohledně toho, jak by měl souhlas se zpracováním údajů vypadat? Jedná se mi hlavně o to, zdali to bude možné řešit podobně jako v případě zpracovaní cookies, pomoci malého banneru s odkazem na celé Privacy policy?

Privacy policy je jedním z nejdůležitějších dokumentů, který musí mít každá společnost pracující s osobními údaji osob. Zde doporučujeme kontaktovat právníky a přípravu této směrnice rozhodně svěřit do jejich rukou.

 

Také jsem se dočetl, že v případě, že návštěvník neodsouhlasí sběr osobních údajů, měl by mu být přístup na web kompletně odepřen? Je to pravda?

Jedním z nových principů GDPR je udělení jednoznačného a ničím nepodmíněného souhlasu subjektem údajů. Pokud ke zpracování osobních údajů je takový souhlas vyžadován, tak nemůže být jeho neudělení důvodem k neposkytnutí služby, pokud to samotná služba nevyžaduje. Konkrétní příklad u e-shopu: pokud poskytnu jejímu provozovateli osobní údaje nezbytné k zakoupení výrobku, tak neudělení souhlasu k zasílaní marketingových mailů nemůže být důvodem odmítnutí samotného zakoupení produktu.

 

Mohou zákaznici zakázat sběr konkrétních osobních informací? Například nepřeji si abyste o mě ukládali telefonní čísla nebo IP adresu?

V tomto případě záleží na zákonném důvodu zpracování osobních údajů. Pokud k němu dochází bez souhlasu osoby, např. ve veřejném zájmu, tak takový zákaz nelze explicitně udělit, nicméně uplatněním práva na přístup může osoba vznést námitku a dotaz, proč je konkrétní osobní údaj zpracováván. Pokud ke zpracování osobních údajů dochází na základě uděleného souhlasu, tak potom sama osoba rozhoduje, jaké její osobní údaje mohou být zpracovány.

 

Prosím o technické, kvantifikované vysvětlení následujících pojmů: vhodná opatření na ochranu práv a svobod, vhodná technická a organizační opatření, nezbytné záruky, dostatečné záruky, vysoké riziko pro práva a svobody fyzických osob. Jak jednoznačně rozhodnout, co tato slova znamenají nebo kdy jsou tyto požadavky splněny? Jaká je předepsaná či schválená metodika pro „Posouzení vlivu na ochranu osobních údajů“?

Tyto formulace jsou popsané v regulaci takhle obecně, protože jsou specifické pro každé zpracování osobních údajů. Proto je korektní postup pro každou organizaci provést v první řadě analýzu rizik, které se vztahují na konkrétní zpracování osobních údajů v rámci organizace a na základě jejich výsledků implementovat taková opatření, která budou adekvátní k rozsahu a dalším specifikům zpracování.

 

Je osobní údaj i služební telefon a služební e-mailová adresa a služební IP adresa zákazníka právnické osoby?

Ano, pokud je z nich možné přesně identifikovat konkrétní fyzickou osobu.

 

Může mít společnost zasmluvněného více než jednoho pověřence pro ochranu osobních údajů?

Výkon funkce pověřence je týmovou činností, nicméně společnost je povinna uvést kontaktní údaje vždy na jednu osobu vykonávající funkci pověřence, která bude hlavní kontaktní osobou např. pro dozorový úřad.

 

Pokud splňujeme ISO 27001 a tyto postupy vesměs již máme – je to postačující?

V první řadě je nutno přezkoumat rozsah ISMS, jestli se skutečně vztahuje na všechny zpracování osobních údajů v rámci organizace. V rámci ISO 27001 je důležitým bodem také shoda se zákony – do této oblasti je také nutno zařadit GDPR. V neposlední řadě, GDPR se nevztahuje jenom na bezpečnost osobních dat, ale také na další oblasti (práva subjektů údajů, přenos osobních dat do zahraničí atd.) – doporučujeme prověřit, že jsou nastaveny procesy správně i pro tyto oblasti zpracování.

 

Jakou formou by měl být jmenován DPO? Stačí zápis z jednání statutárního orgánu společnosti, nebo je třeba nějaký „jmenovací dekret“? 

Domníváme se, že těch forem uvedení pověřence do funkce může být vícero, např. uzavřením pracovní smlouvy s osobou, která bude tuto funkci vykonávat jako zaměstnanec, uzavřením smlouvy o poskytování služeb pověřence v případě externí služby, jmenovacím dekretem např. u státních institucí.

 

Jak Safetica DLP splňuje GDPR, když obsahuje spousty citlivých údajů?

Safetica je pouze nástrojem (systémem), který sbírá a zpracovává osobní údaje. Bezpečnost samotného systému je podpořena šifrováním jak samostatných komponent Safetica, tak komunikace a uložení osobních dat (logů). Jak již ale bylo zmíněno, GDPR klade také další organizační a personální požadavky, které jdou nad rámec softwarového řešení – pro tyto specifika dodáváme doporučení, jaké kroky přijmout pro používání našich produktů v mezích zákona (resp. GDPR).

 

Funguje Safetica i na MAC OS?

Zatím pouze na Windows, ale brzy plánujeme rozšířit podporu také na Mac OS. Máme také řešení na mobily pro Android, iOS and Windows Phone.

 

Stavím e-shop/aplikaci na míru – hostovanou u třetí strany (webhosting). Kdo je tedy DPO? Já, hosting, nebo zadavatel práce?

DPO je samostatná entita, odpovědná za zpracování osobních údajů v organizaci. Více informací naleznete zde a na UOOU.

 

Jak je to v případě kamerového systému ve městě? Podléhá také požadavkům GDPR?

Ano, kamerové systémy také zpracovávají osobní údaje (kamerový záznam identifikuje činnost fyzické osoby), takže budou spadat pod požadavky GDPR. Samozřejmě získání souhlasu osob není v těchto případech fyzicky možné, proto je důležité identifikovat právní základ pro zpracování kamerového záznamu a postupovat transparentně k soukromí občanů (zejména vhodným označením monitorované oblasti). Další požadavky GDPR samozřejmě platí.

 

Pokud požádám správce nebo zpracovatele o podání informace, jak je s mými údaji pracováno, nejedná se pak o porušení bezpečnosti v rámci infrastruktury správce nebo zpracovatele, protože mi musí oznámit, že mé údaje eviduje v tom a tom systému a šifruje je tak a tak? Jak si mohu ověřit, že mi správce a zpracovatel nepodávají klamné informace?

Správce nebo zpracovatel je povinen Vám sdělit jaké osobní údaje o Vás zpracovává a jaký je účel takového zpracování. Rozhodně mu nejste jako společnost povinni sdělovat údaje o vašem technickém zabezpečení, datové architektuře, způsobu šifrování atd. Vaše právo na obchodní tajemství nebo právo jiných osob není GDPR dotčeno.

 

Kam až daleko do historie backupu a archivu půjde plnění požadavku na anonymizaci?

Předpokládáme, že anonymizací myslíte právo na výmaz osobních údajů. V případě, že po Vás archivaci nepožaduje samostatný zákon, měli byste osobní údaje smazat ze všech paměťových záznamů včetně archivů.

 

Pokud evidujeme údaje a ukládáme je v cloudových službách od Google (služba G Suite – dříve Google Apps, a podobný problém asi bude i u Office 365 u Microsoftu), jsou zde nástroje pro ochranu dat a jdou nastavit bezpečnostní pravidla. Ale kde je povinnost zabezpečit to – na nás, nebo na dodavatelské firmě Google, Microsoft?

Poskytovatelé těchto služeb musí samozřejmě zajistit jejich soulad s pravidly GDPR. Jak společnost Google, tak i Microsoft nedávno uveřejnili na svých webových stránkách, že na uvedení do souladu jejich služeb s GDPR intenzivně pracují. Nicméně je důležité zmínit, že používáním těchto služeb se automaticky nezbavujete vlastní zodpovědnosti za dodržování pravidel nařízení, GDPR má dopad na celou vaši organizaci, informační systémy, a to vše za vás např. přesun všech osobních údajů do G-suite nevyřeší.

 

Vztahuje se GDPR i na kontakty, které byly získány před zahájením platnosti? Co s údaji, které jsme získali před GDPR? Musíme zákazníky žádat o souhlas znovu tak aby to splňovalo nové podmínky?

Ano, vztahuje, doporučuji zrevidovat všechny již udělené souhlasy, aby splňovaly požadavky GDPR.

 

Je bráno jako osobní údaj i evidence o docházce zaměstnance?

Určitě ano. Zaměstnanec je fyzická osoba a pokud je záznam o docházce jednoznačně spojen s identifikátorem zaměstnance, jedná se o osobní údaj.

 

Pokud se jedná o personální výběrové řízení – může být nadále vymezeno, že doklady poskytnuté pro účely výběrového řízení se nevrací?

Pravidla výběrového řízení si každá společnost určuje sama, nicméně je povinna dodržet povinnosti vyplývající z GDPR při nakládání a zpracování osobních údajů získaných v rámci těchto výběrových řízení. Nevím, jaké doklady jsou předmětem této otázky, nicméně je společnost povinna je chránit před zneužitím, pokud obsahují osobní údaje fyzických osob.

 

Webové aplikace budou muset kontrolovat věk uživatelů (opravdu to ověřovat)? Technicky je to totiž velmi komplikované (přeposílání občanských průkazů?), až nemožné. Pokud by to byla povinnost, většina e-shopů zanikne.

Aktuálně čekáme na vyjádření Úřadu na ochranu osobních údajů.

 

Ke stávajícím datům musím získat souhlas zpětně?

Pokud je k danému zpracování osobních údajů vyžadován souhlas, tak musí být udělen v souladu s pravidly GDPR, tj. doporučuji znovu zrevidovat dosud udělené souhlasy, aby byly jednoznačné a určené ke konkrétnímu účelu zpracování. Pokud ke zpracování osobních údajů dochází z jiných zákonem stanovených důvodů, např. ve veřejném zájmu, tak zde souhlas samozřejmě vyžadován není. Doporučuji, abyste si provedli interní audit právě právních titulů, na základě kterých dochází ve vaší společnosti ke zpracování osobních údajů.

 

Byla zmíněná přenositelnost dat – je určený strukturovaný formát/standard těchto dat?

Není, doporučuji sledovat k této problematice veřejné diskuse jak na stránkách dozorových orgánů, tak i na webu UOOU.

 

Zajímá mě otázka PR agentur. Týká se jich rovněž GDPR, pokud mají medialisty (seznamy novinářů s jejich kontakty) a zpracovávají osobní údaje pro svou činnost? A jak si zajistím souhlas užití e-mailu novináře, pokud je veřejně dostupné třeba na webu?

Pokud se jedná o veřejně dostupný údaj, který se osoba dobrovolně rozhodla uvést na svém webu za účelem ji tímto způsobem kontaktovat, tak ji nemusíte žádat o souhlas. Pokud však hodláte použít tento údaj i pro jiné účely (např. přímý marketing vašich služeb), tak pak doporučuji si od novinářů nebo jakékoliv jiné osoby souhlas k těmto aktivitám vyžádat.

 

Modelový příklad – jsem zubní lékař, zpracovávám osobní a lékařské záznamy pacientů. Dle zákona musím 10 let tuto dokumentaci archivovat – buď písemně nebo elektronicky s el. podpisem. Právo na zapomnění se mě zde asi netýká. Je pro zubního lékaře lepší mít tato data ve svém software na svém PC v ordinaci, nebo je lepší přejít na online řešení a data dát do cloudu. A de facto tuto tíhu GDPR předat na poskytovatele cloud a správce dat – výrobce software?

Ano, právo na zapomnění se netýká případů, kdy po Vás archivaci požaduje samostatný zákon. K druhé části Vašeho dotazu, prakticky můžete zvolit kteroukoliv variantu – uložení lokálně nebo použití cloudového poskytovatele. V každém případě jste považován vy za správce a poskytovatel maximálně za poskytovatele – tíha GDPR z Vás tedy „nespadne“, pořád jste vy tou povinnou entitou za ochranu osobních údajů.

 

Existuje už nějaká mnemotechnická pomůcka pro určení, která firma/obor činnosti musí mít pověřence povinně? Věřím, že se mohou nastat nejasné případy, my budeme zastávat názor že ne, a úřad za čas se vysloví, že ano.

Bližší informace k výkonu DPO naleznete zde a na UOOU.

 

Dá se někde získat informace o tom, jaké podklady budou vyžadovány pro audit (příští rok), zda organizace nařízení GDPR splňuje?

Dokážeme si představit, že se časem soulad s pravidly GDPR stane další povinnou auditovanou položkou ve společnostech, nicméně v současné chvíli, kdy ještě není nařízení účinné, tyto informace nejsou k dispozici.

 

Chápu správně, že odpovědnost za získání souhlasu se zpracováním údajů má Správce nikoliv Zpracovatel. Náš klient provozuje službu CRM systému, ve kterém si jeho zákazníci mohou nastavovat i další vlastní pole a sledovat vlastní údaje, které náš klient neovlivní a pravděpodobně se může jednat i o osobní údaje dle nových definic (emaily, telefonní čísla apod.)?

Ano, tato povinnost leží primárně na správcích, aby si takové souhlasy od klientů zajistili.


Může mi někdo dát souhlas se zpracováním údajů po telefonu?

Může, ale takto udělený souhlasmusí být zaznamenán a doložitelný pro případ kontroly ze strany dozorového orgánu a musí splňovat všechny požadavky na správné udělení souhlasu dle GDPR.

 

Výjimku z povinnosti vést záznamy o činnostech zpracování mají organizace s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje. Započítávají se pro potřeby posouzení povinnosti vést záznamy mezi zaměstnance i pracovníci na DPČ a DPP?

Dle našeho názoru ano, protože jsou také považováni z povahy uzavřených smluv za zaměstnance.

 

Máte další dotazy ke GDPR?  Kontaktujte nás a zjistěte, jak Safetica může pomoci vaší firmě se zabezpečením citlivých osobních dat v souladu s GDPR.

 


 

 

Mgr. Matej Zachar

Bezpečnostní expert Safetica Technologies. Odborník na oblast kybernetické bezpečnosti, mezinárodních standardů ochrany dat a realizaci bezpečnostních opatření.

www.safetica.cz

24 komentářů

  1. Rostislav Málek Odpovědět

    Dobrý den.

    Prosím, nemám komentář ale dotaz.
    Jsme automotive firma. Ve svých IS zpracováváme/udržujeme data jednak o svých zaměstnancích, jednak o firmách a některých jejich zaměstnancích prakticky z celého světa. Naše údaje jsou uloženy jak v IS SAP v USA, tak v Microsoft cloud „někde ve světě“. Můžete mi naznačit naše povinnosti, jak máme postupovat v případě uložení dat mimo naše lokální databáze?

    Děkuji.

    • Matej Zachar Odpovědět

      Dobrý deň,

      Je to celkom komplexná otázka 🙂 Každopádne v praxi sa na Vás budú aplikovať požiadavky GDPR, nakoľko spracovávate osobné údaje o zamestnancoch. Z nich ako najdôležitejšie pre Váš prípad by som vypichol podmienky pre prenos osobných údajov mimo EÚ, ktoré môžu byť relevantné, pokiaľ Váš poskytovateľ nemá dáta umiestnené na serveroch v rámci EÚ. Toto by bola jedna z prvých podmienok, ktoré by sme doporučovali si s poskytovateľom overiť.

      Rozhodne by som však vo Vašom prípade doporučoval začať analýzou aktuálneho stavu spracovania osobných údajov, ktorý zmapuje práve použitie osobných údajov vo Vašej organizácii a pripraví Vás na všetky organizačné, technické a procesné opatrenia, ktoré budete musieť zrealizovať.

      Viac informácií nájdete na našich stránkach https://www.safetica.cz/gdpr

      Matej Zachar

  2. Petr Zmek Odpovědět

    Dobrý den,
    náhodou jsem se dostal k problematice o GDPR a nikde se mi nedaří dohledat nějaké konkrétní důsledky, vše je psáno tak nějak „meta“ jazykem. Máme malý rodinný penzion, kde máme zákonnou nahlašovací povinnost hostů a jejich osobních údajů vůči obci / cizinecké policii, zároveň však budeme muset tato data pseudonymizovat. Nemá to protichůdnou logiku?
    Nikde se mi nedaří problematiku ubytovacích zařízení a gdpr dohledat, mohli byste k tomu prosím vydat nějaký článek?

    S pozdravem
    Petr Zmek

    • Matej Zachar Odpovědět

      Dobrý deň,

      Pseudonymizácia nie je povinná pre každý spôsob spracovania osobných údajov, výčet v čl. 32 nie je vyčerpávajúci a skôr obsahuje oblasti (doporučenia), na ktoré by sa mala organizácia zamerať v rámci zabezpečenia osobných údajov. Samozrejme pokiaľ po Vás požaduje zber samostatný zákon (ako v prípade nahlasovacej povinnosti hostí), je to legálny základ na spracovanie osobných údajov.

      Ďakujeme za podnet ohľadne ubytovacích zariadení, rozhodne zvážime zaradenie podobného obsahu do nášho plánu.

      Matej Zachar

  3. Alena Puldová Odpovědět

    Dobrý den, článek 9 GDPR hovoří o zpracování zvláštních kategorií osobních údajů. Sem spadá i zpracování informací o zdravotním stavu subjektu osobních údajů. Prvním odstavcem toto zpracování GDPR zakazuje a pak vymezuje „výjimky“ takového zpracování. Můžete mi, prosím, vysvětlit, jak mohou postupovat komerční pojišťovny při ukládání a zpracování informací o zdravotním stavu svých klientů pro potřeby některých druhů pojištění. Napadá mne jedině postup podle písmene a) udělení výslovného souhlasu. Asi je to jediná možnost, že?
    Děkuji Alena Puldová

    • Jiří Císek Odpovědět

      Dobrý den,

      Jednou z možností je přirozeně souhlas, další možností pak dle našeho názoru také Určení, výkon nebo obhajoba právních nároků a výkon soudních pravomocí podle čl. 9 odst. 2 písm. f) GDPR. Komentář k GDPR příkladem uvádí „shromažďování a ukládání údajů o zdravotním stavu pojišťovnou při řešení pojistné události (např. z povinného ručení při dopravní nehodě se zraněním) pro případ následného soudního sporu s klientem o výši pojistného plnění.“ (NULÍČEK, Michal. GDPR / Obecné nařízení o ochraně osobních údajů. Praha: Wolters Kluwer, 2017, s. 166). Tento závěr bude možné podle našeho názoru aplikovat taktéž na situace před vznikem pojistné smlouvy, protože pojišťovny nebudou jinak schopny vyčíslit pojistné. Se shromažďováním různých druhů osobních údajů také počítá § 6 odst. 6 zákona 277/2009 Sb., o pojišťovnictví s odkazem na nyní účinný zákon osobních údajů. Na něj též naráží komentář k GDPR s konstatováním, že se GDPR nijak podstatně neliší od původní úpravy. Vždy však bude nezbytné před zpracováním vyhodnotit, zda rozsah a účel zpracování nepřekračuje zákonné meze.

      S pozdravem,
      Mgr. Jiří Císek
      AK Sedláková Legal

  4. Silva Novotná Odpovědět

    Dobrý den,
    všude jsou velmi obecné informace a tak budu konkrétní: Jako OSVČ v oblasti online služeb sbírám od svých zákazníků e-mailové adresy (systém ještě automaticky ukládá IP adresu), na které jim pak posílám různá sdělení a nabídky. K rozesílání hromadné pošty používám specializovaný cloudový software, kontaktů mám asi 60.000. Bude mi v tom případě stačit upravit obchodní podmínky a znění souhlasu se zpracováním nebo budou nějaké další nároky na zabezpečení těch adres?
    Prosím vás o pokud možno konkrétní odpověď. Děkuji SN

    • Matej Zachar Odpovědět

      Dobrý deň,

      Áno, určite – na Vaše spracovanie osobných údajov sa vzťahujú taktiež ďalšie požiadavky GDPR. Doporučujeme prejsť si všetky požiadavky nariadenia a spraviť si rozdielovú analýzu, či ste s nimi v súlade. Pre Vaše spracovanie si viem predstaviť veľmi rýchly prehľad, kde na väčšinu požiadaviek budete mať jednoduchú odpoveď (napr. príprava na právo na výmaz môže pre Vás predstavovať len prípravu na odmazanie riadku z excelu a prípadných záloh).

      Z najvýznamnejších by som uviedol:
      – analyzovať, či zbierate dáta len v rozsahu, ktorý je bezprostredne nutný pre Váš účel – IP adresa môže byť v tomto smere považovanú za redundantnú
      – zaručiť bezpečnosť týchto údajov, tzn. mať ich uložené na bezpečnom mieste (ideálne zašifrované) a riadiť prístup k nim
      – byť pripravený na zákazníkov a ich práva – napríklad na požiadavky o výmaz osobných údajov alebo export v univerzálnej strojovo spracovateľnej podobe (viď právo na přenositelnost)
      – dáta, ktoré už viac nepotrebujete, z databáze pravidelne odmazávať
      – mať samozrejme zdokumentované celé spracovanie (všetko, čo požaduje GDPR)

      Matej Zachar

  5. Jakub Šafránek Odpovědět

    Dobrý den,

    jestli to dobře chápu, firma (správce) je zodpovědný za uložení osobních údajů. Jak je to s emaily? Klasický B2B email obsahuje, jméno, tel. číslo, logicky emailovou adresu, tyto emaily logicky mohou být přeposílané dalším osobám. Je třeba podniknout nějaká opatření ohledně jejich správy?

    • Jiří Císek Odpovědět

      Dobrý den,

      Máte pravdu, na e-maily se GDPR taktéž vztahuje, jestliže obsahují osobní údaje. Předesílám, že za osobní údaje se považují pouze údaje o fyzických osobách. Předně je třeba e-maily zálohovat, například kvůli pozdějšímu vymazání (zejm. s ohledem na čl. 17 – právo na výmaz). Je vhodné přijmout nejméně následující opatření:

      a) omezení zasílání určitých souborů emailem (například nezabezpečených souborů, obsahujících zvláštní kategorie údajů), mimo jiné například pomocí vhodného DLP řešení;

      b) omezení používání freemailových účtů;

      c) mít v předpise zvolený způsob předávání/zasílání osobních údajů;

      d) omezení přístupů k určitým typům údajů (nebo souborů obsahujících údaje) zaměstnancům, kteří je nepotřebují;

      e) šifrování e-mailů;

      f) omezení používání korporátních klientů na soukromých mobilních zařízeních.

      Podle povahy, rozsahu a účelu Vámi zpracovávaných osobních údajů budete v organizaci muset přijmout všechny nebo jen některá opatření a doporučujeme proto věc vyhodnotit pro Váš konkrétní případ s GDPR auditorem.

      S pozdravem,
      Mgr. Jiří Císek
      AK Sedláková Legal

  6. Ing. Kamil Krejčí Odpovědět

    Dobrý den,

    Jsem fyzická osoba, nemám žádné zaměstnance. Zprostředkovávám lovecké pobyty u nás a na Slovensku pro zahraniční klientelu. Za účelem přípravy podkladů pro vyřízení českých nebo slovenských loveckých lístků pro cizince mi zahraniční hosté – fyzické osoby – předávají E-mailem scany svých národních loveckých lístků, Evropských zbrojních průkazů a dokladů totožnosti (ID/Pas). Jedná se o desítky osob. Nikde nevedu jejich ucelenou databázi nebo evidenci, podklady včetně scanů předávám E-mailem zástupci pojišťovny jako podklad pro zpracování pojistných smluv (povinné pojištění) a včetně dokladu o pojištění, který rovněž nese osobní údaje hostů, pak příslušnému orgánu státní správy za účelem vyřízení loveckého lístku pro cizince. Maximálně zpracovávám osobní údaje klientů vypsané z dokladu do .xls souboru při konkrétním dodání podkladů pro pojišťění/lovecký lístek (při větším počtu osob současně), pro lepší orientaci příslušných pracovníků, kteří se občas nemohou vyznat v cizojazyčných dokumentech… Vše je pouze v mém osobním počítači, v historii mé mailové komunikace (kterou zálohuje provozovatel mého mailového serveru). Vztahuje se na mne nějakým způsobem GDPR? Co musím udělat, nesmím dělat?

    Děkuji za srozumitelnou odpověď

    Ing. Kamil Krejčí

    • Matej Zachar Odpovědět

      Dobrý deň,

      Ďakujeme za otázku. Aj Vaše spracovanie (napriek tomu, že tieto dáta nikam inam neukladáte) je považované za spracovanie osobných údajov, ktoré spadá do GDPR. V tomto prípade to totiž nebude spracovanie, ktoré fyzická osoba robí len pre vlastnú potrebu, čo by vás postavilo do výnimky podľa článku 2 odst. 2 c)

      Čo musíte urobiť je trochu mimo rozsah tejto odpovede :), každopádne v krátkosti to najdôležitejšie:
      – preskúmajte, aké všetky osobné údaje spracovávate a minimalizujte spracovanie (nevyžadujte žiadne informácie, ktoré bezprostredne nepotrebujete)
      – identifikujte právny základ, na ktorom spracovávate, určite si účely spracovania a spracovanie si zdokumentujte
      – s organizáciami, ktorým osobné údaje posielate, by ste mali mať zostavené spracovateľské zmluvy (napr. s poisťovňou), parametre zmluvy udáva čl. 28 odst. 3.
      – mali by ste zaručiť bezpečnosť dát – pre Vás osobne to znamená, že by ste mali mať minimálne šifrované médiá, na ktorých správy uchovávate (notebook, externé disky, …), používali bezpečné kanály na prenos dát (napríklad šifrovaný email, šifrovaná príloha emailu)
      – mali by ste si určiť retenčnú dobu a tieto informácie mazať, akonáhle ich už nepotrebujete
      – je dôležité pamätať si taktiež na práva subjektov údajov, ako napríklad upraviť neaktuálne informácie alebo ich poskytnúť majiteľom loveckých lístkov na vyžiadanie

      S pozdravom,

      Matej Zachar

  7. Jan Kresta Odpovědět

    Dobrý den,
    rád bych znal odpověď na jeden z praktických dopadů GDPR. Je osobním údajem i např. diplomová práce, firemní report, apod.?
    Tento typ dokumentů přiřirozeně obsahují jméno, případně další identifikátory autora.
    Předem děkuji za odpověď.
    Jan Kresta

    • Matej Zachar Odpovědět

      Dobrý deň,

      Pokiaľ je z dokumentu možné autora jednoznačne identifikovať, celý dokument alebo jeho časti (ako napríklad podpis) sa považujú za osobné údaje.

      Na takéto spracovanie ale z veľkej pravdepodobnosti nebudete potrebovať súhlas a budú sa na Vás vzťahovať len vybrané časti GDPR – pre konkrétnu predstavu odporúčame spraviť si GAP analýzu, ktorá Vám prezradí, čo presne budete potrebovať v rámci firmy zmeniť.

      S pozdravom a prianím pekného dňa,
      Matej Zachar

  8. Ing. Kamil Krejčí Odpovědět

    Dobrý den,

    děkuji za téměř vyčerpávající odpověď ohledně mých loveckých hostů. Měl bych snad jen jediný doplňující dotaz: Zpracovatelská smlouva s pojišťovnou je jasná, avšak druhým subjektem, kterému osobní údaje klientů je orgán Státní správy (Referát Myslivosti na pověřeném městě). S tím přece nebudu mít zpracovatelskou smlouvu, ale nějaký jejich pokyn, jaké dokumenty a údaje jim mám předávat, když jde o státní orgán – požadavky dané zákonně, případně interními prováděcími předpisy…. Jak se to v tom případě řeší – když jde o orgán státní zprávy? Smlouvou asi ne…

    Ještě jednou moc děkuji,

    Ing. Kamil Krejčí

    • Matej Zachar Odpovědět

      Dobrý deň pán Krejčí,

      V tomto prípade odporúčame sa obrátiť s touto otázkou priamo na relevantnú organizáciu (referát myslivosti). Bude to určite závisieť od toho na akom základe tieto údaje potrebujú spracovávať. V každom prípade podľa GDPR môže ísť o zmluvu alebo iný podobný právny akt, takže v tomto prípade bude záležať od toho, ako máte nastavené vzťahy medzi sebou aktuálne.

      S pozdravom,
      Matej Zachar

  9. Jiří Dobeš Odpovědět

    Dobrý den,

    chtěl bych vykonávat činnost DPO pro firmy ve svém okolí a pro některé obecní úřady se kterými spolupracuji.
    Jaké je pro tuto činnost potřeba mít oprávnění nebo certifikát?
    Co mi doporučujete absolvovat za školení nebo kurz, abych mohl tuto činnost vykonávat?
    Je potřeba vlastnit živnostenské oprávnění pro tuto činnost a jaké?
    Předem vám děkuji za odpověď.
    Ing. Jiří Dobeš

  10. Matej Zachar Odpovědět

    Dobrý deň,

    Na činnosť DPO oprávnenie ani certifikát nepotrebujete. Keďže činnosť DPO obnáša v sebe právne základy, znalosť IT systémov a bezpečnosti informácií, nemôžem povedať že by existoval jediný kurz, ktorý by Vám dal všetky nutné predpoklady k výkonu tejto funkcie.

    Na druhej strane, ak tieto základy už máte, môžete zvoliť napríklad jeden zo seminárov alebo kurzov, ktoré okrem iného usporiadame aj my v spolupráci s AK Sedláková Legal.

    Ak máte záujem, prosím kontaktujte ma prostredníctvom nášho webu https://www.safetica.cz/kontaktujte-nas

    S pozdravom,
    Matej Zachar

  11. Jalovecký Rudolf Odpovědět

    Dobrý den,
    ochranu osobních údajů samozřejmě docela chápu, co my ovšem nyní již delší dobu uniká jsou zcela veřejné údaje o OSVČ, kde na patřičných webech najdete kompletní adresu, IČ, DIČ=rodné číslo, čísla účtů plátců DPH, a další. Takže v současnosti vlastně nic není chráněno. Ale jakákýliv spolek už i teď musí zajist ochranu údajů jakmile má jméno, rodné číslo a bydliště. Bude i sem – tedy na veřejně dostupné seznamy směřována nějaká změna či úprava?

    • Matej Zachar Odpovědět

      Dobrý deň pán Jalovecký,

      V našej kompetencii nie je úplne posúdiť správnosť použitia rodného čísla ako DIČ a sídla, ktoré sa v mnohých prípadoch zhoduje s trvalým bydliskom alebo kontaktnou adresou konkrétneho živnostníka. V tomto smere odporúčame obrátiť sa na úrad na ochranu osobných údajov https://www.uoou.cz/ .

      Vo všeobecnosti podľa GDPR platí to, že ani zverejnené informácie by ste nemali používať k iným účelom, ako ten za ktorých boli zverejnené. Ak je teda primárnym účelom kontaktovanie živnostníka za zámerom využitia jeho služieb, nemali by ste tieto údaje použiť napr. na priamy marketing.

      S pozdravom,
      Matej Zachar

  12. Michal Žádník Odpovědět

    Dobrý den.
    Každý má ve svém mobilu spoustu jmen s čísly a e-maily …. jsou to osobní údaje ke kterým nemá souhlas. Může jít o firemní mobil nebo osobní mobil, popř. firemní mobil používaný i k osobním účelům.
    Stejné to je s adresáři v Outlooku apod.
    Mohli by jste mi vysvětlit jak je to v tomto případě?
    Děkuji.

    • Matej Zachar Odpovědět

      Dobrý deň,

      GDPR sa nevzťahuje na spracovanie osobných údajov, ktoré robíte súkromne a pre svoju vlastnú potrebu – takže ani v prípade osobného telefónu.

      U firemného zariadenia je to trochu inak. Súhlas na spracovanie osobných údajov potrebujete len v prípade, že nemáte nejaký iný právny základ na ich spracovanie. Pokiaľ sa jedná o kontakty, ktoré ste do adresára dostali spôsobom, že Vám daný človek dal vizitku alebo Vám ich inak oznámil, bolo to za jasným účelom ustanovenia vzájomnej komunikácie a na také spracovanie pochopiteľne súhlas nepotrebujete.

      S pozdravom,
      Matej Zachar

  13. Pavel Ruber Odpovědět

    K poslednímu dotazu jak s firemním mobilním telefonem. Jak se díváte na problém ztráty (krádeže) takového mobilu? Je to pak terminologií GDPR incident se vším všudy? Musí se hlásit dozorovému orgánu a všem jejichž číslo bylo v mobilu uloženo?
    Děkuji
    Pavel Ruber

    • Matej Zachar Odpovědět

      Dobrý deň,

      Incident to bude určite. Podľa GDPR by ste ale mali hlásiť incidenty úradu v prípade, že predstavujú zvýšené riziko pre subjekty údajov. V tomto konkrétnom prípade bude záležať, čo za informácie sa v telefóne nachádzajú a v akom rozsahu – podľa toho by ste incident buď:

      a) nenahlásili,
      b) nahlásili dozorovému úradu, alebo
      c) nahlásili dozorovému úradu a subjektom údajov.

      S pozdravom,
      Matej Zachar

Vložit komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *