46 otázek a odpovědí k GDPR

Nedávno jsme organizovali webinář na novou EU legislativu GDPR (General Data Protection Regulation) – obecné nařízení o ochraně osobních údajů, které se týká každé firmy i státní organizace v ČR i SR. Sešlo se spoustu dotazů a zde jsou odpovědi:

Je možné někde získat plný seznam všech položek, které se považují za osobní údaje?

V GDPR je tato definice napsaná obecně. Konkrétní příklady a nejčastější typy osobních údajů v organizacích uvádíme v našich prezentacích, bohužel však z důvodu široké působnosti zákona, resp. nařízení není jednoduché vyjmenovat všechny možné údaje, které jsou považovány za osobní data. Jedná se o jakýkoliv údaj, týkající se určené nebo určitelné fyzické osoby.

Pokud eviduji ve webové aplikaci jméno, příjmení a e-mail člověka, jde o osobní údaje, které pod tento zákon spadají? A musí k nim takto přistupovat jak já, tak i provozovatel této webové aplikace?

Ano, pokud se jedná o kontaktní údaje fyzické osoby, půjde o osobní údaje. Tato data spadají do působnosti zákona, resp. regulace. Musíte k nim dle toho přistupovat jak vy, tak provozovatel aplikace.

Jak je to s údaji poskytnutými policii (DNA, otisky prstů atd..) vzhledem k právům?

Pokud se jedná o údaje poskytované z důvodu, že jejich zpracování vyžaduje samostatný zákon (jako v případě policejního vyšetřování), pro jejich sběr není vyžadován explicitní souhlas subjektu údajů. Samozřejmě se ale na ně vztahují další požadavky GDPR, mimo jiné také povinnost je zabezpečit před zneužitím ze strany policie.

Právo na výmaz je absolutní? Pokud zákazník, kterému mám doručit objednávku požádá o výmaz, tak já musím tyto údaje smazat? Jak se řeší následky tohoto výmazu?

Právo na výmaz není absolutním právem. Je možné ho uplatnit pouze za předpokladu, že nejsou osobní údaje již potřebné pro účel, pro který byly shromažďovány nebo zpracovávány. Dalším důvodem, kdy nemůže dojít k výmazu osobních údajů, je existence jiné právní povinnosti či zákona, který výmazu brání, např. zákon o archivaci a povinnost organizací archivovat dokumenty obsahující osobní údaje po určitou, zákonem stanovenou dobu.

Jakým způsobem je možné ověřit, kde všude jsou má data v dané organizaci uloženy? Na jedné straně vidím požadavek, na druhé straně se jedná o tvrzení dané organizace, kde všude má data uloženy.

Pro ověření musí proběhnout analýza ze strany Vaší organizace, abyste zjistili, kde všude se s osobními daty pracuje. Jinak nebudete schopni naplnit požadavky zákona, resp. GDPR. Pokud totiž dojde k incidentu nebo porušení zákona, odpovědnost spadá na organizaci, která data zpracovávala.

Pokud si ve svém CRM vedu e-mailovou adresu a mobil na zaměstnance u zákazníků, znamená to, že si najednou budu muset žádat explicitní souhlas, že si údaje mohu uložit?

Záleží, jestli jste již o souhlas žádali v době sběru dat a také od účelů takového sběru. Pokud je zpracování nevyhnutné pro agendu spojenou s poskytnutím služby nebo produktu (např. rozhodně potřebujete adresu pro to, abyste mohli zákazníkovi produkt poslat. Ve Vašem případě je na pováženou, jestli skutečně potřebujete kontaktní údaje od každého zákazníka – záleží na důvodech), osobní data v minimálním rozsahu můžete zpracovat i bez souhlasu subjektů. Samozřejmě na Vás ale spadají další povinnosti zákona, resp. nařízení.

Bylo zmíněno, že souhlas rodičů se vztahuje na děti od 16 let. Musí tedy všechny služby evidovat věk uživatelů? Stačí zákazníka/uživatele vyzvat k zadání věku – například na internetu, nebo je třeba to nějak kontrolovat?

Věková hranice pro rodičovský souhlas je dána v rozmezí od 13 do 16 let věku, kdy si každý stát může určit minimální věkovou hranici, kdy je vyžadován rodičovský souhlas. Ano, z toho důvodu je nezbytné ověřit si věk osoby, která uděluje ke zpracování svých osobních údajů souhlas.

 

Webináře na téma GDPR – jak na to? se blíží. Přijďte zjistit, co byste měli vědět o GDPR a na co byste neměli zapomenout při přípravách na tuto novou legislativu.

Chci zjistit, jak na GDPR

 

Právo na přenositelnost dat je bezplatné –  je banka povinna mi tyto údaje předat bezplatně?

Ano, správce je povinen vydat tyto informace bezplatně.

Kdo reguluje/kontroluje textaci „Souhlasu se zpracováním osobních dat“?

Konkrétní znění není regulováno, pro doporučení v této oblasti je možné se obrátit na doporučení EU, resp. poradenské služby právních kanceláří.

Koho se tedy přesně GDPR týká? Konkrétně mi jde třeba o e-shop, který má jen třeba 2 zaměstnance, ale zpracovává údaje stovek zákazníků.

Ano, i e-shop, který zpracovává osobní údaje zákazníků, spadá do účinnosti GDPR. V podstatě jakákoliv organizace, která má alespoň 1 zaměstnance, musí zpracovávat osobní údaje zaměstnanců, takže je musí ze zákona chránit.

Bude se i jmenování pověřence týkat i personálních agentur?

S ohledem na množství a charakter osobních údajů si troufáme tvrdit, že personální agentury budou mít povinnost jmenovat pověřence pro ochranu osobních údajů (DPO).

Z čeho vyplývá „rozsáhlé zpracování“? Co je bráno jako rozsáhlé? Je vydefinováno množství dat?

Tyto termíny nejsou v nařízení jasně definovány, dle výkladových vodítek WP 29 je rozsáhlé definováno pomocí několika faktorů: počet dotčených subjektů údajů, objem dat, doba trvání zpracování, územní rozsah. Jako příklad rozsáhlého zpracování lze uvést například zpracovávání údajů o pacientech v rámci běžné činnosti nemocnice (zpracování údajů o pacientech jednotlivým lékařem se však za rozsáhlé nepovažuje). Rozsáhlým zpracováním bude i zpracování osobních údajů vyhledávačem pro potřeby cílené reklamy či zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky.

Jak často musí být prováděna kontrola outsourcovaným DPO?

Výkon funkce pověřence není časově jakkoliv omezen, výkon kontroly nad správným nakládáním s osobními údaji je soustavnou činností a je jen na samotné organizaci, zda-li si jmenuje interního nebo externího pověřence.

Jakou roli bude mít nadále úřad na ochranu osobních údajů? Bude dále probíhat registrace u úřadu?

Povinnost registrace (oznámení zpracování osobních údajů) s účinností GDPR odpadá. Úřad ale dostane vyšší pravomoci i možnosti výše pokut v případě porušení zákona, resp. regulace.

Kdo je odpovědný při incidentu a kdo bude platit pokutu – správce nebo zpracovatel?

Na tuto otázku rozhodně není jednoznačná odpověď. Velmi bude záležet na tom, zdali k úniku dat došlo na straně správce nebo zpracovatele, v případě existence smlouvy mezi oběma stranami doporučuji si odpovědnost obou subjektů velmi precizně vydefinovat.

Aplikuje se GDPR na zaměstnance dané firmy?

Povinnosti GDPR se vztahují na organizace, ale povinnosti ochrany osobních údajů samozřejmě přecházejí i na zaměstnance, kteří s nimi pracují.

Vyplývá z tohoto tedy vlastní vyšší odpovědnost správce nebo zpracovatele, aby sám implementoval požadavky GDPR?

Samozřejmě, pokud správce či zpracovatel mají zaměstnance, a tudíž zpracovávají jejich osobní údaje, tak se musí řídit povinnostmi vyplývajícími z GDPR. Taková společnost může být ve dvojí roli, pro svoje klienty může být v roli zpracovatele, zatímco pro svoje zaměstnance v roli správce.

Pokud správu GDPR bude provádět externí firma, kdo bude penalizován při úniku citlivých dat? Je stále zodpovědná firma nebo se to dá smluvně přenést na dodavatele?

Povinnost ochrany osobních údajů se dle GDPR vztahuje jak na správce, tak i zpracovatele (externí organizaci, která data zpracovává). Obě entity jsou tedy odpovědné za jejich ochranu, jelikož tato data zpracovávají – i v případě, že správce pouze data posbírá a pošle dodavateli.

V dostupných informacích o GDPR jsem se dočetl, že bude také zapotřebí upravit Privacy policy. Je někde možné nalézt informace ohledně toho, jak by měl souhlas se zpracováním údajů vypadat? Jedná se mi hlavně o to, zdali to bude možné řešit podobně jako v případě zpracovaní cookies, pomoci malého banneru s odkazem na celé Privacy policy?

Privacy policy je jedním z nejdůležitějších dokumentů, který musí mít každá společnost pracující s osobními údaji osob. Zde doporučujeme kontaktovat právníky a přípravu této směrnice rozhodně svěřit do jejich rukou.

Také jsem se dočetl, že v případě, že návštěvník neodsouhlasí sběr osobních údajů, měl by mu být přístup na web kompletně odepřen? Je to pravda?

Jedním z nových principů GDPR je udělení jednoznačného a ničím nepodmíněného souhlasu subjektem údajů. Pokud ke zpracování osobních údajů je takový souhlas vyžadován, tak nemůže být jeho neudělení důvodem k neposkytnutí služby, pokud to samotná služba nevyžaduje. Konkrétní příklad u e-shopu: pokud poskytnu jejímu provozovateli osobní údaje nezbytné k zakoupení výrobku, tak neudělení souhlasu k zasílaní marketingových mailů nemůže být důvodem odmítnutí samotného zakoupení produktu.

Mohou zákaznici zakázat sběr konkrétních osobních informací? Například nepřeji si abyste o mě ukládali telefonní čísla nebo IP adresu?

V tomto případě záleží na zákonném důvodu zpracování osobních údajů. Pokud k němu dochází bez souhlasu osoby, např. ve veřejném zájmu, tak takový zákaz nelze explicitně udělit, nicméně uplatněním práva na přístup může osoba vznést námitku a dotaz, proč je konkrétní osobní údaj zpracováván. Pokud ke zpracování osobních údajů dochází na základě uděleného souhlasu, tak potom sama osoba rozhoduje, jaké její osobní údaje mohou být zpracovány.

Prosím o technické, kvantifikované vysvětlení následujících pojmů: vhodná opatření na ochranu práv a svobod, vhodná technická a organizační opatření, nezbytné záruky, dostatečné záruky, vysoké riziko pro práva a svobody fyzických osob. Jak jednoznačně rozhodnout, co tato slova znamenají nebo kdy jsou tyto požadavky splněny? Jaká je předepsaná či schválená metodika pro „Posouzení vlivu na ochranu osobních údajů“?

Tyto formulace jsou popsané v regulaci takhle obecně, protože jsou specifické pro každé zpracování osobních údajů. Proto je korektní postup pro každou organizaci provést v první řadě analýzu rizik, které se vztahují na konkrétní zpracování osobních údajů v rámci organizace a na základě jejich výsledků implementovat taková opatření, která budou adekvátní k rozsahu a dalším specifikům zpracování.

Je osobní údaj i služební telefon a služební e-mailová adresa a služební IP adresa zákazníka právnické osoby?

Ano, pokud je z nich možné přesně identifikovat konkrétní fyzickou osobu.

Může mít společnost zasmluvněného více než jednoho pověřence pro ochranu osobních údajů?

Výkon funkce pověřence je týmovou činností, nicméně společnost je povinna uvést kontaktní údaje vždy na jednu osobu vykonávající funkci pověřence, která bude hlavní kontaktní osobou např. pro dozorový úřad.

Pokud splňujeme ISO 27001 a tyto postupy vesměs již máme – je to postačující?

V první řadě je nutno přezkoumat rozsah ISMS, jestli se skutečně vztahuje na všechny zpracování osobních údajů v rámci organizace. V rámci ISO 27001 je důležitým bodem také shoda se zákony – do této oblasti je také nutno zařadit GDPR. V neposlední řadě, GDPR se nevztahuje jenom na bezpečnost osobních dat, ale také na další oblasti (práva subjektů údajů, přenos osobních dat do zahraničí atd.) – doporučujeme prověřit, že jsou nastaveny procesy správně i pro tyto oblasti zpracování.

Jakou formou by měl být jmenován DPO? Stačí zápis z jednání statutárního orgánu společnosti, nebo je třeba nějaký „jmenovací dekret“? 

Domníváme se, že těch forem uvedení pověřence do funkce může být vícero, např. uzavřením pracovní smlouvy s osobou, která bude tuto funkci vykonávat jako zaměstnanec, uzavřením smlouvy o poskytování služeb pověřence v případě externí služby, jmenovacím dekretem např. u státních institucí.

Jak Safetica DLP splňuje GDPR, když obsahuje spousty citlivých údajů?

Safetica je pouze nástrojem (systémem), který sbírá a zpracovává osobní údaje. Bezpečnost samotného systému je podpořena šifrováním jak samostatných komponent Safetica, tak komunikace a uložení osobních dat (logů). Jak již ale bylo zmíněno, GDPR klade také další organizační a personální požadavky, které jdou nad rámec softwarového řešení – pro tyto specifika dodáváme doporučení, jaké kroky přijmout pro používání našich produktů v mezích zákona (resp. GDPR).

Funguje Safetica i na MAC OS?

Zatím pouze na Windows, ale brzy plánujeme rozšířit podporu také na Mac OS. Máme také řešení na mobily pro Android, iOS and Windows Phone.

 

Co chystáme v nových verzích Safetica? Sledujte nás na Facebooku a mějte veškeré info z první ruky.

Chci být v obraze

 

Stavím e-shop/aplikaci na míru – hostovanou u třetí strany (webhosting). Kdo je tedy DPO? Já, hosting, nebo zadavatel práce?

DPO je samostatná entita, odpovědná za zpracování osobních údajů v organizaci. Více informací naleznete zde a na UOOU.

Jak je to v případě kamerového systému ve městě? Podléhá také požadavkům GDPR?

Ano, kamerové systémy také zpracovávají osobní údaje (kamerový záznam identifikuje činnost fyzické osoby), takže budou spadat pod požadavky GDPR. Samozřejmě získání souhlasu osob není v těchto případech fyzicky možné, proto je důležité identifikovat právní základ pro zpracování kamerového záznamu a postupovat transparentně k soukromí občanů (zejména vhodným označením monitorované oblasti). Další požadavky GDPR samozřejmě platí.

Pokud požádám správce nebo zpracovatele o podání informace, jak je s mými údaji pracováno, nejedná se pak o porušení bezpečnosti v rámci infrastruktury správce nebo zpracovatele, protože mi musí oznámit, že mé údaje eviduje v tom a tom systému a šifruje je tak a tak? Jak si mohu ověřit, že mi správce a zpracovatel nepodávají klamné informace?

Správce nebo zpracovatel je povinen Vám sdělit jaké osobní údaje o Vás zpracovává a jaký je účel takového zpracování. Rozhodně mu nejste jako společnost povinni sdělovat údaje o vašem technickém zabezpečení, datové architektuře, způsobu šifrování atd. Vaše právo na obchodní tajemství nebo právo jiných osob není GDPR dotčeno.

Kam až daleko do historie backupu a archivu půjde plnění požadavku na anonymizaci?

Předpokládáme, že anonymizací myslíte právo na výmaz osobních údajů. V případě, že po Vás archivaci nepožaduje samostatný zákon, měli byste osobní údaje smazat ze všech paměťových záznamů včetně archivů. Pokud je to technicky náročné nebo není možné, měli byste odmazat data ze živého systému hned po obnově ze zálohy.

Pokud evidujeme údaje a ukládáme je v cloudových službách od Google (služba G Suite – dříve Google Apps, a podobný problém asi bude i u Office 365 u Microsoftu), jsou zde nástroje pro ochranu dat a jdou nastavit bezpečnostní pravidla. Ale kde je povinnost zabezpečit to – na nás, nebo na dodavatelské firmě Google, Microsoft?

Poskytovatelé těchto služeb musí samozřejmě zajistit jejich soulad s pravidly GDPR. Jak společnost Google, tak i Microsoft nedávno uveřejnili na svých webových stránkách, že na uvedení do souladu jejich služeb s GDPR intenzivně pracují. Nicméně je důležité zmínit, že používáním těchto služeb se automaticky nezbavujete vlastní zodpovědnosti za dodržování pravidel nařízení, GDPR má dopad na celou vaši organizaci, informační systémy, a to vše za vás např. přesun všech osobních údajů do G-suite nevyřeší.

Vztahuje se GDPR i na kontakty, které byly získány před zahájením platnosti? Co s údaji, které jsme získali před GDPR? Musíme zákazníky žádat o souhlas znovu tak aby to splňovalo nové podmínky?

Ano, vztahuje, doporučuji zrevidovat všechny již udělené souhlasy, aby splňovaly požadavky GDPR.

Je bráno jako osobní údaj i evidence o docházce zaměstnance?

Určitě ano. Zaměstnanec je fyzická osoba a pokud je záznam o docházce jednoznačně spojen s identifikátorem zaměstnance, jedná se o osobní údaj.

Pokud se jedná o personální výběrové řízení – může být nadále vymezeno, že doklady poskytnuté pro účely výběrového řízení se nevrací?

Pravidla výběrového řízení si každá společnost určuje sama, nicméně je povinna dodržet povinnosti vyplývající z GDPR při nakládání a zpracování osobních údajů získaných v rámci těchto výběrových řízení. Nevím, jaké doklady jsou předmětem této otázky, nicméně je společnost povinna je chránit před zneužitím, pokud obsahují osobní údaje fyzických osob.

Webové aplikace budou muset kontrolovat věk uživatelů (opravdu to ověřovat)? Technicky je to totiž velmi komplikované (přeposílání občanských průkazů?), až nemožné. Pokud by to byla povinnost, většina e-shopů zanikne.

Aktuálně čekáme na vyjádření Úřadu na ochranu osobních údajů.

Ke stávajícím datům musím získat souhlas zpětně?

Pokud je k danému zpracování osobních údajů vyžadován souhlas, tak musí být udělen v souladu s pravidly GDPR, tj. doporučuji znovu zrevidovat dosud udělené souhlasy, aby byly jednoznačné a určené ke konkrétnímu účelu zpracování. Pokud ke zpracování osobních údajů dochází z jiných zákonem stanovených důvodů, např. ve veřejném zájmu, tak zde souhlas samozřejmě vyžadován není. Doporučuji, abyste si provedli interní audit právě právních titulů, na základě kterých dochází ve vaší společnosti ke zpracování osobních údajů.

Byla zmíněná přenositelnost dat – je určený strukturovaný formát/standard těchto dat?

Není, doporučuji sledovat k této problematice veřejné diskuse jak na stránkách dozorových orgánů, tak i na webu UOOU.

Zajímá mě otázka PR agentur. Týká se jich rovněž GDPR, pokud mají medialisty (seznamy novinářů s jejich kontakty) a zpracovávají osobní údaje pro svou činnost? A jak si zajistím souhlas užití e-mailu novináře, pokud je veřejně dostupné třeba na webu?

Pokud se jedná o veřejně dostupný údaj, který se osoba dobrovolně rozhodla uvést na svém webu za účelem ji tímto způsobem kontaktovat, tak ji nemusíte žádat o souhlas. Pokud však hodláte použít tento údaj i pro jiné účely (např. přímý marketing vašich služeb), tak pak doporučuji si od novinářů nebo jakékoliv jiné osoby souhlas k těmto aktivitám vyžádat.

Modelový příklad – jsem zubní lékař, zpracovávám osobní a lékařské záznamy pacientů. Dle zákona musím 10 let tuto dokumentaci archivovat – buď písemně nebo elektronicky s el. podpisem. Právo na zapomnění se mě zde asi netýká. Je pro zubního lékaře lepší mít tato data ve svém software na svém PC v ordinaci, nebo je lepší přejít na online řešení a data dát do cloudu. A de facto tuto tíhu GDPR předat na poskytovatele cloud a správce dat – výrobce software?

Ano, právo na zapomnění se netýká případů, kdy po Vás archivaci požaduje samostatný zákon. K druhé části Vašeho dotazu, prakticky můžete zvolit kteroukoliv variantu – uložení lokálně nebo použití cloudového poskytovatele. V každém případě jste považován vy za správce a poskytovatel maximálně za poskytovatele – tíha GDPR z Vás tedy „nespadne“, pořád jste vy tou povinnou entitou za ochranu osobních údajů.

Existuje už nějaká mnemotechnická pomůcka pro určení, která firma/obor činnosti musí mít pověřence povinně? Věřím, že se mohou nastat nejasné případy, my budeme zastávat názor že ne, a úřad za čas se vysloví, že ano.

Bližší informace k výkonu DPO naleznete zde a na UOOU.

Dá se někde získat informace o tom, jaké podklady budou vyžadovány pro audit (příští rok), zda organizace nařízení GDPR splňuje?

Dokážeme si představit, že se časem soulad s pravidly GDPR stane další povinnou auditovanou položkou ve společnostech, nicméně v současné chvíli, kdy ještě není nařízení účinné, tyto informace nejsou k dispozici.

Chápu správně, že odpovědnost za získání souhlasu se zpracováním údajů má Správce nikoliv Zpracovatel. Náš klient provozuje službu CRM systému, ve kterém si jeho zákazníci mohou nastavovat i další vlastní pole a sledovat vlastní údaje, které náš klient neovlivní a pravděpodobně se může jednat i o osobní údaje dle nových definic (emaily, telefonní čísla apod.)?

Ano, tato povinnost leží primárně na správcích, aby si takové souhlasy od klientů zajistili.

Může mi někdo dát souhlas se zpracováním údajů po telefonu?

Může, ale takto udělený souhlasmusí být zaznamenán a doložitelný pro případ kontroly ze strany dozorového orgánu a musí splňovat všechny požadavky na správné udělení souhlasu dle GDPR.

Výjimku z povinnosti vést záznamy o činnostech zpracování mají organizace s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje. Započítávají se pro potřeby posouzení povinnosti vést záznamy mezi zaměstnance i pracovníci na DPČ a DPP?

Dle našeho názoru ano, protože jsou také považováni z povahy uzavřených smluv za zaměstnance.

 

Máte další dotazy k GDPR? Kontaktujte nás a zjistěte, jak Safetica může pomoci i vaší firmě se zabezpečením citlivých osobních dat.

Chci zvládnout GDPR

Anebo si přečtěte další články o GDPR.

Chci číst dál


 

 

Mgr. Matej Zachar

Bezpečnostní expert Safetica Technologies. Odborník na oblast kybernetické bezpečnosti, mezinárodních standardů ochrany dat a realizaci bezpečnostních opatření.

www.safetica.cz

 

 


Safetica Technologies vynaložila veškeré úsilí pro zajištění přesnosti a spolehlivosti informací uváděných v tomto článku a přidružené diskuzi. Nicméně informace jsou podány „tak, jak jsou“, bez jakýchkoliv záruk. Safetica Technologies nezodpovídá za přesnost, úplnost, legislativní správnost či spolehlivost informací poskytnutých v tomto článku.

60 komentářů

  1. Rostislav Málek Odpovědět

    Dobrý den.

    Prosím, nemám komentář ale dotaz.
    Jsme automotive firma. Ve svých IS zpracováváme/udržujeme data jednak o svých zaměstnancích, jednak o firmách a některých jejich zaměstnancích prakticky z celého světa. Naše údaje jsou uloženy jak v IS SAP v USA, tak v Microsoft cloud „někde ve světě“. Můžete mi naznačit naše povinnosti, jak máme postupovat v případě uložení dat mimo naše lokální databáze?

    Děkuji.

    • Matej Zachar Odpovědět

      Dobrý deň,

      Je to celkom komplexná otázka 🙂 Každopádne v praxi sa na Vás budú aplikovať požiadavky GDPR, nakoľko spracovávate osobné údaje o zamestnancoch. Z nich ako najdôležitejšie pre Váš prípad by som vypichol podmienky pre prenos osobných údajov mimo EÚ, ktoré môžu byť relevantné, pokiaľ Váš poskytovateľ nemá dáta umiestnené na serveroch v rámci EÚ. Toto by bola jedna z prvých podmienok, ktoré by sme doporučovali si s poskytovateľom overiť.

      Rozhodne by som však vo Vašom prípade doporučoval začať analýzou aktuálneho stavu spracovania osobných údajov, ktorý zmapuje práve použitie osobných údajov vo Vašej organizácii a pripraví Vás na všetky organizačné, technické a procesné opatrenia, ktoré budete musieť zrealizovať.

      Viac informácií nájdete na našich stránkach https://www.safetica.cz/gdpr

      Matej Zachar

  2. Petr Zmek Odpovědět

    Dobrý den,
    náhodou jsem se dostal k problematice o GDPR a nikde se mi nedaří dohledat nějaké konkrétní důsledky, vše je psáno tak nějak „meta“ jazykem. Máme malý rodinný penzion, kde máme zákonnou nahlašovací povinnost hostů a jejich osobních údajů vůči obci / cizinecké policii, zároveň však budeme muset tato data pseudonymizovat. Nemá to protichůdnou logiku?
    Nikde se mi nedaří problematiku ubytovacích zařízení a gdpr dohledat, mohli byste k tomu prosím vydat nějaký článek?

    S pozdravem
    Petr Zmek

    • Matej Zachar Odpovědět

      Dobrý deň,

      Pseudonymizácia nie je povinná pre každý spôsob spracovania osobných údajov, výčet v čl. 32 nie je vyčerpávajúci a skôr obsahuje oblasti (doporučenia), na ktoré by sa mala organizácia zamerať v rámci zabezpečenia osobných údajov. Samozrejme pokiaľ po Vás požaduje zber samostatný zákon (ako v prípade nahlasovacej povinnosti hostí), je to legálny základ na spracovanie osobných údajov.

      Ďakujeme za podnet ohľadne ubytovacích zariadení, rozhodne zvážime zaradenie podobného obsahu do nášho plánu.

      Matej Zachar

  3. Alena Puldová Odpovědět

    Dobrý den, článek 9 GDPR hovoří o zpracování zvláštních kategorií osobních údajů. Sem spadá i zpracování informací o zdravotním stavu subjektu osobních údajů. Prvním odstavcem toto zpracování GDPR zakazuje a pak vymezuje „výjimky“ takového zpracování. Můžete mi, prosím, vysvětlit, jak mohou postupovat komerční pojišťovny při ukládání a zpracování informací o zdravotním stavu svých klientů pro potřeby některých druhů pojištění. Napadá mne jedině postup podle písmene a) udělení výslovného souhlasu. Asi je to jediná možnost, že?
    Děkuji Alena Puldová

    • Jiří Císek Odpovědět

      Dobrý den,

      Jednou z možností je přirozeně souhlas, další možností pak dle našeho názoru také Určení, výkon nebo obhajoba právních nároků a výkon soudních pravomocí podle čl. 9 odst. 2 písm. f) GDPR. Komentář k GDPR příkladem uvádí „shromažďování a ukládání údajů o zdravotním stavu pojišťovnou při řešení pojistné události (např. z povinného ručení při dopravní nehodě se zraněním) pro případ následného soudního sporu s klientem o výši pojistného plnění.“ (NULÍČEK, Michal. GDPR / Obecné nařízení o ochraně osobních údajů. Praha: Wolters Kluwer, 2017, s. 166). Tento závěr bude možné podle našeho názoru aplikovat taktéž na situace před vznikem pojistné smlouvy, protože pojišťovny nebudou jinak schopny vyčíslit pojistné. Se shromažďováním různých druhů osobních údajů také počítá § 6 odst. 6 zákona 277/2009 Sb., o pojišťovnictví s odkazem na nyní účinný zákon osobních údajů. Na něj též naráží komentář k GDPR s konstatováním, že se GDPR nijak podstatně neliší od původní úpravy. Vždy však bude nezbytné před zpracováním vyhodnotit, zda rozsah a účel zpracování nepřekračuje zákonné meze.

      S pozdravem,
      Mgr. Jiří Císek
      AK Sedláková Legal

  4. Silva Novotná Odpovědět

    Dobrý den,
    všude jsou velmi obecné informace a tak budu konkrétní: Jako OSVČ v oblasti online služeb sbírám od svých zákazníků e-mailové adresy (systém ještě automaticky ukládá IP adresu), na které jim pak posílám různá sdělení a nabídky. K rozesílání hromadné pošty používám specializovaný cloudový software, kontaktů mám asi 60.000. Bude mi v tom případě stačit upravit obchodní podmínky a znění souhlasu se zpracováním nebo budou nějaké další nároky na zabezpečení těch adres?
    Prosím vás o pokud možno konkrétní odpověď. Děkuji SN

    • Matej Zachar Odpovědět

      Dobrý deň,

      Áno, určite – na Vaše spracovanie osobných údajov sa vzťahujú taktiež ďalšie požiadavky GDPR. Doporučujeme prejsť si všetky požiadavky nariadenia a spraviť si rozdielovú analýzu, či ste s nimi v súlade. Pre Vaše spracovanie si viem predstaviť veľmi rýchly prehľad, kde na väčšinu požiadaviek budete mať jednoduchú odpoveď (napr. príprava na právo na výmaz môže pre Vás predstavovať len prípravu na odmazanie riadku z excelu a prípadných záloh).

      Z najvýznamnejších by som uviedol:
      – analyzovať, či zbierate dáta len v rozsahu, ktorý je bezprostredne nutný pre Váš účel – IP adresa môže byť v tomto smere považovanú za redundantnú
      – zaručiť bezpečnosť týchto údajov, tzn. mať ich uložené na bezpečnom mieste (ideálne zašifrované) a riadiť prístup k nim
      – byť pripravený na zákazníkov a ich práva – napríklad na požiadavky o výmaz osobných údajov alebo export v univerzálnej strojovo spracovateľnej podobe (viď právo na přenositelnost)
      – dáta, ktoré už viac nepotrebujete, z databáze pravidelne odmazávať
      – mať samozrejme zdokumentované celé spracovanie (všetko, čo požaduje GDPR)

      Matej Zachar

  5. Jakub Šafránek Odpovědět

    Dobrý den,

    jestli to dobře chápu, firma (správce) je zodpovědný za uložení osobních údajů. Jak je to s emaily? Klasický B2B email obsahuje, jméno, tel. číslo, logicky emailovou adresu, tyto emaily logicky mohou být přeposílané dalším osobám. Je třeba podniknout nějaká opatření ohledně jejich správy?

    • Jiří Císek Odpovědět

      Dobrý den,

      Máte pravdu, na e-maily se GDPR taktéž vztahuje, jestliže obsahují osobní údaje. Předesílám, že za osobní údaje se považují pouze údaje o fyzických osobách. Předně je třeba e-maily zálohovat, například kvůli pozdějšímu vymazání (zejm. s ohledem na čl. 17 – právo na výmaz). Je vhodné přijmout nejméně následující opatření:

      a) omezení zasílání určitých souborů emailem (například nezabezpečených souborů, obsahujících zvláštní kategorie údajů), mimo jiné například pomocí vhodného DLP řešení;

      b) omezení používání freemailových účtů;

      c) mít v předpise zvolený způsob předávání/zasílání osobních údajů;

      d) omezení přístupů k určitým typům údajů (nebo souborů obsahujících údaje) zaměstnancům, kteří je nepotřebují;

      e) šifrování e-mailů;

      f) omezení používání korporátních klientů na soukromých mobilních zařízeních.

      Podle povahy, rozsahu a účelu Vámi zpracovávaných osobních údajů budete v organizaci muset přijmout všechny nebo jen některá opatření a doporučujeme proto věc vyhodnotit pro Váš konkrétní případ s GDPR auditorem.

      S pozdravem,
      Mgr. Jiří Císek
      AK Sedláková Legal

  6. Ing. Kamil Krejčí Odpovědět

    Dobrý den,

    Jsem fyzická osoba, nemám žádné zaměstnance. Zprostředkovávám lovecké pobyty u nás a na Slovensku pro zahraniční klientelu. Za účelem přípravy podkladů pro vyřízení českých nebo slovenských loveckých lístků pro cizince mi zahraniční hosté – fyzické osoby – předávají E-mailem scany svých národních loveckých lístků, Evropských zbrojních průkazů a dokladů totožnosti (ID/Pas). Jedná se o desítky osob. Nikde nevedu jejich ucelenou databázi nebo evidenci, podklady včetně scanů předávám E-mailem zástupci pojišťovny jako podklad pro zpracování pojistných smluv (povinné pojištění) a včetně dokladu o pojištění, který rovněž nese osobní údaje hostů, pak příslušnému orgánu státní správy za účelem vyřízení loveckého lístku pro cizince. Maximálně zpracovávám osobní údaje klientů vypsané z dokladu do .xls souboru při konkrétním dodání podkladů pro pojišťění/lovecký lístek (při větším počtu osob současně), pro lepší orientaci příslušných pracovníků, kteří se občas nemohou vyznat v cizojazyčných dokumentech… Vše je pouze v mém osobním počítači, v historii mé mailové komunikace (kterou zálohuje provozovatel mého mailového serveru). Vztahuje se na mne nějakým způsobem GDPR? Co musím udělat, nesmím dělat?

    Děkuji za srozumitelnou odpověď

    Ing. Kamil Krejčí

    • Matej Zachar Odpovědět

      Dobrý deň,

      Ďakujeme za otázku. Aj Vaše spracovanie (napriek tomu, že tieto dáta nikam inam neukladáte) je považované za spracovanie osobných údajov, ktoré spadá do GDPR. V tomto prípade to totiž nebude spracovanie, ktoré fyzická osoba robí len pre vlastnú potrebu, čo by vás postavilo do výnimky podľa článku 2 odst. 2 c)

      Čo musíte urobiť je trochu mimo rozsah tejto odpovede :), každopádne v krátkosti to najdôležitejšie:
      – preskúmajte, aké všetky osobné údaje spracovávate a minimalizujte spracovanie (nevyžadujte žiadne informácie, ktoré bezprostredne nepotrebujete)
      – identifikujte právny základ, na ktorom spracovávate, určite si účely spracovania a spracovanie si zdokumentujte
      – s organizáciami, ktorým osobné údaje posielate, by ste mali mať zostavené spracovateľské zmluvy (napr. s poisťovňou), parametre zmluvy udáva čl. 28 odst. 3.
      – mali by ste zaručiť bezpečnosť dát – pre Vás osobne to znamená, že by ste mali mať minimálne šifrované médiá, na ktorých správy uchovávate (notebook, externé disky, …), používali bezpečné kanály na prenos dát (napríklad šifrovaný email, šifrovaná príloha emailu)
      – mali by ste si určiť retenčnú dobu a tieto informácie mazať, akonáhle ich už nepotrebujete
      – je dôležité pamätať si taktiež na práva subjektov údajov, ako napríklad upraviť neaktuálne informácie alebo ich poskytnúť majiteľom loveckých lístkov na vyžiadanie

      S pozdravom,

      Matej Zachar

  7. Jan Kresta Odpovědět

    Dobrý den,
    rád bych znal odpověď na jeden z praktických dopadů GDPR. Je osobním údajem i např. diplomová práce, firemní report, apod.?
    Tento typ dokumentů přiřirozeně obsahují jméno, případně další identifikátory autora.
    Předem děkuji za odpověď.
    Jan Kresta

    • Matej Zachar Odpovědět

      Dobrý deň,

      Pokiaľ je z dokumentu možné autora jednoznačne identifikovať, celý dokument alebo jeho časti (ako napríklad podpis) sa považujú za osobné údaje.

      Na takéto spracovanie ale z veľkej pravdepodobnosti nebudete potrebovať súhlas a budú sa na Vás vzťahovať len vybrané časti GDPR – pre konkrétnu predstavu odporúčame spraviť si GAP analýzu, ktorá Vám prezradí, čo presne budete potrebovať v rámci firmy zmeniť.

      S pozdravom a prianím pekného dňa,
      Matej Zachar

  8. Ing. Kamil Krejčí Odpovědět

    Dobrý den,

    děkuji za téměř vyčerpávající odpověď ohledně mých loveckých hostů. Měl bych snad jen jediný doplňující dotaz: Zpracovatelská smlouva s pojišťovnou je jasná, avšak druhým subjektem, kterému osobní údaje klientů je orgán Státní správy (Referát Myslivosti na pověřeném městě). S tím přece nebudu mít zpracovatelskou smlouvu, ale nějaký jejich pokyn, jaké dokumenty a údaje jim mám předávat, když jde o státní orgán – požadavky dané zákonně, případně interními prováděcími předpisy…. Jak se to v tom případě řeší – když jde o orgán státní zprávy? Smlouvou asi ne…

    Ještě jednou moc děkuji,

    Ing. Kamil Krejčí

    • Matej Zachar Odpovědět

      Dobrý deň pán Krejčí,

      V tomto prípade odporúčame sa obrátiť s touto otázkou priamo na relevantnú organizáciu (referát myslivosti). Bude to určite závisieť od toho na akom základe tieto údaje potrebujú spracovávať. V každom prípade podľa GDPR môže ísť o zmluvu alebo iný podobný právny akt, takže v tomto prípade bude záležať od toho, ako máte nastavené vzťahy medzi sebou aktuálne.

      S pozdravom,
      Matej Zachar

  9. Jiří Dobeš Odpovědět

    Dobrý den,

    chtěl bych vykonávat činnost DPO pro firmy ve svém okolí a pro některé obecní úřady se kterými spolupracuji.
    Jaké je pro tuto činnost potřeba mít oprávnění nebo certifikát?
    Co mi doporučujete absolvovat za školení nebo kurz, abych mohl tuto činnost vykonávat?
    Je potřeba vlastnit živnostenské oprávnění pro tuto činnost a jaké?
    Předem vám děkuji za odpověď.
    Ing. Jiří Dobeš

  10. Matej Zachar Odpovědět

    Dobrý deň,

    Na činnosť DPO oprávnenie ani certifikát nepotrebujete. Keďže činnosť DPO obnáša v sebe právne základy, znalosť IT systémov a bezpečnosti informácií, nemôžem povedať že by existoval jediný kurz, ktorý by Vám dal všetky nutné predpoklady k výkonu tejto funkcie.

    Na druhej strane, ak tieto základy už máte, môžete zvoliť napríklad jeden zo seminárov alebo kurzov, ktoré okrem iného usporiadame aj my v spolupráci s AK Sedláková Legal.

    Ak máte záujem, prosím kontaktujte ma prostredníctvom nášho webu https://www.safetica.cz/kontaktujte-nas

    S pozdravom,
    Matej Zachar

  11. Jalovecký Rudolf Odpovědět

    Dobrý den,
    ochranu osobních údajů samozřejmě docela chápu, co my ovšem nyní již delší dobu uniká jsou zcela veřejné údaje o OSVČ, kde na patřičných webech najdete kompletní adresu, IČ, DIČ=rodné číslo, čísla účtů plátců DPH, a další. Takže v současnosti vlastně nic není chráněno. Ale jakákýliv spolek už i teď musí zajist ochranu údajů jakmile má jméno, rodné číslo a bydliště. Bude i sem – tedy na veřejně dostupné seznamy směřována nějaká změna či úprava?

    • Matej Zachar Odpovědět

      Dobrý deň pán Jalovecký,

      V našej kompetencii nie je úplne posúdiť správnosť použitia rodného čísla ako DIČ a sídla, ktoré sa v mnohých prípadoch zhoduje s trvalým bydliskom alebo kontaktnou adresou konkrétneho živnostníka. V tomto smere odporúčame obrátiť sa na úrad na ochranu osobných údajov https://www.uoou.cz/ .

      Vo všeobecnosti podľa GDPR platí to, že ani zverejnené informácie by ste nemali používať k iným účelom, ako ten za ktorých boli zverejnené. Ak je teda primárnym účelom kontaktovanie živnostníka za zámerom využitia jeho služieb, nemali by ste tieto údaje použiť napr. na priamy marketing.

      S pozdravom,
      Matej Zachar

  12. Michal Žádník Odpovědět

    Dobrý den.
    Každý má ve svém mobilu spoustu jmen s čísly a e-maily …. jsou to osobní údaje ke kterým nemá souhlas. Může jít o firemní mobil nebo osobní mobil, popř. firemní mobil používaný i k osobním účelům.
    Stejné to je s adresáři v Outlooku apod.
    Mohli by jste mi vysvětlit jak je to v tomto případě?
    Děkuji.

    • Matej Zachar Odpovědět

      Dobrý deň,

      GDPR sa nevzťahuje na spracovanie osobných údajov, ktoré robíte súkromne a pre svoju vlastnú potrebu – takže ani v prípade osobného telefónu.

      U firemného zariadenia je to trochu inak. Súhlas na spracovanie osobných údajov potrebujete len v prípade, že nemáte nejaký iný právny základ na ich spracovanie. Pokiaľ sa jedná o kontakty, ktoré ste do adresára dostali spôsobom, že Vám daný človek dal vizitku alebo Vám ich inak oznámil, bolo to za jasným účelom ustanovenia vzájomnej komunikácie a na také spracovanie pochopiteľne súhlas nepotrebujete.

      S pozdravom,
      Matej Zachar

  13. Pavel Ruber Odpovědět

    K poslednímu dotazu jak s firemním mobilním telefonem. Jak se díváte na problém ztráty (krádeže) takového mobilu? Je to pak terminologií GDPR incident se vším všudy? Musí se hlásit dozorovému orgánu a všem jejichž číslo bylo v mobilu uloženo?
    Děkuji
    Pavel Ruber

    • Matej Zachar Odpovědět

      Dobrý deň,

      Incident to bude určite. Podľa GDPR by ste ale mali hlásiť incidenty úradu v prípade, že predstavujú zvýšené riziko pre subjekty údajov. V tomto konkrétnom prípade bude záležať, čo za informácie sa v telefóne nachádzajú a v akom rozsahu – podľa toho by ste incident buď:

      a) nenahlásili,
      b) nahlásili dozorovému úradu, alebo
      c) nahlásili dozorovému úradu a subjektom údajov.

      S pozdravom,
      Matej Zachar

  14. Vladimír Jirásek Odpovědět

    Dobrý den.
    Jsem OSVČ – účetní.
    Zpracovávám mzdové účetnictví několika firmám, komunikuji s nimi po freemailu, kdy mi zasílají scany smluv a dohod. Mám na PC základní bezplatnou antivirovou ochranu AVAST. Jiné zabezpečení nemám.
    Co musím udělat a co mne to bude stát?
    Vůbec nemám představu o ceně nějakého auditora, i pár tisíc je pro mne velká částka. Jsem už starší ročník, nevím ani co je cloud.
    Co si mám počít, musím zaplatit mnoho nějakých zabezpečení a hlásit někomu něco?
    Děkuji za odpověď.

    • Matej Zachar Odpovědět

      Dobrý deň,

      Ďakujeme za Vašu otázku.

      U bezpečnosti to bude pre Vás určite jednoduchšie ako v prípade organizácií, ktoré spracovávajú veľké množstvá osobných údajov – každopádne bez hlbšej znalosti Vašej práce Vám môžeme dať len všeobecné odporúčania. Ako najdôležitejšie by som vypichol nasledovné:
      – Osobné údaje, ktoré sú nepotrebné, mažte.
      – Zašifrujte si disk a médiá, na ktorých dáta bežne prenášate. Veľa nástrojov je zdarma, na platforme Microsoft môžete použiť napríklad BitLocker.
      – Dbajte na zásady bezpečnej práce na počítači a internete, článkov na podobnú tému nájdete na internete mnoho.
      – Udržujte si aktualizovaný počítač a programy v ňom (antivír, Flash, Adobe, webový prehliadač, ….).
      – Pravidelne si dáta zálohujte, nástrojov na túto aktivitu taktiež existuje mnoho.
      – Osobné údaje v papierovej podobe majte uložené v zamykateľnej skrinke alebo na podobne chránenom mieste.

      Ak sa chcete dozvedieť o GDPR viac, pravidelne usporadúvame semináre a konferencie na rôzne témy, pri ktorých je určite priestor na rôzne otázky, ktoré by Vás mohli zaujímať. Môžete ich nájsť na stránke https://www.safetica.cz/o-nas/kalendar-udalosti

      S pozdravom,
      Matej Zachar

  15. Šimon Kvíčala Odpovědět

    Dobrý den, jsem fyzická osoba , jediný s danou kombinací křestního jména a příjmení, pokud vím v celoevropském rozsahu, je tedy pravda, že kdekoliv se objeví mé křestní jméno a příjmení pospolu, jedná se o údaj povahy osobních údajů, protože z této kombinace lze jednoznačně určit fyzickou osobu a tudíž je každá právnická osoba, která přijde do styku s jakýmkoliv e-mailem, který podepíšu plným jménem, čí dokumentem, kde jsem uveden jako autor plným jménem, zacházet s těmito jako s osobním údajem ve smyslu GDPR ? Děkuji za odpověď.

    • Matej Zachar Odpovědět

      Dobrý deň,

      Áno, pokiaľ je možné Vás jednoznačne identifikovať. S Vašimi údajmi musia entity, na ktoré sa vzťahuje GDPR a prídu s Vašimi údajmi do styku, narábať ako s osobnými údajmi.

      S pozdravom,
      Matej Zachar

  16. Stanislav Pavlíček Odpovědět

    Hezký den,
    dovolil bych si také položit otázku. Jsem spolumajitelem malé jazykové školy. Od účastníků kurzů si naši lektoři berou e-maily a telefonní čísla (aby je mohli kontaktovat v případě zrušení či přesunutí výuky, zasílat jim domácí úkoly apod.) a údaje zapisují do třídních knih v papírové podobě. Musíme při sběru těchto údajů vyžadovat nějaký souhlas od našich klientů? A je třeba z důvodu ochrany osobních údajů s třídními knihami nějak speciálně zacházet? A ještě jedna otázka: mám na hard disku domácího počítače elektronické podoby dohod o provedení práce našich zaměstnanců – je i zde třeba nějaká speciální ochrana či postup? Předem mockrát děkuji za odpověď a srdečně zdravím
    Stanislav Pavlíček

    • Břetislav Chod Odpovědět

      Vážený pane Pavlíčku,

      děkujeme za Vaše dotazy. Na první z nich bych si dovolil odpovědět následovně.
      Od Vašich klientů nemusíte vyžadovat souhlas se zpracováním osobních údajů, neboť existují hned dva jiné zákonné důvody, na jejichž základě můžete kontaktní údaje Vašich klientů zpracovávat. Jedná se o zpracování z důvodu plnění smlouvy, případně o zpracování z důvodu ochrany Vašich oprávněných zájmů. Souhlas byste potřeboval pouze v případě, že byste chtěl získané osobní údaje zpracovávat i pro nějaké zvláštní účely, jako například profilování Vašich klientů. Mějte však na paměti, že i když nemusíte vyžadovat souhlas se zpracováním osobních údajů, musíte vůči Vašim klientům splnit informační povinnosti podle GDPR.

      Teď k druhému dotazu, a sice zda je potřeba s třídními knihami nějak speciálně zacházet.
      V první řadě musíte zajistit, aby údaje ve Vašich třídních knihách byli pravdivé, úplné, přesné, a jejich celistvost. Třídní knihy by měly být uloženy na nějakém zabezpečeném místě tak, aby k nim měl přístup pouze ten člověk, který je ke své práci opravdu potřebuje (například lektoři, nikoliv uklízečka). S tím souvisí správné určení oprávněných osob. Důležité je také mít správně nastaveno, po jak dlouhou dobu budete osobní údaje uchovávat, a v případě, že již nebudete mít důvod k jejich zpracování, tyto údaje bezpečně zlikvidovat.

      U Vaší poslední otázky, týkající se dohod o provedení práce Vašich zaměstnanců, se pak použije stejný postup.

      Doufám, že Vám odpovědi budou užitečné. Kdybyste potřeboval cokoliv objasnit nebo by Vás tato oblast dále zajímala, neváhejte se na nás obrátit (ať již elektronicky či formou posezení při kávě). Rádi se Vám budeme věnovat.

      Přeji hezký den,
      Srdečně

      Břetislav Chod
      Advokátní praktikant
      SEDLAKOVA LEGAL s.r.o.

      • Stanislav Pavlíček

        Hezký den, mockrát děkuji za srozumitelnou a přínosnou odpověď.
        Srdečně zdraví

        Stanislav Pavlíček

  17. Tereza Kopcová Odpovědět

    Dobrý den,

    také bych se chtěla zeptat a to na zdravotnická zařízení – nemocnice. Zpracovávají osobní údaje na základě souhlasu a nebo na základě čl. 9, odst. 2, písm. h)? A dá se rozlišit, které osobní údaje zpracovávají podle čl. 9 nebo čl. 6? Jak je to s právem na přenositelnost údajů? (Mám z toho pocit, že pokud se jedná o zpracování podle čl. 9, odst. 2, písm. h), právo na přenositelnost se na tyto osobní údaje nevztahuje?).

    Poslední otázka: chápu správně, že nemocnice jsou zpracovatelé a správci zároveň? Vyplývájí z tohoto faktu nějaké zvláštní okolnosti (povinnosti..)?
    Předem děkuji za odpověď.

    • Matej Zachar Odpovědět

      Dobrý deň,

      U právneho základu (licencie) bude záležať na konkrétnej agende spracovania osobných údajov. Väčšina bežných činností nemocnice spojenej s agendou poskytovania zdravotnej starostlivosti spadá, ako ste správne poznamenala, do spracovania podľa článku 9 odst. 2 h) a na takéto spracovanie nepotrebujete súhlas.

      Čo sa týka spracovaní podľa článku 6 resp. 9, tam záleží od typu informácií, ktoré sa spracovávajú. Článok 9 sa zameriava na tzv. speciální kategorie osobních údajů, ktoré sú vymenované v čl. 9 odst. 1. – sú to napríklad zdravotné záznamy, trestná minulosť, členstvo v odboroch a pod. Článok 6 sa vzťahuje na všetky ostatné osobné údaje, ktoré do týchto kategórií nespadajú.

      Právo na prenositeľnosť sa vzťahuje len na prípady, keď sa spracováva automatizovane na základe súhlasu alebo zmluvy – viď článok 20 odst. 1 a). Ako správne poznamenávate, pokiaľ sa spracováva na základe iného základu, napr. čl. 9 odst. 2 h), právo na prenositeľnosť nebude pre takéto spracovanie relevantné.

      Nemocnice vystupovať v oboch roliach – záleží znovu od konkrétneho spracovania a od konkrétnej kliniky. Okolnosti budú také, aké udáva GDPR 🙂 Treba sa na to vždy pozerať v kontexte konkrétneho spracovania, takže podmienky budú skutočne špecifické. Doporučujem sa odkázať na kapitolu IV.

      S pozdravom,
      Matej Zachar

  18. Ľudmila bednářová Odpovědět

    Dobrý den.
    Jsme malá stavební firma-s.r.o. se sedmi zaměstnanci.
    Údaje o těchto zaměstnancích poskytujeme státní správě v měsíčních přehledech
    o mzdách.V případě exekuce jsme povinni sdělovat údaje o jejich výdělku.
    Nikam jinam informace o zaměstnancích nesdělujeme.
    Po přečtení dostupných informací na internetu jsem nezjistila,jestli se GDPR bude týkat i naší firmy a v jakém smyslu konkrétně.
    Děkuji předem za odpověď.

    • Matej Zachar Odpovědět

      Dobrý deň,

      Aj na spracovanie osobných údajov, ktoré robíte na základe zákona, sa vzťahuje GDPR. Okrem toho si viem predstaviť, že komunikujete s fyzickými osobami v rámci normálneho obchodného styku, pokiaľ aj Vaši klienti nie sú fyzické osoby ale firmy. Budete v každom prípade mať niekoľko rôznych spracovaní, ktoré by ste mali zanalyzovať a na základe analýzy zistiť, čo všetko by ste mali splniť.

      Z požiadaviek, ktoré sa na vás budú vzťahovať, bude určite dôležité minimálne:
      – Zaručiť adekvátnu úroveň bezpečnosti pre osobné údaje, ktoré spracovávate
      – Stanoviť si účely a dôvody, prečo dáta spracovávate, retenčné doby a nepotrebné informácie skartovať
      – Doporučujem prejsť si práva subjektov údajov, aby ste zistili, ktoré pre vás budú relevantné – určite minimálne právo na informácie a opravu

      S pozdravom,
      Matej Zachar

  19. Lucie Odpovědět

    Dobrý den,

    zajímalo by mne, jaká bude praxe na zákaznických podporách po telefonu. Bude možné zákazníkovi po telefonu sdělit například emailovou adresu nebo telefonní číslo ze zákaznické databáze, například za účelem potvrzení zaslání přistupových údajů?

    • Matej Zachar Odpovědět

      Dobrý deň,

      Asi mi nie je úplne jasný scenár, ktorý popisujete – nazdieľanie jednému zákazníkovi osobné údaje iného zákazníka? Alebo len overenie správnosti údajov?

      Pokiaľ sa jedná o prenos osobných údajov, mali by ste sa zamyslieť aspoň nad nasledovnými otázkami:
      – pred tým, ako ich niekomu odovzdáte, preveriť si či sa jedná o toho, za koho sa vydáva
      – zvážiť bezpečnejšiu cestu, ako prostredníctvom telefónu – napr. v sekcii za prihlásením užívateľa
      – zvážiť jednoduchšiu cestu, pokiaľ sa jedná len o overenie údajov – napr. prostredníctvom otázky, či sú všetky informácie v profile aktuálne

      S pozdravom,
      Matej Zachar

  20. Iva Odpovědět

    Dobrý den, pokud jsem pochopila správně, tak kontaktní údaje právnických osob nejsou předmětem GDPR. Součástí kontaktu je však zpravidla kontakt na osobu fyzickou (e-mail, tel.). Od této osoby mám pro účely obchodního vztahu vyžadovat souhlas? Jak je to například s kontaktním pracovníkem, který však nepodepisuje obchodní smlouvu, kterou podepisuje jednatel společnosti? Mám od kontaktního pracovníka žádat souhlas zvlášť? Nepředpokládám, že souhlas za něj může dát zaměstnavatel. A ještě poslední dotaz: chápu, že nepotřebuji souhlas ke zpracování kontaktů svých obchodních partnerů, pokud jsem je získala třeba z předané vizitky, nebo veřejného zdroje. Jak je to však s informační povinností? Předem děkuji za odpověď.

    • Matej Zachar Odpovědět

      Dobrý deň,

      Áno, kontaktné údaje u právnických osôb sú považované za osobné údaje (pokiaľ sa nejedná o všeobecné adresy typu [email protected]éna.cz, kde nedokážete určiť kto sa za nimi skrýva). Účely obchodného vzťahu budú pravdepodobne u väčšine prípadov (v závislosti od toho ako ste kontakty zozbierali) spadať pod váš oprávnený záujem, takže na ne nebudete potrebovať súhlas.

      Čo sa týka informačnej povinnosti, tá bude určite relevantná v oboch prípadoch – pokiaľ dáta zbierate priamo od osoby alebo sa k nim dostanete od niekoho iného. Doporučujem sa pre viac informácií zamerať priamo na články 13 a 14 z GDPR, ktoré sa tejto oblasti týkajú.

      S pozdravom,
      Matej Zachar

  21. Michal Tuček Odpovědět

    Dobrý den,
    jsem OSVČ se jménem firmy
    RNDr. Michal Tuček ……
    Je tento název firmy osobním údajem v chápání GDPR?
    Podobně, je-li v obchodním rejstříku jméno jednatele,
    je osobním údajem v chápání GDPR?
    Děkuji

    • Matej Zachar Odpovědět

      Dobrý deň,

      Akýkoľvek údaj, ktorý Vás identifikuje je v kontexte GDPR chápaný ako osobný. Informácie o právnickej osobe všeobecne nie sú považované za osobné, ale vo Vašom prípade ako OSVČ bude väčšina z nich spadať do definície „osobný údaj“ v rámci GDPR.

      Ohľadne registrov, áno, vo všeobecnosti obsahujú osobné údaje – rovnako ako obchodný register. Musíme ale chápať to, že údaje sú v registroch zverejnené z určitého účelu, ktorý spravidla ukladá zákon. Ani takto zverejnené informácie nie je možné zneužívať na iné, neoprávnené účely.

      S pozdravom,
      Matej Zachar

  22. Miroslav Huml Odpovědět

    Dobrý den,
    právo subjektu osobních údajů na výmaz – musí organizace vyhotovit a archivovat záznam o výmazu (prokázat, jakým způsobem (z jakých úložišť, …) byly osobní údaje vymazány) ? Jestli ano, jak má být prakticky realizováno ?

    Děkuji
    M. Huml

    • Matej Zachar Odpovědět

      Dobrý deň,

      Áno, pre účely prípadného dokázania, že k výmazu skutočne došlo odporúčame viesť protokol.

      GDPR neuvádza presné podmienky, ako by táto evidencia mala vyzerať. Môžeme len odporúčiť si ju viesť v písomnej podobe spoločne so všetkými relevantnými informáciami, ktoré sa vám podarí zo systémov zozbierať.

      S pozdravom,
      Matej Zachar

  23. Pavel Kašpar Odpovědět

    Dobrý den,
    na help lince (metodické i technické) kde klient sděluje informace k ověření, či dohledání v dtb, myšleno jméno a datum narození, se tyto hovory nahrávají a po určitou dobu uchovávají ke zpětnému hodnocení hovoru operátora, vedoucím. Bude takto získané informace k tomuto účelu možnost využívat a zpětně přehrávat v rámci hodnicení kvality hovoru?
    Děkuji

    • Břetislav Chod Odpovědět

      Vážený pane Kašpare,

      děkujeme za Váš dotaz.

      Záznamy hovorů budete dle GDPR i nadále moci využívat za tímto účelem. Rád bych Vás však upozornil na skutečnost, že při takovém zpracování musíte splňovat určité povinnosti. Zaprvé byste měli mít jasně stanoveno, jak dlouho dobu se tyto záznamy budou uchovávat (tzv. retenční doby). Za druhé je potřeba, mít tyto záznamy dobře zabezpečené a mít k nim správně nastavená přístupová oprávnění. V neposlední řadě je potřeba, abyste splnili vůči Vašim klientům informační povinnost ve smyslu článku 13 GDPR, která vyžaduje, abyste sdělil Vašemu klientovi celou řadu informací, jako je Vaše identifikace, účely a zákonný podklad pro zpracování jejich osobních údajů, jaké oprávněné zájmy tímto zpracováním sledujete, a další informace, jako retenční doby, právo vnést námitky proti zpracování a celou řadu dalších informací, které se v tomto článku nachází.
      Samotné zpracování těchto telefonních hovorů je však, za předpokladu splnění Vašich ostatních povinností dle GDPR, v pořádku.

      Doufám, že Vám odpovědi budou užitečné. Kdybyste potřeboval cokoliv objasnit nebo by Vás tato oblast dále zajímala, neváhejte se na nás obrátit (ať již elektronicky či formou posezení při kávě). Rádi se Vám budeme věnovat.

      Přeji hezký den.
      Srdečně,

      Břetislav Chod
      Advokátní praktikant
      SEDLAKOVA LEGAL s.r.o.

  24. Josef Odpovědět

    Dobrý den,
    nikde jsem nenašel odpověď na vztah ke zpracování osobních údajů podle GDPR u spolků a pobočných spolků. Konkrétně, zda je správcem pobočný spolek či hlavní spolek. A potom zda je GDPR vztahuje i na tyto spolky (zpracované údaje v rozsahu jméno, bydliště, datum narození), přičemž důvodem je evidence členské základny pro vlastní potřebu spolku. Za třetí, pokud se GDPR vztahuje, zda musí mít pověřenou osobu hlavní spolek nebo každý pobočný spolek. Ještě k doplnění osobní údaje se v úrovni pobočného spolku zadávají do evidenčního formuláře na platformě „https“ webovém rozhraní třetích (zahraničních) služeb a zpracovávají na okresní a ústřední úrovni. Děkuji

    • Břetislav Chod Odpovědět

      Dobrý den, Josefe,

      děkuji za Vaše dotazy. Na první z nich bych si dovolil odpovědět následovně.
      GDPR se vztahuje na jakékoliv zpracování, které je prováděno automatizovaně, nebo má být vedeno v evidenci, a to bez ohledu na to, kdo tyto údaje zpracovává. Správcem osobních údajů je tudíž jakákoliv fyzická nebo právnická osoba, která zpracovává osobní údaje, a zároveň určuje účely a prostředky zpracování osobních údajů. Odpověď tudíž zní ano, GDPR se vztahuje i na spolky a pobočné spolky, jestliže zpracovávají osobní údaje a určují účely a prostředky takového zpracování.

      Co se týče toho, kdo bude správcem (zda spolek hlavní či pobočné spolky), pak je třeba znovu vykládat tento problém v souvislosti s definicí správce v GDPR. Jestliže pobočné spolky vystupují jako samostatné právnické osoby, a v rámci této činnosti zpracovávají osobní údaje (např. členů), přičemž určují účely a prostředky zpracování, pak se bude jednat o správce osobních údajů. Bude záležet na konkrétních okolnostech, přičemž to, zda je spolek hlavní nebo pobočný ve smyslu občanského zákoníku, je pro stanovení role správce nebo zpracovatele irelevantní.

      Třetí otázku Vám odpovím tak, že myslíte-li pověřenou osobou pověřence pro ochranu osobních údajů ve smyslu čl. 37 GDPR, pak není vůbec jisté, zda budete mít povinnost takovou osobu jmenovat. Povinnost jmenovat pověřence mají pouze správci, kteří jsou orgánem veřejné moci či veřejným subjektem, kteří v rámci své hlavní činnosti rozsáhle monitorují subjekty údajů (např. bezpečnostní agentura) nebo kteří v rámci své hlavní činnosti rozsáhle zpracovávají tzv. zvláštní kategorie osobní údajů, jako jsou údaje o zdravotním stavu (tedy např. nemocnice). Pokud do žádné z těchto kategorií nespadáte, pověřence jmenovat vůbec nemusíte, ačkoliv máte vždy možnost učinit tak dobrovolně (a může to mít různé výhody).

      Doufám, že Vám odpovědi budou užitečné. Kdybyste potřeboval cokoliv objasnit nebo by Vás tato oblast dále zajímala, neváhejte se na nás obrátit (ať již elektronicky či formou posezení při kávě). Rádi se Vám budeme věnovat.

      Přeji hezký den.
      Srdečně,

      Břetislav Chod
      Advokátní praktikant
      SEDLAKOVA LEGAL s.r.o.

  25. jindra Odpovědět

    Dobrý den,
    jsem malý poskytovatel internetu, nemám žádné zaměstnance. Každý zákazník má ve smlouvě údaje na sebe + danou IP adresu, která mu byla přidělena. Zákon ukládá logovat provoz na základě IP adresy a data 6 měsíců uchovávat. S osobními údaji nikdo jiný než já nepracuje, údaje jsou použity pouze v případě fakturace. Musím jmenovat pověřence? Popřípadě jaké jsou nutné další kroky

    • Matej Zachar Odpovědět

      Dobrý deň,

      Z popisu Vašej činnosti nevyplýva, že by ste mali povinnosť poverenca menovať.

      Ďalšie kroky samozrejme súvisia s pripravenosťou na Vaše povinnosti ako správcu a práva Vašich zákazníkov ako subjektov údajov – pre viac informácií by som doporučil prihlásiť sa napríklad na jeden z našich pravidelných webinárov tu:
      https://register.gotowebinar.com/rt/4234366999125428225

      S pozdravom,
      Matej Zachar

  26. Pavol Brinda Odpovědět

    Dobrý den,

    mohl bych se zeptat na Váš názor na otázku, zda běžné segmentování zákazníků dle jejich dřívější nákupní historie (nikoliv dle jiných kritérií), a to výhradně za účelem cíleného zasílání reklamního newsletteru (zasílaného stávajícím zákazníkům na základě zákona č. 480/2004 Sb v režimu opt out), lze podřadit pod zpracování osobních údajů na základě oprávněných zájmů správce údajů (stejně jako rozesílání reklamního newsletteru stávajícím zákazníkům dle zákona č. 480/2004 Sb. v režimu opt out)?

    Nejsem si jistý, jestli v tomto případě mám zpracovávat osobní údaje na základě souhlasu subjektu údajů (stávajících zákazníků) anebo na základě oprávněných zájmů správce.

    Dále bych se chtěl zeptat na Váš názor, zda v případě, že mi zákazník v minulosti poskytl své osobní údaje pro marketingové účely na základě svého výslovného souhlasu a následně chce provést aktualizaci poskytnutých údajů (např. změnu e-mailové adresy), je opět získat souhlas se zpracováním tohoto údaje (nové e-mailové adresy) pro marketingové účely? Anebo se jedná jen o aktualizace údaje, u něhož byl souhlas již poskytnutý v minulosti?

    Děkuji za Vaší reakce.

    S pozdravem PB

    • Jiří Císek Odpovědět

      Vážený pane Brindo,

      děkujeme za Vaše dotazy.

      V prvé řadě, profilování zákazníků podle současného zákona o některých službách informační společnosti v režimu opt-out na základě jejich nákupní historie dle našeho názoru není možné a doporučujeme Vám nechat si tuto praxi posoudit Vaším právním zástupcem. Zákon, který citujete, totiž umožňuje Vámi popisovaným způsobem využívat pouze podrobnosti elektronického kontaktu Vašeho zákazníka, přičemž současná právní praxe a literatura za takové podrobnosti nepovažuje předchozí nákupní historii. Její zahrnutí v režimu opt-out do vstupních zdrojů pro profilování je tak podle našeho názoru nezákonné.
      Naopak, podle GDPR bude dle našeho názoru Vámi zmiňované údaje v režimu opt-out možné využívat, a v tomto ohledu může tedy být GDPR výhodnější pro provozovatele informační společnosti oproti současné právní úpravě, bude však vždy nezbytné posoudit konkrétní nastavení Vámi zmíněného zpracování. Důležité je vyhodnotit rozsah zpracovávaných osobních údajů a způsob profilování, zda není rozsah nepřiměřený a zda nemá profilování vliv na subjekty údajů v podobě závažného automatického rozhodování. Pokud Váš oprávněný zájem převáží po zhodnocení všech faktorů nad zájmem zákazníků na ochranu soukromí a osobního života, pak bude možné podle GDPR zpracovávat jejich nákupní historii za účelem profilování pro direct marketing v režimu opt-out. Doporučujeme, ať pro Vás toto posouzení vypracuje Váš právní zástupce.
      K Vaší poslední otázce uvádím následující odpověď. Pokud Váš zákazník změní osobní údaj, který zpracováváte na základě platné licence (například souhlasu), a požádá Vás o jeho aktualizaci, pak k takové operaci nepotřebujete nový souhlas. Aktualizace je naopak Vaší povinností, jelikož správce musí vždy zpracovávat přesné osobní údaje. Jak jsem však uvedl výše, ve Vámi popsané situaci je otázkou, zda souhlas pro direct marketing, o kterém hovoříte, není nebo nebude od účinnosti GDPR nadbytečný.

      Rád jsem Vám odpověděl a pokud budete mít k některým informacím další otázky, neváhejte se na mě obrátit.

      S pozdravem,

      Mgr. Jiří Císek
      Advokátní koncipient
      SEDLAKOVA LEGAL s.r.o.

  27. Iveta Macháčková Odpovědět

    Dobrý den, prosím o informaci – jsem zaměstnána a kromě zaměstnání provozuji jako vedlejší činnost půjčovnu kostýmů – při půjčení vypisuji se zákazníky výpůjční smlouvu – jméno, adresa, telefon, email, tyto smlouvy nikam nezasílám informace dále nikomu neposkytuji. Smlouvy ale jsou podkladem pro zpracování daňového přiznání. Do mailu mi chodí objednávky z mých webových stránek. Vztahují se i na mě nějaké povinnosti GDPR? Děkuji za odpověď. Macháčková

    • Matej Zachar Odpovědět

      Dobrý deň pani Macháčková,

      Ďakujeme za Váš dotaz.

      Áno, na Vaše spracovanie sa budú vzťahovať požiadavky GDPR. Z požiadaviek vyberáme najdôležitejšie:
      – nastaviť si správne retenčné doby a osobné údaje bezpečne mazať (skartovať), keď ich nebudete potrebovať
      – zaistiť výkon práva na informace, tzn. informovať Vašich zákazníkov o tom, ako budete spracovávať (viac informácií nájdete v článku č. 13)
      – zaručiť bezpečnosť zmlúv, tzn. ak ich máte v digitálnej podobe, tak zvážiť minimálne šifrovanie a ochranu pred malware; v papierovej podobe zaistiť, aby sa k nim taktiež nedostal nikto neoprávnený
      – umožniť zákazníkom výkon práva na opravu podľa článku 16 GDPR

      S pozdravom,
      Matej Zachar

  28. Radek Páleníček Odpovědět

    Jsme firma, zprostředkovávající nákladní přepravu. Naši zákazníci (firmy) od nás požadují nascanované řidičské průkazy řidičů, kteří náš náklad doručují. Je to pravděpodobně z toho důvodu, aby si ověřili člověka, který jim náklad doručuje. Je to běžný požadavek v rámci objednávky, kdybychom to nedodali přicházíme o obchod. Jsme oprávněni něco podobného poskytnout? V jaké roli v rámci tohoto zpracování budeme, správce nebo zpracovatel? V jaké roli bude zákazník? Jaký je právní základ zpracování? Jak je to v případě, že to fyzicky ukazují zákazníkovi sami a my je dopředu neposíláme?

    • Nela Patschová Odpovědět

      Dle našeho právního názoru se jedná mezi Vámi o vztah dvou rovnocenných správců osobních údajů. Tento vztah odůvodňujeme skutečností, že jak Vy, tak Vaši zákazníci, určujete samostatně prostředky zpracování osobních údajů. Původní zpracování skenů řidičských průkazů provádíte jako správce Vy, a taktéž určujete účel jejich zpracování, ale prostředky jejich zpracování po předání zákazníkům určují Vaši zákazníci samostatně. Z uvedeného důvodu neshledáváme v samotném předávání problém, neboť jestli jsou Vaši zákazníci správci osobních údajů, mají stejné povinnosti jejich zabezpečení podle GDPR jako Vy.
      Otázkou však je, zda můžete sken řidičského průkazu od zaměstnance legitimně získat. Nejdříve je potřeba zjistit, jakou máte licenci pro zpracování skenu řidičského průkazu. V tomto případě připadají v úvahu pouze dvě relevantní licence, a sice zpracování na základě souhlasu, nebo za účelem ochrany Vašich oprávněných zájmů. Souhlas přitom dle GDPR není licencí, která by byla uplatnitelná ve vztahu zaměstnanec a zaměstnavatel, neboť není možno nikdy zaručit úplnou svobodu udělení tohoto souhlasu. Zbývá tedy Váš oprávněný zájem, a ten můžete využít pouze v případě, že jím bude převážen zájem Vašich zaměstnanců na ochraně jejich práv a svobod. Dle našeho právního názoru je takový sken možno zpracovávat, neboť s Vašimi zaměstnanci uzavíráte pracovní smlouvu za účelem využití jejich pracovních kvalit k dosažení vlastního zisku, přičemž je jim za toto poskytnuta odměna. Ověření zaměstnance, jako dovozce určitého zboží Vaším jménem, je dle našeho názoru legitimní požadavek, se kterým lze při uzavírání pracovního poměru počítat.
      Domníváme se tedy, že Vámi popisované předávání je možné, ale přesto bychom s opatrností doporučili k naplnění zásady minimalizace osobních údajů využít k ověřování identity Vašich zaměstnanců nějaké méně invazivní opatření, například písemné zmocnění k nakládání s převáženým zbožím s razítkem Vaší společnosti a podpisem odpovídající oprávněné osoby.
      Pokud jde o předkládání řidičského průkazu přímo zaměstnancem, pak u těchto údajů bude režim stejný, neboť k předkládání dokladu totožnosti v rámci plnění svých pracovních povinností se jedná o jednání zaměstnance, které je přičitatelné zaměstnavateli, tedy Vám. Jedná se však o mnohem méně invazivní opatření, neboť po předložení nedochází k dalšímu zpracování průkazu jako takového.
      Na závěr však musíme uvést výhradu, že výše uvedené závěry se mohou lišit také s ohledem na obsah případných smluv, které máte uzavřeny se zákazníky a zaměstnanci, a proto doporučujeme nechat si vypracovat odborné stanovisko pro konkrétní činnosti zpracování Vaším právním zástupcem, nebo je pro Vás rádi připravíme v případě zájmu my.

      (Odpoveď spracovali kolegovia z AK SEDLAKOVA LEGAL http://sedlakovalegal.com/. V prípade záujmu sa môžete obrátiť priamo na kolegu Jiřího Císka [email protected])

  29. Petr Dohnal Odpovědět

    Dobrý den,jak dlouho se budou muset uchovávat osobní údaje,je nějaká lhůta?

    • Matej Zachar Odpovědět

      Dobrý deň,

      Ďakujeme za Vašu otázku.

      Vysvetlenie nájdeme priamo v texte GDPR, ktoré v rámci článku 17 odst. 1 hovorí o prípadoch, kedy by ste mali osobné údaje mazať. Najvšeobecnejšie o tom hovorí bod a), ktorý vysvetľuje, že by ste nemali spracovávať také osobné údaje, ktoré nepotrebujete pre účely, kvôli ktorým ste spracovávali.

      Lehota bude teda vždy závislá od účelov, pre ktoré spracovávate a bude rôzna pre jednotlivé spracovania osobných údajov, ktoré v organizácii máte.

      S pozdravom,
      Matej Zachar

  30. Božena Hendrychová Odpovědět

    Podobný dotaz už zde byl – provozuji, bez zaměstnanců, malý pension což znamená obdržet e-mailem (žádný freemail) popř. telefonem nebo i přímo poptávku s kontaktem, na kterou je požadovanou cestou odpovězeno. Pokud nedojde k akceptaci nabídky údaje likviduji, pokud ano, zůstávají e-maily (Outlook) uloženy v tabletu (legální udržované software, aktualizovaný antivir …), který je k inetu připojován pouze ke stažení pošty, příp. odeslání údajů cizinecké policii dle zákona. Jinak je pod uzamčením. Hosté se s počátkem ubytování zapisují do formuláře v rozsahu údajů podle zákona o místních poplatcích, cizinci podle zákona o pobytu cizinců. Tyto údaje jsou přepisovány ve smyslu cit. zákonů do „knihy ubytovaných“. Formuláře i jsou současně s přepsáním do „knihy“ likvidovány s tím, že údaje o cizincích jsou elektronicky odeslány cizinecké policii prostřednictvím její aplikace. Korespondence s ubytovanými prostřednictvím Outlooku je s ukončením jejich ubytování, tj. zaplacením pobytu vymazána. „Kniha ubytovaných“ je ukládána pod uzamčením a je, ze zákona, archivována 6 let od posledního zápisu. K popsanému nemá nikdo další přístup, objem takto jednotlivě zaznamenaných údajů je několik desítek během roku, aniž by byly jakkoli dále zpracovávány a krom archivace v písemně vedené „knize ubytovaných“ dál ukládány. Je něco z tohoto řešení v rozporu s GDPR nebo, je vůbec při tak malém rozsahu nezbytné práce s osobními údaji nutné zvlášť řešit GDPR? Za desítky let neznám případ, že by tato otázka pro hosty představovala jakýkoli problém.

  31. Matej Zachar Odpovědět

    Dobrý deň,

    V prvom rade, áno, GDPR sa na Vás bude vzťahovať a mali by ste zaistiť, že budete s nariadením v súlade.

    Z vašeho popisu nevidíme na prvý pohľad zásadný problém so spracovaním osobných údajov. V každom prípade bez znalosti ďalších informácií nie sme schopní rozhodnúť, či máte určite všetko v súlade. Rozhodne by sme doporučovali zamerať sa aspoň na nasledovné:
    – poskytovanie informácií hosťom v rámci práva na informácie podľa článku 13 GDPR
    – pripravenosť na výkon práva na opravu, resp. prístup k údajom
    – či nemáte ďalších spracovateľov (napr. externí účetní, externí IT, …)
    – súlad s GDPR v rámci ďalších spracovaní, ktoré možno vediete (kamerové záznamy, fotografie, vizitky, …)

    S pozdravom,
    Matej Zachar

  32. Josef Odpovědět

    Dobrý den,

    mám 2 dotazy pro dva typy podnikání, které provozujeme.
    U obou je využití osobních údajů stěžejní, proto bude rád za radu.

    1. Rozesílání papírové pošty přes online rozhraní
    Zákazník si přes naše řešení může odeslat papírový dopis. Vyplní údaje adresáta (jméno, příjmení, adresu) a my zajistíme tisk a podání na poště.
    Předpokládám, že v této situaci máme roli „zprostředkovatele“, nikoli správce. My data pouze použijeme pro odeslání dopisu (předáme tiskárně – jiný subjekt) a uložíme informaci do zákaznického účtu (obsah dopisu, adresáta). Z toho vyplívá, že naší povinností je umožnit Zákazníkovi (odesílateli dopisů), tato data u nás smazat, pokud k tomu bude vyzván adresátem.
    Chápu to správně? Na co si dát dále pozor?

    2. Zpracování databází ekonomických subjektů (firem a živnostníků)
    Máme systém, který strojově sbírá data o podnikatelích z různých veřejných rejstříků. Tato data kultivujeme a vytváříme z nich databáze.
    Například Databáze obcí, Databáze malířů,… Následně na našich www stránkách tyto data nabízíme za úplatu k dispozici. Jedná se o kompletní informace od IČ, názvu, adres, obratu, počtu zaměstnanců, e-mailů (nejen [email protected]), jména statutárů,..

    Z diskuze chápu, že ukládat a poskytovat e-maily se jménem [email protected] nelze. Na co si prosím dát dále pozor?

    Děkuji mnohokrát!

Vložit komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *