Nařízení GDPR – otázky & odpovědi

GDPR – Evropská směrnice, která výrazně mění pravidla pro zpracovávání a uchovávání osobních dat.

O směrnici GDPR se už nějakou dobu mluví. Někteří jsou na toto nařízení připraveni, jiní možná ještě tápou, co přesně budou muset změnit a jak to udělat.  Proto, abyste i vy byli připraveni na květen 2018, kdy začne nová směrnice platit, připravili jsme tuto „GDPR poradnu“.

Zeptejte se na cokoliv, co vás z této oblasti zajímá. Svůj dotaz napište přímo do komentáře pod článkem nebo na náš email info@menzo.cz.

Otázky a odpovědi budeme postupně do poradny zveřejňovat podle data přijetí.

 GDPR poradna – otázky & odpovědi

Otázka č. 1 – Existuje nebo bude nějaká metodika pro úředníky, jak se mají vzhledem k GDPR chovat? – 7.8.2017

V současné době úřady nedisponují žádnou metodikou k problematice GDPR. Přístup k řešení problematiky GDPR pro úřady bude obdobný jako u komerčních organizací s tím, že zde je navíc povinnost disponovat pozici „DPO“ – Data protection officer neboli Pověřenec pro správu osobních údajů. Primární úkoly DPO – monitorování „souladu“ zpracování osobních údajů s povinnostmi vyplývajícími z GDPR, realizace interních auditů, školení pracovníků a řízení agendy interní ochrany dat spojených s GDPR. Dále díky legislativě bude oprávnění se zpracováním OÚ (osobních údajů) jednodušší než u komerčních subjektů, protože zde mohou existovat legislativní důvody, které umožní zpracování OÚ bez souhlasu subjektu údajů.

Otázka č. 2 – Jak řešit GDPR v souvislosti s účetními programy, emailovými systémy pro smartmailing, atd.? – 7.8.2017

Zde obecně doporučujeme ověřit si smluvní vztah mezi poskytovatelem ICT řešení, zda je zde zakotvena povinnost aktualizace SW, aby byly v souladu s ČR a EU legislativou (obvykle bývá nazývána maintenance, nebo tzv. podpora od výrobce), tak aby nejlépe byla zajištěna odpovědnost poskytovatele za skutečnost, že řešení bude v souladu s GDPR. Zde je dále potřeba zvážit, zda je ICT poskytováno jako cloud, či pronajaté řešení. Následně k tomu přijmout taková opatření, aby s daným poskytovatelem měl subjekt zajištěnou dostatečnou úroveň ochrany OÚ s ohledem na GDPR. Zde ovšem upozorňujeme na možnou problematiku ICT s ohledem na OPENSOURCE řešení, kde není znám dodavatel, na kterém by se subjekt v případě problému hojil. Řešení je však individuální s ohledem právě na povahu daného ICT.

Otázka č. 3 – Jsme účetní firma, která externě zpracovává účetnictví a mzdy na pronájem SW, který není v cloudu. SW je umístěn na našem vlastním serveru. Chtěl bych Vás požádat o informace k našim povinnostem. – 3.10.2017

Váš dotaz má zásadní problém, neptáte se totiž správně! Pokud Vás budou zajímat pouze povinnosti, tak ty lze ocitovat z nařízení GDPR. Ale realita je jiná, bohužel HORŠÍ. Pokud však chcete vědět, co máte udělat, abyste byli připraveni poskytovat své služby klientovi, tak musíte učinit mnoho kroků a činností. Pokusím se Vám to objasnit asi takto. Bez znalosti informací o Vaší organizaci nelze seriózně a konkrétně odpovědět. Tedy pokud nechcete slyšet obecné citace z nařízení GDPR.

Je potřeba od Vás získat minimálně několik vstupních údajů:

  • jsou všichni Vaši pracovníci, kteří se dostávají k datům klientů výhradně Vašimi zaměstnanci? Pokud ne, tak na základě čeho vykonávají danou činnost?
  • spravujete si Vaše IT sami nebo používáte externí zdroje? Pokud máte externí zdroje, máte s nimi zajištěno smluvní a technické zabezpečení, aby ochránili data klienta?
  • je Váš pronajatý SW instalován ve Vašem prostředí nebo u poskytovatele SW? Je ve smlouvě zajištěna ochrana dat klienta?
  • ví Váš klient, že při zpracování jeho osobních údajů mohou s těmito údaji manipulovat i třetí strany?
  • máte uzavřeny NDA?
  • je pronajatý SW tzv. GDPR compliance a nebo bude do 5/2018 compliance? Máte toto zajištěno smluvně?
  • máte písemnou dokumentaci, kde se nacházejí osobní údaje klienta zabezpečenou proti přístupu neoprávněných osob (zde pozor i na uklízečky, správce domu, apod.)??
  • máte zálohy dokumentů a dat v zabezpečené místnosti s režimovým přístupem?
  • je způsob, jakým ve Vaší firmě přistupujete k osobním údajům prostřednictvím IT dostatečně GDPR ready?
  • apod.

Dotazů je poměrně hodně a je vhodné pojmout danou problematiku komplexně. Jakmile bude znám rozsah GDPR ve Vaší společnosti, lze říci, co dále. Nicméně teprve po jejich zodpovězení je možné se vrhnout k vypracování řádné odpovědi. Povinností je totiž méně, než činností a zdrojů (finančních, technických, lidských), jak je zabezpečit. Respektive cesta ke splnění povinností je poměrně složitá a je třeba se jí důkladně věnovat, především pokud zpracováváte osobní údaje jiných subjektů. Zde se můžete totiž dostat i do sankcí a možných soudních sporů právě ze strany subjektu, který Vám osobní údaje svěřuje, což je paradox, ale bohužel i realita.

Otázka č. 4 – Chtěl bych požádat o radu, zda se nás týká jmenování pověřence GDPR. Jsme malá firma s 5ti zaměstnanci. Máme ze zákona povinnost sledovat umístění námi dodaných přístrojů. Jedná se o zdravotnické prostředky. Máme cca 1 500 zákazníků, o kterých tedy musíme vést evidenci? – 17.10.2017

Váš dotaz je příliš obecný. Bude potřeba se nejprve podívat na celý proces sledování umístění, co to vlastně znamená? Je třeba identifikovat, zda v daném sledování umístění dochází k hromadnému zpracování OÚ. Dále není jasné, kdo jsou zákazníci, zda fyzické či právnické osoby, zda sledujete pacienty či jen zařízení v lokalitě nebo u firmy. Zde bude potřeba nejprve vyjasnit dané otázky.

Nicméně obecně platí, pokud dochází k hromadnému zpracovávání OÚ, je DPO respektive Pověřenec pro správu OÚ potřeba. V situacích, kdy to není zcela jasné nebo je to na hraně, je vhodné ideálně požádat o stanovisko Úřad pro ochranu osobních údajů.

Otázka č. 5 – Jsme malá stavební firma o velikosti cca 35 zaměstnanců včetně dělníků. Provádíme stavební práce v oblasti výstavby RD nebo různých rekonstrukcí apod. Naše služby si u nás objednávají, jak velké společnosti, tak i soukromé osoby. Týká se nás tedy povinná evidence GDPR? – 18.10.2017

GDPR se dotýká všech, kteří shromažďují nebo zpracovávají OÚ (osobní údaje) Evropanů, včetně firem a organizací mimo území EU, které působí na EU trhu. GDPR míří na organizace, subjekty i jednotlivce, kteří zpracovávají OÚ (zaměstnanci, zákazníci, klienti nebo dodavatelé) a to napříč segmenty a odvětvími. Dotýká se tedy i těch, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií.

Cílem GDPR je chránit digitální práva občanů EU. Lze tedy tvrdit, že problematika GDPR se týká i Vaší společnosti. Pro řešení problematiky GDPR Vám doporučujeme využít odborných společností, specializujících se na danou problematiku, případně nastudovat danou problematiku osobně a řešit vlastními silami. Další z možností je sledovat BLOGY odborných firem např. http://www.jobman.cz/blog/ nebo https://menzo.cz/blog/ apod.

Otázka č. 6 – Zpracovávám externě účetnictví fyzickým osobám (OSVČ), kteří mají například kolem deseti zaměstnanců (ať už na hlavní pracovní poměr, či na dohodu o provedení práce)
Týká se jich i v tomto případě GDPR?? (nejedná se o činnosti jako např. reklama, telekomunikační služby apod.)

Počet zaměstnanců není limitujícím faktorem pro určení zda se daného subjektu GDPR týká. Nicméně již s ohledem na to, že daný subjekt zpracovává OÚ o svých zaměstnancích je tedy nasnadě, že se jich GDPR týká také.

Otázka č. 7 – Chtěl bych prodávat hudbu své kapely přes internet. Prodej hudby by se měl uskutečňovat přes server Bandcamp. Tento server získává od fanoušků, kteří si zakoupí mou hudbu emailové adresy a ty si poté mohu přidat do svého mailing listu a posílat fanouškům novinky. Mailing list by byl veden u společnosti Mailchimp. Pokud si fanoušek objedná fyzické CD, jsou mi navíc na email vždy odeslány jeho doručovací údaje. Tyto údaje bych nepoužíval k jiným účelům, než je doručení zboží.
Dále bych chtěl zřídit kapelní webovou stránku, kde by se fanoušci mohli pomocí formuláře (zadají přezdívku/křestní jméno a email) opět zaregistrovat do mailing listu k odebírání novinek. Webová stránka poběží na serveru Webnode, který nabízí základní měření návštěvnosti. Kromě toho bych chtěl na stránku umístit Facebook pixel a s jeho pomocí na Facebooku vytvářet vlastní okruhy uživatelů.
Facebook Pixel funguje zhruba tak, že eviduje uživatele, kteří se prokliknou z FB na moji stránku a podle následné automatické analýzy zájmů a dalších údajů těchto uživatelů pak Facebook dokáže vytvořit určitý okruh uživatelů. Na ten mohu zacílit svou reklamu. Vše se děje anonymně, tzn. uživatele nejsem schopen nijak konkrétně identifikovat. Věděl byste prosím Vás, které z povinností podle GDPR by se na mě vztahovaly?

Rozdělíme si daný dotaz na jednotlivé části a u nich se pokusíme nalézt možné řešení:

  • Pokud Vám subjekt údajů poskytne např. emailovou adresu pro doručení Vašeho produktu, tak tuto emailovou adresu nepoužijete k jiným účelům, které omezuje nařízení GDPR. Je však otázkou, když jste uvedl, že emailovou adresu poskytl subjekt údajů serveru Bandcamp. Zde předpokládám, že nejste majitelem a provozovatelem tohoto server a tudíž bude potřeba vyřešit problém, kdy daný subjekt údajů poskytl email a jiné své OÚ subjektu, který provozuje Bandcamp a nikoliv Vám. Jedno z možných řešení je, že Vy po obdržení informace z Bandcampu poskytnete daný produkt Bandcamp a ten již ji odešle danému subjektu OÚ. Je ovšem zvážit i navazující problémy spojené s smluvním kontraktem a jeho dopady a povinnosti. Pokud by tento model nebyl možný ať už z jakéhokoliv důvodu, doporučujeme při objednání na serveru Bandcamp, aby při objednávání byla ošetřena skutečnost, že pro zaslání Vašeho produktu Vám bude předána emailová subjektu údajů a daný subjekt údajů, že s tím výslovně souhlasí a to formou CHECK BOXU či něčeho obdobného, kdy prokazatelně s plně v souladu s GDPR získáte jeho souhlas. Pro Vás to znamená, že po odeslání Vašeho produktu na danou adresu doporučujeme danou emailovou adresu následně nepoužívat k jiným účelům, než které nařízení GDPR či jiná legislativa zapovídá. Zde pravděpodobně budete muset opět jinak řešit smluvní a případně reklamační podmínky. V rámci distribuce např. pomocí CD je situace obdobná.
  • Pro odebírání novinek je třeba tedy získat souhlas daného subjektu OÚ, nejlépe obdobným způsobem jako je popsán výše, jen s tím rozdílem, že bude upraven účel zpracování OÚ, v tomto případě o distribuci novinek. Upozorňujeme opět na situaci, že je nanejvýše vhodné dodržovat účel zpracování OÚ ke kterému byl souhlas udělen.
  • U měření návštěvnosti je potřeba si dát pozor, aby nebyly zpracovávány jednotlivé údaje, které dokáží identifikovat subjekt údajů, ale pouze použít statistické informace, pomocí kterých nelze identifikaci provést. Mimochodem předpokládám, že tuto povinnost poskytovatelé WEB služeb budou znát a Vy by jste ji měl jako vlastník a správce OÚ po poskytovateli takových služeb vyžadovat.
  • K problematice FC Pixel apod. pokud získáte souhlas od subjektu údajů, že takovou činnost, jakou výše zmiňovaný produkt či služba provádí, pak takovou činnost můžete provádět a to formou v souladu s GDPR. Zde jen pozor na skutečnost, že subjekt údajů může kdykoliv takový souhlas odvolat či omezit způsob zpracování jeho OÚ u Vás.

Otázka č. 8 – Vlastním malou dárkovou síň se 2 zaměstnanci a já sám jsem v důchodu. Máme k obchodu e-shop pro prodej našeho dárkového zboží, které máme na naší kamenné prodejně, přes který zákazníkům nabízíme zboží, které je aktuálně na prodejně. Prodej je v řádu asi 10 objednávek měsíčně, většina lidí si přijede na prodejnu osobně. Týká se mě GDPR? Není v mém případě lepší přestat e-shop provozovat?

GDPR se Vás týká. Nevíme bohužel více o Vašem podnikání, proto rozhodovat, zda ukončit provozování e-shopu či nikoliv, je jedním z Vašich podnikatelských rozhodnutí. Mimochodem tím, že přestanete provozovat e-shop se povinnosti s GDPR pravděpodobně nezbavíte, protože zpracováváte osobní údaje i tak. Pravdou je, že čím méně budete mít informačních systémů, ve kterých budete zpracovávat osobní údaje, tím menší náklady spojené s GDPR budete mít.

Otázka č. 9 – Pracuji na magistrátě na odboru dopravy, pod náš odbor spadá vše, co se týká řidičských průkazů, vše co se týká vozidel, sankční řízení, které ukládá pokuty a řeší vše v dopravě a autoškoly, máme přístupy do všech možných registru. Chtěla bych se zeptat, co to bude obnášet pro nás, jestli budou muset všichni mít ve spisech nějaký souhlas. Jedná se o zhruba o 101 0 0 0 lidi řidičů. Dále bych se chtěla zeptat, co to bude pro mě jako pro pověřenou osobu za  odbor znamenat a co bude naplní moji práce.

Problematika státní správy a samosprávy je upravena českou legislativou, tzn. že pokud v rámci výkonu své činnosti zpracováváte OÚ, které nezbytně nutně potřebujete ke zpracování Vaší agendy, tak souhlasy nejsou potřebné, protože výkon správy a správní činnost s ohledem na čl. 6 bod e) NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Jako osoba pověřená za odbor budete zodpovídat, právě za to, aby všechny osobní informace na odboru byly vedeny a spravovány s výše zmíněným nařízením a zásadami zpracování osobních údajů, které, pokud ještě nemáte zavedené, jistě zavedené budou.

Otázka č. 10 – Jsme malá firma (autoservis), máme 2 zaměstnance. Opravy a prodej ND děláme jak pro PO, OSVČ, tak FO. U zákazníků FO vedeme jen jméno,adresu, typ a SPZ vozu, popřípadě telefon. Pokud je zákazník OSVČ nebo PO, tak IČ+DIČ, adresu.  Týká se nás GDPR?

Už jen z povahy věci, že máte dva zaměstnance a provádíte zpracování OÚ, které jste uvedli níže, je pravděpodobnost hraničící s téměř jistotou, že ano. Mimochodem mám za to, že pravděpodobně budete potřebovat VIN k vozidlu, či označení typu motoru karoserie, což jsou z povahy věci a vlastnictví OÚ, které v kombinaci jinými OÚ dokáže identifikovat patřičný subjekt údajů. U oprav na pojišťovnu, budete také muset držet a zpracovávat OÚ. Budete pro některé případy zpracovávat i kopie velkého TP, kde jsou také OÚ. V případě servisních zásahů u novějších modelů aut např. Škoda, musíte dané automobilce poskytnout přesné a detailní OÚ o vlastníkovi vozidla. V případě servisních knížek zde lze také najít OÚ. Dále také pokud používáte k prodeji webové nástroje. Typicky servisy nabízejí pneumatiky apod. Zde všude jsou OÚ.

Otázka č. 11 – Manžel je živnostník OSVČ. Veškeré data zpracovává písemnou formou…nevede žádnou databázi v PC ( faktury, smlouvy, dohody). Jediné, co v PC využívá je jeho online účet u banky. Spadá do GDPR?

Ochrana osobních údajů musí být zajištěna v elektronické, tak papírové podobě. Osobní údaje i v papírové formě podléhají GDPR stejně, jako elektronická forma. Zde je potřeba být minimálně v souladu se zákonem 499/2004 o archivnictví a spisové službě. Dále je potřeba zajistit dostatečnou ochranu daných dokumentů a OÚ na nich uložených.

Otázka č. 12 –  Mám firmu a pomocí Mailchimpu rozesílám každý měsíc určité informace o mé firmě jak stávajícím, tak potencionálním klientům. Databáze v tuto chvíli má přibližně 800 kontaktů a obsahuje jméno, příjmení a e-mailovou adresu. Jak přesně se na toto vztahuje GDPR? Musím mít od každého „svolení“ o zpracování OÚ?

Obecně platí, že zpracování osobních údajů podléhá jistým pravidlům. Tyto pravidla mají za cíl eliminovat zneužití osobních údajů, např. proti zasílání nevyžádaných emailů a informací apod. Pokud správce osobních údajů (tedy Vy) má legitimní důvod, který je v souladu s nařízením GDPR a díky němuž lze např. zasílat určité informace daným subjektům údajů, pak to možné samozřejmě je. Nicméně kámen úrazu je právě ten legitimní důvod. Ten si zajistíte např. získáním souhlasu od subjektu údajů, či smluvním kontraktem, který legitimizuje takovou činnost či jiným obdobným způsobem, který bude správce opravňovat k takové činnosti. Proto Vám tedy doporučujeme získat řádný legitimní důvod pro takovou činnosti např. souhlasem se zpracováním osobních údajů od subjektu údajů. Je třeba si uvědomit, že takový souhlas musí mít řádné provedení a splňovat podmínky nařízení GDPR.

Otázka č. 13 – Jak to bude s fakturami, které se posílají elektronicky v PDF formátu jakmile začne platit GDPR? Budu potřebovat souhlas subjektu údajů, že mu mohu zasílat fakturu emailem? Musí být faktura nějak zabezpečena proti neoprávněnému nakládaní s OÚ na ní uvedených?

Pokud mají dvě smluvní strany dohodnuto zasílání faktur emailem, pak není třeba souhlas subjektu údajů, protože Vám jej poskytl právě dohodou o výměně elektronických dokladů, kde jste si museli vyměnit emailovou adresu. Email je otevřená platforma a jako taková není zcela vhodná na zasílání obchodních korespondence v nezabezpečené formě. Zde tedy doporučujeme danou fakturu zabezpečit buď pomocí PGP, nebo zašifrovaného ZIP či RAR souboru.

Otázka č. 14 – Pořád se tu píše o firmách. A co občanské spolky? Jsem jednatelem a pokladníkem Severočeské pobočky České botanické společnosti. Naše pobočka sdružuje cca 140 osob, jak profesionálních, tak i amatérských botaniků. Vedu jejich evidenci (zaznamenávané údaje: jméno, titul/y, datum narození, adresa, mailová adresa, u některých telefonní číslo), rozesílám poštu (pozvánky na akce), vybírám a eviduji členské příspěvky. Vztahuje se na mne GDPR? Mohu mít přehled členů ve formě excelové tabulky v počítači? – na Disku Google? – v mobilním telefonu? Mohu je mít jako kontakty Google? Mohu dát seznam členů na internetovou stránku pobočky , alespoň v minimalistické podobě (např. jméno, datum narození, bydliště, email). Potřebuji nějakou pověřenou osobu na dohled na nakládání s osobními údaji?

Na organizaci Severočeská pobočka České botanické společnosti se GDPR vztahuje. Zpracování osobních údajů podléhá pravidlům daného nařízení i pokud by bylo pouze evidováno v papírové podobě, to se týká také poskytování informací o Vašich členech. Celou problematiku je třeba nastudovat, případně zvolit subjekt, který Vám s řešením pomůže. Díky rozsahu, který máte by řešení pro Vás mělo být poměrně snadno a levně realizovatelné. Není totiž až tak podstatné kde máte osobní údaje uloženy, ale jak jsou zabezpečeny, kdo a jak k nim má přístup, jak s nimi nakládá, jak jsou zabezpečeny apod. Pokud Vaší primární činností není hromadné zpracování osobních údajů, případně nejste státní organizace, není povinností mít zřízenou roli pověřence pro ochranu osobních údajů. Ovšem je třeba si uvědomit, že i když danou roli nebudete mít zřízenou, tak činnosti, které vyplývají z dané role bude muset někdo u Vás realizovat.

Otázka č. 15 – Zajímalo by mě zdá se GDPR týká  i poskytovatelů internetových stránek. Cca. před dvěma lety jsem skončil insolvenci, ale na internetových stránkách je stále uvedeno mé celé jméno i s rodným číslem.

GDPR se týká i poskytovatelů internetových stránek, pokud zpracovávají osobní údaje. Z logiky věci vyplývá, že tedy i tento poskytovatel bude GDPR dotčen. Problematika insolvence se řídí zákonem 182/2006 Sb. Insolvenční zákon, zde připadá v úvahu následující § 425 (1) Po uplynutí 5 let od nabytí právní moci rozhodnutí, jímž bylo skončeno insolvenční řízení, vyškrtne insolvenční soud dlužníka ze seznamu dlužníků a údaje o něm v insolvenčním rejstříku znepřístupní. Skončí-li insolvenční řízení rozhodnutím podle § 142, vyškrtne insolvenční soud dlužníka ze seznamu dlužníků a údaje o něm v insolvenčním rejstříku znepřístupní do 15 dnů od doručení žádosti dlužníka; dlužník je oprávněn požádat o vyškrtnutí nejdříve po uplynutí 3 měsíců od právní moci rozhodnutí.

Otázka č. 16 – Prosím o odborný názor na to, zda bude nutný souhlas se zpracováním osobních údajů pro registrované zákazníky na b2c a b2b na e-shopu. Pokud by se jednalo o to, že jsou data využívána na marketing je to jasné, ale u nás jsou registrace pouze pro zjednodušení a urychlení objednávek registrovaných zákazníků. Fakturační a dodací adresy, emaily a telefony uložené v těchto účtech se nijak dále nezpracovávají pro jakékoliv marketingové účely. Pokud by byl nutný souhlas, jak by takový souhlas mohl vypadat? Lze tento souhlas udělat na neurčito? Abych nemusel zákazník např. každé dva roky udělovat nový souhlas.

Je třeba si nejprve uvědomit, co jsou to osobní údaje v pojetí GDPR. Zde upozorňujeme, že do této kategorie nespadají údaje o právnických osobách. Pro zpracování osobních údajů není jedinou možností souhlas se zpracováním osobních údajů. Ve Vašem případě, bych viděl jako ideální možnost zpracovávat pouze a jen ty osobní údaje, které jsou nezbytně nutné pro poskytnutí služby. Je potřeba si uvědomit, že některé údaje budete potřebovat držet i po realizaci prodeje např. pro reklamace, či soudní spor. Je potřeba však zvážit, zda veškeré osobní údaje, které zpracováváte potřebujete k poskytnutí služby. Pak nebudete potřebovat souhlas se zpracováním osobních údajů, ale z zpracování bude probíhat z důvodu oprávněného zájmu. Ovšem jen v tom případě, že skutečně dále dané osobní údaje již nebudete nijak využívat, např. k marketingovým účelům apod. Definice a obsah souhlasu je uveden v samotném nařízení GDPR. Souhlas obecně lze udělit na dobu neurčitou, nicméně je potřeba v něm stanovit účely a důvody zpracování a ty musí být definovány konkrétně.

Otázka č. 17 – jsem OSVČ bez zaměstnanců, pracuji tedy sám a věnuji se oboru grafický design. Veškeré práce, které pro klienty vytvářím jako bannery, infografiky, vizitky nebo letáky si uveřejňuji na svých web stránkách mezi referencemi, dále práci prezentuji na svém osobním Facebooku, Twitteru a dalších sociálních sítích. Měl bych podle GDPR získat od klientů výslovný souhlas, zda mohu mnou vytvořené grafické návrhy uveřejnit na svém webu? U vizitek či letáků jsou pochopitelně viditelné kontaktní údaje klienta (jméno, příjmení, telefon, email, web stránky).  Pokud ano, stačí klienty obeslat e-mailem a vyžádat si extra souhlas?

Zveřejnění grafik a letáků podléhá spíše autorskému zákonu nikoliv GDPR (tedy pokud na nich nejsou osobní údaje). Zde Vám doporučujeme souhlas od daných firem, aby jste takové dílo mohl s jejich souhlasem užívat, např. formou zobrazení na facebooku či jinde. Tedy pokud to nemáte již ošetřeno dříve a jinak. U vizitek a letáků kde jsou osobní údaje doporučuji texty nahradit za anonymní typu JOSEF NOVÁK, ADRENALINOVÁ FIRMA, VELKOOBCHOD S POTRAVINAMI apod. Forma souhlasu záleží na Vás, ale je musí obsahovat všechny potřebné údaje.

Otázka č. 18 – jsme lékárna a máme informační systém, který nám pomáhá v evidenci pacientů domovů důchodců a jejich medikací. Tedy ve výsledku shromažďujeme data jako datum narození, RČ a jaké přípravky pacient užívá. Data nejsou nijak marketingově využívána nebo zpracována, je to jen chytřejší excel. Ač se jedná tedy o data zvláštní kategorie, tak nedochází k rozsáhlému zpracování, tedy by se nás mělo týkat GDPR a DPO. Dle stávájícího pochopení by nás měly čekat tři kroky – provedení a zdokumentování ochranných opatření, sehnání souhlasů, pseudonymizace a zdokumentování kroků pro operace nad daty (výmaz apod.). To celé pak zabalit a informovat UOOU o zpracování? Chápeme situaci správně? IS máme vlastní výroby ( od freelancera ) v PHP na vlastní VPS. IS má webový přístup a kromě zaměstnanců lékárny k němu mají přístup i zaměstnanci cílových domovů důchodců.

Ve Vašem případě je to trošku složitější. GDPR se Vás bude rozhodně týkat, protože je pravděpodobné, že daná data nezpracováváte pouze v excelu, ale budete je muset posílat zdravotním pojišťovnám, případně nějaké reporty na ministerstvo zdravotnictví, případně jiné kontrolní orgány. Jak uvádíte dále, poskytujete přístup k daným osobním údajům cílovým domovům důchodců, což už nyní je v rozporu s GDPR (nejsem si vědom, že by existovala nějaká legislativa, která to legalizuje). Dále je potřeba zvážit, zda nepodléháte auditům apod. DPO jako takového nemusíte mít, ale obecně doporučujeme disponovat člověkem (i např. externě), který danou činnost bude vykonávat, protože to že nemáte oficiálního DPO neznamená, že činnosti, které jsou s ním spojeny vykonávat nemusíte, naopak!

Otázka č. 19. – Manžel vyučuje anglický jazyk jako OSVČ. Jediný údaj, který potřebujeme od klientů je jméno, telefon a email, který mám pro to, abych mohla vystavit fakturu a domluvit se na výuce, změně termínu apod. Má rovněž zřízeny webové stránky, na kterých se mohou studenti dozvědět informace o kurzech a lektorech. Faktury zasílám emailem vytvořené v systému idoklad. Vztahuje se na něj GDPR? Žádné údaje neposkytuje nikomu jinému.

Konkrétní kontaktní údaje jako je mobil či email na klienty jsou typické osobní údaje, které Váš manžel zpracovává (jméno, příjmení a pod. ani nemluvě). Navíc pokud Vy zpracováváte osobní údaje jeho klientů, tak pokud jste firma budete i Vy spadat pod GDPR a bude muset s Vámi uzavřít tzv. Zpracovatelskou smlouvu. V případě že ne, doporučuji přesto smlouvu o mlčenlivosti mezi Vámi. Budete tedy muset s GDPR se vyrovnat. Nicméně to nebude tak složité, jako u společností s větším množstvím OÚ.

Otázka č. 20. – Jaké údaje a za jakých podmínek mohu shromáždit při organizaci setkání spolužáků, aniž bych porušil zákon?

Pokud organizujete setkání jako fyzická osoba, GDPR se Vás netýká.

Otázka č. 21 – Pracuji v neziskové organizaci. Ještě před zavedením GDPR se u nás v organizaci s každým pracovníkem podepsal souhlas s poskytnutím fotografií, videí apod. na PR účely organizace. V rámci našich klientů v sociálních službách se tyto souhlasy požadovaly u každé jejich fotky. Když šlo o pracovníky na chráněných pracovních místech, souhlas s každou fotografií potřeba nebyl a stačil jeden obecný, stejně jako u kmenových zaměstnanců.

Nyní, po zavedení GDPR do praxe, je prý nutnost mít u všech pracovníků vždy souhlas na KAŽDOU fotografii, video apod. Tedy v případě, že vyfotíme kohokoliv z našich zaměstnanců nebo klientů, sepisujeme souhlas a přikládáme na druhou stranu fotografii. Je tato metoda ale správná? Osobně mi to přijde jako sypání si popela na hlavu a zbytečná práce navíc. Nestačil by stejný systém, ten, který jsme používali původně – tedy u zaměstnanců mít jeden souhrnný souhlas a pouze u klientů podepisovat každou fotku zvlášť? Pouze pokud by někdo s nějakou fotkou nesouhlasil, písemně by svůj nesouhlas předal a mi bychom poté fotku smazali. Jak to tedy správně je?

Zde je třeba se podívat na věc s ohledem na účel zpracování takových fotografií či videí. Pokud totiž Váš souhlas byl určen pro nějaký účel, např. vystavení na WEB prezentaci dobročinné akce, pak lze tyto fotografie použít jen k tomu účelu. Proto je logické, že pokud dojde k požadavku na rozšíření pro další účel, je třeba souhlas další, nebo spíše rozšířit souhlas původní.

Ošetření dané situace možné je, např. tím, že veškeré Vaše fotografie, kde vystupujete v roli zaměstnance dané organizace, bude moci Váš zaměstnavatel prezentovat na WEB prezentaci Vaší společnosti.

 Je tedy potřeba vážit použití pro jednotlivé účely a důvody zpracování.

Na vaše dotazy odpovídá pan Michal Merta, MBA, MSc., LL.M
Specialista a poradce v oblasti GDPR

Více o GDPR – koho se týká, jaké změny přináší, jak se nejlépe připravit, atd. si přečtěte v našem článku Nařízení GDPR: Koho se týká a jak se připravit?

 

Specialista a poradce v oblasti GDPR., tel.: +420 602 176 330 e-mail: michal.merta@jobman.cz http://www.jobman.cz  
Komentáře
  1. Jiří Vlček napsal:

    Dobrý den,
    chtěl bych Vás požádat o informace k našim povinnostem. Jsme účetní firma která externě zpracovává účetnictví a mzdy na pronajatém SW, který není na cloudu. SW je umístěn na našem vlastním serveru.

    děkuji, Jiří Vlček

    • Michal Merta napsal:

      Dobrý den,
      Vás dotaz má zásadní problém, neptáte se totiž správně! Pokud Vás bude zajímat pouze povinnosti, tak ty lze ocitovat z nařízení GDPR. Ale realita je jiná, bohužel HORŠÍ. Pokud však chcete vědět, co máte udělat abyste byli připraveni poskytovat své služby klientovi, tak musíte učinit mnoho kroků a činností. Pokusíme se Vám to objasnit asi takto.
       
      Bez znalosti informací o Vaší organizaci nelze seriózně a konkrétně odpovědět. Tedy pokud nechcete slyšet obecné citace z nařízení GDPR.
       
      Je potřeba od Vás získat minimálně několik vstupních údajů:
      Jsou všichni pracovníci u Vás, kteří se dostávají s daty klientů výhradně Vašimi zaměstnanci? Pokud ne, tak na základě čeho, vykonávají u Vás danou činnost?
      Spravujete si Vaše IT sami, nebo používáte externí zdroje? Pokud máte externí zdroje, máte s nimi zajištěno smluvní a technické zabezpečení, aby ochránili data klienta?
      Je Váš pronajatý SW instalován ve Vašem prostředí, nebo u poskytovatele SW? Je ve smlouvě zajištěna ochrana dat klienta?
      Ví Váš klient, že u Vás při zpracovávání jeho OÚ mohou provádět i třetí strany a jaké?
      Máte uzavřeny NDA?
      Je pronajatý SW tzv. GDPR compliance a nebo bude do 5/2018 compliance? Máte toto zajištěno smluvně?
      Máte písemnou dokumentaci kde se nacházejí OÚ klienta zabezpečenou proti přístupu neoprávněných osob (zde pozor i na uklízečky, správce domu apod)?
      Máte zálohy dokumentů a dat v zabezpečené místnosti s režimovým přístupem?
      Je způsob, jakým ve Vaší firmě přistupujete k OÚ prostřednictví IT dostatečně GDPR ready?
      Apod.
       
      Těch dotazů je poměrně hodně a je vhodné pojmout danou problematiku komplexně. Jakmile bude znám ROZSAH GDPR VE VAŠÍ SPOLEČNOSTI, lze říci, co dále. Nicméně teprve po jejich zodpovězení je možné se vrhnout k vypracování řádné odpovědi. Povinností, je totiž méně, než činností a zdrojů /finančních, technických, lidských/, jak je zabezpečit. Respektive cesta ke splnění povinností je poměrně složitá a je třeba se jí důkladně věnovat, především pokud zpracováváte OÚ jiných subjektů. Zde se můžete totiž dostat i do sankcí a možných soudních sporů právě ze stran subjektu, který vám OÚ svěřuje, což je paradox, ale bohužel i realita.

  2. M. Horáček napsal:

    Přeji dobrý den, chtěl bych Vás požádat o radu, zda se nás týká jmenování pověřence GDPR. Jsme malá firma s 5ti zaměstnanci. Máme ze zákona povinnost sledovat umístění námi dodaných přístrojů. Jedná se o zdravotnické prostředky. Máme cca 1500 zákazníků o kterých tedy musíme vést evidenci. Děkuji M. Horáček

    • Michal Merta napsal:

      Dobrý den,
       
      Dotaz je příliš obecný. Bude potřeba se nejprve podívat na celý proces sledování umístění, co to vlastně znamená? Je třeba identifikovat, zda v daném sledování umístění dochází k hromadnému zpracování OÚ. Dále není jasné, kdo jsou zákazníci, zda fyzické či právnické osoby, zda sledujete pacienty či jen zařízení v lokalitě či u firmy. Zde bude potřeba nejprve vyjasnit dané otázky. Nicméně obecně platí, pokud dochází k hromadnému zpracovávání OÚ, je DPO respektive Pověřenec pro správu OÚ potřeba. V situacích, kdy to není zcela jasné, nebo je to na hraně, je vhodné ideálně požádat o stanovisko ÚOOÚ.

  3. Klára napsal:

    Dobrý den,

    jsme malá stavební firma o velikosti cca 35 zaměstnanců vč. dělníků.
    Provádíme stavební práce v oblasti výstavby RD nebo různých rekonstrukcí apod. Naše služby si u nás objednávají jak velké společnosti, tak i soukromé osoby. Týká se nás tedy povinná evidence GDPR??

    Děkuji
    S Pozdravem
    K.

    • Michal Merta napsal:

      GDPR se dotýká všech, kteří shromažďují nebo zpracovávají OÚ (osobní údaje) Evropanů, včetně firem a organizací mimo území EU, které působí na EU trhu. GDPR míří na organizace, subjekty i jednotlivce, kteří zpracovávají OÚ (zaměstnanci, zákazníci, klienti nebo dodavatelé), a to napříč segmenty a odvětvími. Dotýká se tedy i těch, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU. Lze tedy tvrdit, že problematika GDPR se týká i Vaší společnosti. Pro řešení problematiky GDPR Vám doporučujeme využití odborných společností, specializující se na danou problematiku, případně nastudovat danou problematiku osobně a řešit vlastními silami. Jedna z možností je sledovat BLOGY odborných firem např. http://www.jobman.cz/blog/ nebo https://menzo.cz/blog/ apod.

  4. Radan napsal:

    Přeji dobrý den.
    Chtěl bych prodávat hudbu své kapely přes internet. Prodej hudby by se měl uskutečňovat přes server Bandcamp. Tento server získává od fanoušků, kteří si zakoupí mou hudbu emailové adresy a ty si poté mohu přidat do svého mailing listu a posílat fanouškům novinky. Mailing list by byl veden u společnosti Mailchimp. Pokud si fanoušek objedná fyzické CD, jsou mi navíc na email vždy odeslány jeho doručovací údaje. Tyto údaje bych nepoužíval k jiným účelům, než je doručení zboží.
    Dále bych chtěl zřídit kapelní webovou stránku, kde by se fanoušci mohli pomocí formuláře (zadají přezdívku/křestní jméno a email) opět zaregistrovat do mailing listu k odebírání novinek. Webová stránka poběží na serveru Webnode, který nabízí základní měření návštěvnosti. Kromě toho bych chtěl na stránku umístit Facebook pixel a s jeho pomocí na Facebooku vytvářet vlastní okruhy uživatelů.
    Facebook Pixel funguje zhruba tak, že eviduje uživatele, kteří se prokliknou z FB na moji stránku a podle následné automatické analýzy zájmů a dalších údajů těchto uživatelů pak Facebook dokáže vytvořit určitý okruh uživatelů. Na ten mohu zacílit svou reklamu. Vše se děje anonymně, tzn. uživatele nejsem schopen nijak konkrétně identifikovat. Věděl byste prosím Vás, které z povinností podle GDPR by se na mě vztahovaly?Děkuji.

    • Michal Merta napsal:

      Dobrý den,
      Pokud Vám subjekt údajů poskytne např. emailovou adresu pro doručení Vašeho produktu, tak tuto emailovou adresu nepoužijete k jiným účelům, které omezuje nařízení GDPR. Je však otázkou, když jste uvedl, že emailovou adresu poskytnul subjekt údajů serveru Bandcamp. Zde předpokládám, že nejste majitelem a provozovatelem tohoto server a tudíž bude potřeba vyřešit problém, kdy daný subjekt údajů poskytnul email a jiné své OÚ subjektu, který provozuje Bandcamp a nikoliv Vám. Jedno z možných řešení je, že Vy po obdržení informace z Bandcampu poskytnete daný produkt Bandcamp a ten již ji odešle danému subjektu OÚ. Je ovšem zvážit i navazující problémy spojené s smluvním kontraktem a jeho dopady a povinnosti. Pokud by tento model nebyl možný ať už z jakéhokoliv důvodu, doporučujeme při objednání na serveru Bandcamp, aby při objednávání byla ošetřena skutečnost, že pro zaslání Vašeho produktu Vám bude předána emailová subjektu údajů a daný subjekt údajů, že s tím výslovně souhlasí a to formou CHECK BOXU či něčeho obdobného, kdy prokazatelně s plně v souladu s GDPR získáte jeho souhlas. Pro Vás to znamená, že po odeslání Vašeho produktu na danou adresu doporučujeme danou emailovou adresu následně nepoužívat k jiným účelům, než které nařízení GDPR či jiná legislativa zapovídá. Zde pravděpodobně budete muset opět jinak řešit smluvní a případně reklamační podmínky. V rámci distribuce např. pomocí CD je situace obdobná.
      Pro odebírání novinek je třeba tedy získat souhlas daného subjektu OÚ, nejlépe obdobným způsobem jako je pospán výše, jen s tím rozdílem, že bude upraven účel zpracování OÚ, v tomto případě o distribuci novinek. Upozorňujeme opět na situaci, že je nanejvýše vhodné dodržovat účel zpracování OÚ ke kterému byl souhlas udělen.
      U měření návštěvnosti je potřeba si dát pozor, aby nebyly zpracovávány jednotlivé údaje, které dokáží identifikovat subjekt údajů, ale pouze použít statistické informace, pomocí kterých nelze identifikaci provést. Mimochodem předpokládám, že tuto povinnost poskytovatelé WEB služeb budou znát a Vy by jste ji měl jako vlastník a správce OÚ po poskytovateli takových služeb vyžadovat.
      K problematice FC Pixel apod. pokud získáte souhlas od subjektu údajů, že takovou činnost, jakou výše zmiňovaný produkt či služba provádí, pak takovou činnost můžete provádět a to formou v souladu s GDPR. Zde jen pozor na skutečnost, že subjekt údajů může kdykoliv takový souhlas odvolat či omezit způsob zpracování jeho OÚ u Vás.

  5. Jiří Vlček napsal:

    Dobrý den,
    prosil bych Vás moc o radu:
    Zpracovávám externě účetnictví fyzickým osobám (OSVČ), kteří mají například kolem deseti zaměstnanců (ať už na hlavní pracovní poměr, či na dohodu o provedení práce)
    Týká se jich i v tomto případě GDPR?? (nejedná se o činnosti jako např. reklama, telekomunikační služby apod.)
    Mockrát děkuji za odpověď, s pozdravem Vlček Jiří.

    • Michal Merta napsal:

      Dobrý den,
      počet zaměstnanců není limitujícím faktorem pro určení zda se dané subjektu GDPR týká. Nicméně již s ohledem na to, že daný subjekt zpracovává OÚ o svých zaměstnancích je tedy nasnadě, že se jich GDPR týká také

  6. Dobrý den,vlastním malou dárkovou síň se 2 zaměstnanci a já sám jsem v důchodu . Máme k obchodu e-shop pro prodej našeho dárkového zboží které máme na naší kamenné prodejně ,přes který zákazníkům nabízíme zboží které je aktuálně na prodejně.Prodej je v řádu asi 10 objednávek měsíčně,většina lidí si přijede na prodejnu osobně.Týká se mě GDPR?Není v mém případě lepší přestat e-shop provozovat?Děkuji za odpověd.Bednář Lubomír

    • Michal Merta napsal:

      Dobrý den,
      GDPR se Vás týká. Nevíme nic o Vašem podnikání, proto rozhodování, zda přestat s webem či ne, je jedním z Vašich podnikatelských rozhodnutí. Mimochodem, tím že přestanete provozovat e-shop, tak jste se povinnosti s GDPR pravděpodobně nezbavil, protože zpracováváte osobní údaje i tak. Pravdou je, že čím méně budete mít informačních systémů, ve kterých budete zpracovávat osobní údaje, tím menší náklady spojených s GDPR budete mít.

  7. Petra napsal:

    Dobrý den pracuji na magistrátě na odboru dopravy pod náš odbor spadá vše co se týká řidičských průkazů vše co se týká vozidel sankční řízení které ukládá pokuty a řeší vše v dopravě a autoškoly máme přístupy do všech možných registru tak bych se chtěla zeptat co to bude obnášet pro nás jestli budou muset všichni mít ve spisech nějaký souhlas přeci jen Jedná se o nás zhruba o 101 0 0 0 lidi řidičů a pak bych se chtěla zeptat co to bude pro mě jako pro tu pověřenou osobu za ten odbor znamenat a co bude naplni moji prace děkuji

    • Michal Merta napsal:

      Dobrý den,
      problematika státní správy a samosprávy je upravena českou legislativou, tzn. že pokud v rámci výkonu své činnosti zpracováváte OÚ, které nezbytně nutně potřebujete ke zpracování Vaší agendy, tak souhlasy nejsou potřebné, protože výkon správy a správní činnost s ohledem na čl. 6 bod e) NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Jako osoba pověřená za odbor budete zodpovídat, právě za to, aby všechny osobní informace na odboru byly vedeny a spravovány s výše zmíněným nařízením a zásadami zpracování osobních údajů, které, pokud ještě nemáte zavedené, jistě zavedené budou.

  8. Vlasta Vítková napsal:

    Dobrý den, jsme malá firma (autoservis), máme 2 zaměstnance. Opravy a prodej ND děláme jak pro PO, OSVČ, tak FO. U zákazníků FO vedeme jen jméno,adresu, typ a SPZ vozu, popřípadě telefon. Pokud je zákazník OSVČ nebo PO, tak IČ+DIČ, adresu. Týká se nás GDPR?

    • Michal Merta napsal:

      Dobrý den,
      už jen z povahy věci, že máte dva zaměstnance a provádíte zpracování OÚ, které jste uvedli níže, je pravděpodobnost hraničící s téměř jistotou, že ano.

      Mimochodem mám za to, že pravděpodobně budete potřebovat VIN k vozidlu, či označení typu motoru karoserie, což jsou z povahy věci a vlastnictví OÚ, které v kombinaci jinými OÚ dokáže identifikovat patřičný subjekt údajů. U oprav na pojišťovnu, budete také muset držet a zpracovávat OÚ. Budete pro některé případy zpracovávat i kopie velkého TP, kde jsou také OÚ. V případě servisních zásahů u novějších modelů aut např. Škoda, musíte dané automobilce poskytnout přesné a detailní OÚ o vlastníkovi vozidla. V případě servisních knížek zde lze také najít OÚ. Dále také pokud používáte k prodeji webové nástroje. Typicky servisy nabízejí pneumatiky apod. Zde všude jsou OÚ.

  9. Jiří Horký napsal:

    Dobrý den,

    manželka provozuje jako OSVČ malý eshop. Jsem přesvědčený o tom, že se nás GDPR týká, jen se chci zeptat:
    1) Musí mít pověřenec (DPO) nějakou certifikaci, nebo je jen na něm, vykonávat funkci v souladu s předpisy, Případně jak poznám tu správnou certifikaci.
    2) V našem případě, může být pověřenec (DPO) manžel?

    Děkuji za odpovědi a přeji hezký den

    • Michal Merta napsal:

      Dobrý den,
      Ad1) V současné době není nikde zakotvena povinnost certifikovat DPO, jsou doporučení ze strany nařízení, co by takový DPO měl splňovat, nicméně je to pouze doporučení. Záleží jen na statutárním orgánu, koho jako DPO jmenuje.

      Ad2) V současné době není nikde definováno, že by manžel či kdokoliv jiný, (pokud to nebude v rozporu s nařízením GDPR), nemohl být jmenován jako DPO. Je potřeba jen brát zřetel, aby manžel např. nepůsobil jako DPO pro Vašeho konkurenta a hrozil by střet zájmu. Nebo jako např. v energetice, kde proběhl „unbandlig“, tak by mohl nastat problém.

  10. Marek Očadlík napsal:

    Dobrý den, rád bych se zeptal, jak to bude s fakturami, které se posílají elektronicky v PDF formátu jakmile začne platit GDPR. Budu potřebovat souhlas subjektu údajů, že mu mohu zasílat fakturu emailem? Musí být faktura nějak zabezpečena proti neoprávněnému nakládaní s OÚ na ní uvedených?

    • Michal Merta napsal:

      Dobrý den,
      pokud mají dvě smluvní strany dohodnuto zasílání faktur emailem, pak není třeba souhlas subjektu údajů, protože Vám jej poskytl právě dohodou o výměně elektronických dokladů, kde jste si museli vyměnit emailovou adresu. Email je otevřená platforma a jako taková není zcela vhodná na zasílání obchodních korespondence v nezabezpečené formě. Zde tedy doporučujeme danou fakturu zabezpečit buď pomocí PGP nebo zašifrovaného ZIP či RAR souboru.

  11. Věra H. napsal:

    Dobrý den,

    ráda bych se informovala. Mám firmu a pomocí Mailchimpu rozesílám každý měsíc určité informace o mé firmě jak klientům, tak potencionálním klientům. Databáze v tuto chvíli má přibližně 800 kontaktů a obsahuje jméno, příjmení a e-mailovou adresu. Jak přesně se na toto vztahuje GDPR? Musím mít od každého „svolení“ o zpracování OÚ?

    Předem děkuji za odpověď

    Věra H.

    • Michal Merta napsal:

      Dobrý den,
      obecně platí, že pro zpracování osobních údajů podléhá jistým pravidlům. Tyto pravidla mají za cíl eliminovat zneužití osobních údajů, např. proti zasíláním nevyžádaných emailů a informací apod. Pokud správce osobních údajů (tedy Vy) má legitimní důvod, který je v souladu s nařízením GDPR a díky němuž lze např. zasílat určité informace daným subjektům údajů, pak to možné samozřejmě je. Nicméně kámen úrazu je právě ten legitimní důvod. Ten si zajistíte např. získáním souhlasu od subjektu údajů, či smluvním kontraktem, který legitimizuje takovou činnost či jiným obdobným způsobem, který bude správce opravňovat k takové činnosti. Proto Vám tedy doporučujeme získat řádný legitimní důvod pro takovou činnosti např. souhlasem se zpracováním osobních údajů od subjektu údajů. Je třeba si uvědomit, že takový souhlas musí mít řádné provedení a splňovat podmínky nařízení GDPR.

  12. Ivan Bílek napsal:

    Dobrý den.
    Pořád se tu píše o firmách. A co občanské spolky?
    Jsem jednatelem a pokladníkem Severočeské pobočky České botanické společnosti. Naše pobočka sdružuje cca 140 osob, jak profesionálních, tak i amatérských botaniků. Vedu jejich evidenci (zaznamenávané údaje: jméno, titul/y, datum narození, adresa, mailová adresa, u některých telefonní číslo), rozesílám poštu (pozvánky na akce), vybírám a eviduji členské příspěvky. Vztahuje se na mne GDPR? Mohu mít přehled členů ve formě excelové tabulky v počítači? – na Disku Google? – v mobilním telefonu? Mohu je mít jako kontakty Google? Mohu dát seznam členů na internetovou stránku pobočky , alespoň v minimalistické podobě (např. – vymýšlím si, doufám že nikdo takový není – Jan Novák, Most – o tom, že by tam bylo doc. RNDr. Jan Novák, Ph.D., 23.6.1950, Most, Hornická 2244, jnovak@seznam.cs vůbec neuvažuji!). Potřebuji nějakou pověřenou osobu na dohled na nakládání s osobními údaji, či jak se ona funkce jmenuje?
    Děkuji za případnou laskavou odpověď.

    • Michal Merta napsal:

      Dobrý den,
      na organizaci Severočeská pobočka České botanické společnosti se GDPR vztahuje. Zpracování osobních údajů podléhá pravidlům daného nařízení i pokud by bylo pouze evidováno v papírové podobě, to se týká také poskytování informací o Vašich členech. Celou problematiku je třeba nastudovat, případně zvolit subjekt, který Vám s řešením pomůže. Díky rozsahu, který máte by řešení pro Vás mělo být poměrně snadno a levně realizovatelné. Není totiž až tak podstatné kde máte osobní údaje uloženy, ale jak jsou zabezpečeny, kdo a jak k nim má přístup, jak s nimi nakládá, jak jsou zabezpečeny apod. Pokud Vaší primární činností není hromadné zpracování osobních údajů, případně nejste státní organizace, není povinností mít zřízenou roli pověřence pro ochranu osobních údajů. Ovšem je třeba si uvědomit, že i když danou roli nebudete mít zřízenou, tak činnosti, které vyplývají z dané role bude muset někdo u Vás realizovat.

  13. Ruda napsal:

    Dobrý den,
    konečně smysluplný článek a komentáře.
    Nebudu se rozepisovat, ale z vlastní zkušenosti je třeba super zajít na nějaké školení ohledně GDPR, pár poznámek a zbytek najít v článcích,já jsem byl na školení u Oty Kleknera, nezabere to celý den, stručně popsané.
    Rudolf

    • Petra napsal:

      Dobrý den Rudolfe,
      naprosto s Vámi souhlasíme. Pokud byste se chtěl cokoliv k GDPR doptat, určitě se na nás obraťte.

  14. Milan napsal:

    Dobrý den, zajímalo by mě zdá se to týká i poskytovatelů internetových stránek. Cca.pred dvěma lety jsem skončil insolvenci ale na internetových stránkách je stále mé celé jméno i s rodným číslem. Děkuji za odpověď

    • Michal Merta napsal:

      GDPR se týká i poskytovatelů internetových stránek, pokud zpracovávají osobní údaje. Z logiky věci vyplývá, že tedy i tento poskytovatel bude GDPR dotčen. Problematika insolvence se řídí zákonem 182/2006 Sb. Insolvenční zákon, zde připadá v úvahu následující § 425 (1) Po uplynutí 5 let od nabytí právní moci rozhodnutí, jímž bylo skončeno insolvenční řízení, vyškrtne insolvenční soud dlužníka ze seznamu dlužníků a údaje o něm v insolvenčním rejstříku znepřístupní. Skončí-li insolvenční řízení rozhodnutím podle § 142, vyškrtne insolvenční soud dlužníka ze seznamu dlužníků a údaje o něm v insolvenčním rejstříku znepřístupní do 15 dnů od doručení žádosti dlužníka; dlužník je oprávněn požádat o vyškrtnutí nejdříve po uplynutí 3 měsíců od právní moci rozhodnutí.

  15. Jirka napsal:

    Dobrý den,

    prosím o odborný názor na to, zda bude nutný souhlas se zpracováním osobních údajů pro registrované zákazníky na b2c a b2b na e-shopu.
    Pokud by se jednalo o to, že jsou data využívána na marketing je to jasné, ale u nás jsou registrace pouze pro zjednodušení a urychlení objednávek registrovaných zákazníků. Fakturační a dodací adresy, emaily a telefony uložené v těchto účtech se nijak dále nezpracovávají pro jakékoliv marketingové účely.
    Pokud by byl nutný souhlas, jak by takový souhlas mohl vypadat? Lze tento souhlas udělat na neurčito? Abych nemusel zákazník např. každé dva roky udělovat nový souhlas.
    Děkuji.

    • Michal Merta napsal:

      Dobrý den,
      je třeba si nejprve uvědomit, co jsou to osobní údaje v pojetí GDPR. Zde upozorňujeme, že do této kategorie nespadají údaje o právnických osobách. Pro zpracování osobních údajů není jedinou možností souhlas se zpracováním osobních údajů. Ve Vašem případě, bych viděl jako ideální možnost zpracovávat pouze a jen ty osobní údaje, které jsou nezbytně nutné pro poskytnutí služby. Je potřeba si uvědomit, že některé údaje budete potřebovat držet i po realizaci prodeje např. pro reklamace, či soudní spor. Je potřeba však zvážit, zda veškeré osobní údaje, které zpracováváte potřebujete k poskytnutí služby. Pak nebudete potřebovat souhlas se zpracováním osobních údajů, ale z zpracování bude probíhat z důvodu oprávněného zájmu. Ovšem jen v tom případě, že skutečně dále dané osobní údaje již nebudete nijak využívat, např. k marketingovým účelům apod. Definice a obsah souhlasu je uveden v samotném nařízení GDPR. Souhlas obecně lze udělit na dobu neurčitou, nicméně je potřeba v něm stanovit účely a důvody zpracování a ty musí být definovány konkrétně.

      • Jirka napsal:

        Dobrý den, děkuji za Vaší informaci. Bohužel se v tom již ztrácím, jelikož Vaše informace ohledně registrace do zákaznického účtu se zcela rozchází s informací od eLegal: https://youtu.be/Brv8LeOpwTI?t=20m14s viz. 20 minuta 20 vteřina, která tvrdí že je potřeba souhlasu.
        Prosím o Vaše vyjádření.

        • Michal Merta napsal:

          Ano, to ale platí pro B2C, nikoliv pro B2B. Je třeba mít na mysli, že zákazník může být právnická osoba, a té se GDPR nedotýká. Tedy pokud nebude poskytovat informace o svých zaměstnancích.

  16. Pavel T. napsal:

    Dobrý den, jsem OSVČ bez zaměstnanců, pracuji tedy sám a věnuji se oboru grafický design. Veškeré práce, které pro klienty vytvářím jako bannery, infografiky, vizitky nebo letáky si uveřejňuji na svých web stránkách mezi referencemi, dále práci prezentuji na svém osobním Facebooku, Twitteru a dalších sociálních sítích. Měl bych podle GDPR získat od klientů výslovný souhlas, zda mohu mnou vytvořené grafické návrhy uveřejnit na svém webu? U vizitek či letáků jsou pochopitelně viditelné kontaktní údaje klienta (jméno, příjmení, telefon, email, web stránky). Pokud ano, stačí klienty obeslat e-mailem a vyžádat si extra souhlas? Děkuji.

    • Michal Merta napsal:

      Zveřejnění grafik a letáků podléhá spíše autorskému zákonu nikoliv GDPR (tedy pokud na nich nejsou osobní údaje). Zde Vám doporučujeme souhlas od daných firem, aby jste takové dílo mohl s jejich souhlasem užívat, např. formou zobrazení na facebooku či jinde. Tedy pokud to nemáte již ošetřeno dříve a jinak.

      U vizitek a letáků kde jsou osobní údaje doporučuji texty nahradit za anonymní typu JOSEF NOVÁK, ADRENALINOVÁ FIRMA, VELKOOBCHOD S POTRAVINAMI apod. Forma souhlasu záleží na Vás, ale je musí obsahovat všechny potřebné údaje.

  17. Markéta Johnston napsal:

    Dobrý den.
    Manžel vyučuje anglický jazyk jako OSVČ. Jediný údaj, který potřebujeme od klientů je jméno, telefon a email, který mám pro to, abych mohla vystavit fakturu a domluvit se na výuce, změně termínu apod. Má rovněž zřízeny webové stránky, na kterých se mohou studenti dozvědět informace o kurzech a lektorech. Faktury zasílám emailem vytvořené v systému idoklad. Vztahuje se na něj GDPR? Žádné údaje neposkytuje nikomu jinému.

    • Michal Merta napsal:

      konkrétní kontaktní údaje jako je mobil či email na klienty jsou typické osobní údaje, které Váš manžel zpracovává (jméno, příjmení a pod ani nemluvě). Navíc pokud Vy zpracováváte osobní údaje jeho klientů, tak pokud jste firma budete i Vy spadat pod GDPR a bude muset s Vámi uzavřít tzv. Zpracovatelskou smlouvu. V případě že ne, doporučuji přesto smlouvu o mlčenlivosti mezi Vámi. Budete se tedy muset s GDPR vyrovnat. Nicméně to nebude tak složité, jako u společností s větším množstvím OÚ.

  18. Jiří Semmler napsal:

    Dobrý den, měl bych dotaz ohledně níže popsané situace. Trochu se vymykáme klasickým eshopům a marketingovému zpracování dat, proto v tom máme trochu guláš. Můžete mě prosím nasměrovat?

    Jsme lékárna a máme informační systém, který nám pomáhá v evidenci pacientů domovů důchodců a jejich medikací. Tedy ve výsledku shromažďujeme data jako datum narození, RČ a jaké přípravky pacient užívá. Data nejsou nijak marketingově využívána nebo zpracována, je to jen chytřejší excel. Ač se jedná tedy o data zvláštní kategorie, tak
    nedochází k rozsáhlému zpracování, tedy by se nás neměla týkat DPIA a DPO. Dle stávájícího pochopení by nás měly čekat tři kroky – provedení a zdokumentování ochraných opatření, sehnání souhlasů, pseudonymizace a zdokumentování kroků pro operace nad daty (výmaz apod.). To celé pak zabalit a informovat UOOU o zpracování? Chápeme situaci správně? IS máme vlastní výroby ( od freelancera ) v PHP na vlastní VPS. IS má webový přístup a kromě zaměstnanců lékárny k němu mají přístup i zaměstnanci cílových domovů důchodců.

    Děkuji, Semmler

    • Michal Merta napsal:

      Ve Vašem případě je to trošku složitější. GDPR se Vás bude rozhodně týkat, protože je pravděpodobné, že daná data nezpracováváte pouze v excelu, ale budete je muset posílat zdravotním pojišťovnám, případně nějaké reporty na ministerstvo zdravotnictví, případně jiné kontrolní orgány. Jak uvádíte dále, poskytujete přístup k daným osobním údajům cílovým domovům důchodců, což už nyní je v rozporu s GDPR (nejsem si vědom, že by existovala nějaká legislativa, která to legalizuje). Dále je potřeba zvážit, zda nepodléháte auditům apod. DPO jako takového nemusíte mít, ale obecně doporučujeme disponovat člověkem (i např. externě), který danou činnost bude vykonávat, protože to že nemáte oficiálního DPO neznamená, že činnosti, které jsou s ním spojeny vykonávat nemusíte, naopak!

      • Jiří Semmler napsal:

        Dobrý den, velice děkuji za reakci. Mám k tomu několik doplňujících otázek:
        1) data z uvedeného IS dalším orgánům neposkytujeme, poznámka o chytřejším excelu byla pouze demonstrativní. Prakticky jsou data uložená ve zméněném IS, Excel není nikde využit. To nás ale nijak neodstiňuje od GDPR, že?
        2) nerozumím rozporu ohledně poskytování přístupu stranám, které data už mají. Jedná se o domov, jehož pacienti jsou právě objektem ukládaných dat. Neposkytujeme žádná data, která by třetí strany už neměly (samy je poskytyjí a potřebují ke své činnosti). Můžete to prosím rozvést?
        3) na základě čeho můžu poznat, zda podléháme auditům či nikoliv, můžete mě prosím nasměrovat?

        Velice děkuji, Semmler

  19. Novák Jan napsal:

    Dobrý den,

    po jakou dobu mohu uchovat pracovní smlouvu po ukončení pracovního poměru?

    Děkuji Novák

    • Michal Merta napsal:

      Dobrý den,
      základním účelem zpracování osobních údajů zaměstnance je vedení mzdové a personální agendy zaměstnavatele. Tento účel ovšem končí při skončení pracovního poměru zaměstnance. Skončení pracovního poměru však automaticky neznamená, že by zaměstnavatel měl osobní spis, mzdovou složku a další údaje zaměstnance, vyjma povinně uchovávaných dokumentů, neprodleně zlikvidovat. Kromě vedení mzdové a personální agendy je totiž dalším oprávněným účelem uchování dokumentů možnost zaměstnavatele efektivně se bránit v případném sporu se zaměstnancem, např. o určení neplatnosti výpovědi nebo povinnosti zaplatit zaměstnanci práci přesčas.

      Pro zmíněný účel je možné uchovávat ty dokumenty, které mohou zaměstnavateli umožnit ve sporu hájit svá práva a oprávněné zájmy. S ohledem na 3letou promlčecí lhůtu se považuje za přijatelné uchování dokumentů za tímto účelem po dobu až 4 let (s ohledem na fakt, že žaloba může být žalovanému zaměstnavateli doručena i několik měsíců po uplynutí promlčecí lhůty). ÚOOÚ nepožaduje, aby uchovávání dokumentů po dobu trvání pracovněprávního vztahu bylo oznámeno tohoto úřadu. Z obvyklé praxe lze dovodit, že oznamovací povinnost se nevztahuje ani na uchování dokumentů po skončení pracovního poměru v těch případech, kde je účelem jejich uchování uplatnění práv a povinností z pracovněprávního vztahu, tedy i obrana v případném soudním sporu vycházejícím z tohoto pracovního poměru. Všichni dotčení zaměstnanci by však měli být o uchování osobních údajů informováni (ale jejich souhlas v tomto případě není nutný). Po uplynutí doby 4 let se doporučuje uchovávat pouze dokumenty, u kterých to výslovně vyžadují právní předpisy.

  20. Autoškola napsal:

    Dobrý den, jsme autoškola. Již na žádosti o zařazení do výcviku jsou údaje jako jméno, dat. nar., RČ, adresa, telefon atd. Jsou povinné zahájení, ukončení , zkoušce a poté putují na mag. města pro vystavení řidičského průkazu. Tyto údaje jsou také uvedeny v matriční, třídní knize , průkazkách a voz. sešitech. Formulář a ostatní je schválen ministerstvem dopravy a je to součást zákona, který se ale nezměnil a údaje jsou povinné. Tak to pak asi musím oslovit každého žáka se souhlasem nebo jak jinak a také musím oslovit i ty , kteří jsou u nás nahlášeni ještě před platností zákona? U zaměstnanců je mi to jasné. Dále provádíme pravidelné školení řidičů z povolání a různá vstupní školení i u těchto lidí, kteří k nám chodí každý rok musím přidat papír se souhlasem. a co ty které tu musíme kvůli archivaci uchovávat 5-10 i více let ? Moc děkuji za radu . Děkuji Brozmanová

    • Michal Merta napsal:

      Dobrý den,
      výkon specializovaných činností je stanovena příslušným zákon. Ten zároveň stanovuje i příslušné údaje, které je nutné zpracovávat. Tyto údaje tedy jsou pro GDPR pokryty danou legislativou. Je potřeba si pouze dát pozor na informace, které nejsou již v dané legislativě pokryty, obvykle to může být email, mobilní telefon apod. Předpokládám však, že disponujete formuláři, které jste dostali od státní správy či samosprávy, zde je situace jasná. Pokud tedy dané údaje předáváte státní správě či samosprávě na základě platné legislativy, tak z hlediska GDPR máte oporu v daném zákoně.

      Školení řidičů z povolání apod. musíte ověřit, zda nespadá pod nějakou legislativní povinnosti a pokud ano, tak opět máte při předání osobních údajů státní správě či samosprávě problém vyřešen. V případě, že osobní údaje předáváte komerčním subjektům, které nespadají pod dikci příslušné legislativy, budete muset zajistit Zpracovatelskou smlouvou ochranu daných osobních údajů.

  21. Petr napsal:

    Dobrý den, chci spustit soukromou webovou stránku spolužáků ze střední školy. Obsah stránek by byl přístupný pod heslem pouze pro žáky (členy). Obsahem by byly kontakty – jméno, email, telefon, adresa, a debata členů. Stránky by byly pouze pro osobní účely, neexistuje důvod poskytovat údaje žádné třetí straně, z provozu stránek neplyne žádný prospěch ani zisk.
    Z dostupných informací bychom mohli spadat pod vyjímku „Údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter“. Prosím o radu, jestli tímto neporušíme zákon, popř. radu jak toto ošetřit.

  22. Jirka A. napsal:

    Dobrý den,
    manželka vlastní Veterinární ordinaci. V kartotéce klientů má na ně kontaktní informace (jméno, adresu, email a telefon) nově budeme na email a telefon po klientech vyžadovat souhlas. Jak se zachovat ke stávajícím klientům? Máme je kontaktovat (emailem) a požadovat souhlas a v případě, že neodpoví, email a telefon smazat?
    Obdobnou situaci máme u e-shopu, kde mají klienti zřízeny účty. Jak se postavit k těmto zřízeným účtům?
    V obou případech se informace nepoužívají k marketingovým účelům.
    Předem děkuji za jakoukoli radu. Jirka A.

    • Michal Merta napsal:

      Dobrý den,
      souhlas můžete zajistit několika způsoby, elegantní je emailem. Avšak pozor, za emailem či jinými komunikačními nástroji se může skrývat kdokoliv a povinností správce osobních údajů je zajistit dostatečnou identifikaci osob. Takže je třeba zvážit, zda to bude dostatečné. Vy totiž budete prokazovat, že zpracováváte osobní údaje příslušných osob. Takže např. email s elektronickým podpisem, nebo datovou schránkou apod. je vhodnější. Případně nechat podepsat při návštěvě ordinace apod. U zřízených účtů je situace obdobná. Je třeba zajistit, že správce osobních údajů prokážete, čí data zpracovává. Zde lze např. zajistit identifikaci pomocí tzv. dvoufaktorové identifikace. Ale i zde si musíte být nejprve jisti (než si v systému odsouhlasíte, že on je on) , že ten klient je skutečně on a nevydává se na někoho jiného.

  23. Stahlich napsal:

    Dobrý den, prodávám auta sám takže do smluv píšeme jméno, RČ, č.op, a trvalé bydliště, musíme také zákazníkům dávat podepsat souhlas zpracováním osobních údajů? Děkuji za odpověď Stahlich

    • Michal Merta napsal:

      Dobrý den,
      nechci polemizovat nad problematikou obsahu kupních smluv, ale mám za to, že rodné číslo a číslo OP nemusíte do smluv dát. Datum narození a místo toho by stačilo. Pak nemáte žádný problém s takovými osobními údaji.

  24. Ivana napsal:

    Dobrý den, máme s manželem autobazar a prodáváme ojeté automobily. Oba podnikáme jako OSVČ, každý na své IČO (takže v jedné provozovně dvě firmy se stejnou činností). Nemáme žádné zaměstnance. Účetnictví pro obě firmy dělám sama. Jen k osobním údajům zákazníků máme přístup oba nedílně, podle času buď řeším obchod já nebo manžel. Stačí mít pouze nějakou smlouvu mezi sebou (a jakou?) nebo jak postupovat, abychom splnili zákon o GDPR.

    • Michal Merta napsal:

      Dobrý den,
      k řešení GDPR se budete muset postavit oba dva. Jelikož jste dvě rozdílná IČ, pak jste dva podnikatelské subjekty. Chci jen upozornit, že rozhodně nebude stačit mít jen mezi sebou podepsanou smlouvu, ale splnit veškeré požadavky na GDPR. Je pravdou, že ve Vašem případě to bude daleko jednodušší než u větších firem, přesto je potřeba být v souladu i pro OSVČ. Doporučujeme vybrat příslušného profesionála, který Vám s danou problematikou pomůže, jistě to nebude velká částka.

  25. Ilona napsal:

    Dobrý den, jsme společnost zpracovávající externě účetnictví a mzdy pro firmy. Potřebujeme tedy s nimi uzavřít smlouvu, která by měla být v písemné podobě. Můžete mi poradit, kde bych našla vzor takové smlouvy? Případně zda je možné mi ji zaslat? Děkuji za info a přeji hezký den. Ilona.

    • Michal Merta napsal:

      Dobrý den,
      na internetu je vzorů mnoho, zdaleka ne všechny jsou prosté vad. Zde Vám spíše doporučujeme spojit s se subjektem, který Vám takovou smlouvu připraví. Nicméně s takovou smlouvou již měli přijít Správci osobních údajů, pro které osobní údaje zpracováváte, ne Vy.

  26. Renáta Přenosilová napsal:

    Dobrý den,jsem OSVČ bez zaměstnanců mám kamenný obchod s vlastními výrobky i s možnosti zakázky či potřebou úpravy .Tím pádem mám základní osobní údaje na zákazníky jen v ručně psané podobě .To ,že spadám do GDPR je z mého pohledu 100% i když některé osobní údaje jsou uchovány jen na par dní. Potřebuji radu co vše má obsahovat leták ,který u zakázky či úpravy budu předkládat zákazníkům k podpisu k souhlasu s používáním osobních údajů? Nebo ,existuje nějaký formulář jako mustr , který bude obsahovat vše co je s nařízením důležité abych věděla ,jak to vše formulovat ….podle kterého bych si mohla vytvořit svůj vlastní leták k podpisu???
    Moc děkuji za radu:-) Renáta P.

    • Michal Merta napsal:

      Dobrý den,
      souhlas se zpracováním osobních údajů bychom rozhodně nedávali formou letáku. Na internetu dnes existuje několik zdrojů se vzory těchto souhlasů. Určitě nějaký vhodný najdete.

  27. Tomáš Fuk napsal:

    Dobrý den, prosím o radu zda potřebuji DPO…

    pro seznamku, kde uživatel vyplní citlivé údaje (pohlaví, orientaci, výšku a typ postavy) – tyto údaje jsou logicky nutné k „plnění smlouvy“ a jsou v zájmu samotného uživatele.

    Po dobu členství s těmito údaji uchovávám jméno, adresu, email a číslo bankovního účtu, při ukončení členství jsou citlivé údaje automaticky vymazány.

    Děkuji

    • Michal Merta napsal:

      Dobrý den,
      zde je potřeba více otázek, zda se jedná o komerční projekt, či je to jen pro uzavřenou skupinu „kamarádský systém“. Pokud za danou seznamkou je firma, zda vyvíjí ještě i jiné aktivity či je seznamka jen jedinou aktivitou. Následně je možné odpovědět snadněji.

  28. Petr napsal:

    Může někdo říct mé jméno bez mého souhlasu? Třeba, když osobu znám i neznám.

    • Michal Merta napsal:

      Dobrý den,
      díky svobodě projevu, si může říkat každý co chce,… musí však počítat s případnými následky. Nicméně říci jméno není žádný problém.

  29. Markéta Maroszová napsal:

    Dobrý den, chtěla bych poprosit o radu. Mám dvě webové stránky přes technologii Blogger. Na obou je možnost stát se pravidelným čtenářem pomocí google účtu. Navíc se na obou občas objeví prokliky na jiné stránky (eshopy, oficiální weby akcí…). Sama na nich nic neprodávám, ani žádné údaje při navštívení stránek nevyžaduji. Jak se mám zachovat, abych předešla nepříjemnostem?
    Pro upřesnění, toto jsou webové adresy oněch stránek: http://www.majdinsvet.blogspot.cz a http://www.jogouprotibolesti.blogspot.cz
    Předem moc děkuji za odpověď.

    • Michal Merta napsal:

      Dobrý den,
      pokud to není komerční aktivita, GDPR se Vás netýká. Otázkou jsou jiní zákony např. autorský apod.

  30. Monika Pavezová napsal:

    Dobrý den,chtěla bych poprosit o odpověď,s manželem jsme založili s.r.o. a jsme oba jediní jednatelé a zároveň jediní zaměstnanci.Provozujeme velkoobchod s ocelovými šperky a snubními prstýnky.Adresu od obchodních partnerů s různých zlatnictví a klenotnictví,používáme pouze k vystavení faktury,odeslání zásilky českou poštou a následně doklad předáváme účetní ke zpracování DPH. K jiným účelům adresu nepoužíváme.Když jsem firmy oslovila s žádostí o souhlas,několik mi jich odepsalo,že my mezi sebou souhlas nepotřebujeme. V eshopu,který provozujeme,je mi jasné že souhlas koncového maloobchodního zákazníka potřebujeme,i když ani tady nepoužijeme jeho iniciály k ničemu jinému,než je napsáno výše. Jak to tedy je mezi našimi obchodními partnery, musíme mít od nich souhlas nebo ne?Moc děkuji za Vaši odpověď

    • Michal Merta napsal:

      Dobrý den,
      v rámci právnických osob (s.r.o., a.s. apod.) nepotřebujete souhlas se zpracováním osobních údajů. Je potřeba pro zpracování u fyzických osob, či osob samostatně podnikajících.

Přidat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Zásady zpracování osobních údajů

  • Co se tu dočtu?

    CyberCafé představuje místo, kde se dozvíte pravdu a realitu o IT bezpečnosti. Zabýváme se aktuální problematikou, tím, co společnosti/naše zákazníky nejvíce trápí a co řeší. Rádi s vámi budeme diskutovat o všem, co vás v oblasti IT bezpečnosti zajímá. Nechte se inspirovat našimi články. Přejeme příjemné čtení...

  • Nejčtenější příspěvky
  • MENZO, a.s.

    „Pojďme dělat securitu společně“ není pouze naše motto, je to každodenní výzva pro nás i naše zákazníky. Naším cílem je nejenom dodat řešení problému, ale především s vámi vše projít a vysvětlit. Bezpečnost se nedá koupit, bezpečnost se musí dělat, proto je pro nás důležité, abyste porozuměli, co a proč jsme udělali!
    Pracovníci MENZA mají více než 10 let zkušeností v oblasti IT bezpečnosti. Pomáháme vám řešit otázky moderní informační bezpečnosti.

  • 17 KROKŮ K OVĚŘENÍ BEZPEČNOSTI VAŠEHO WEBU

    Stáhněte si ZDARMA - 17 kroků, jak dramaticky zvýšit bezpečnost vaší webové stránky a nenechte hackery hatit vaše úsilí a vydělávat na vašich webových stránkách.

    Vaše osobní údaje (e-mailová adresa, jméno) jsou u nás v bezpečí a budeme (MENZO, a.s.) je na základě vašeho souhlasu zpracovávat podle zásad ochrany osobních údajů, které vycházejí z české a evropské legislativy. Stisknutím tlačítka vyjadřujete svůj souhlas s tímto zpracováním potřebným pro zaslání TIPŮ a dalších užitečných materiálů z IT bezpečnosti (max. 1 měsíčně). Svůj souhlas můžete kdykoli odvolat kliknutím na tlačítko Odhlásit se v každém zaslaném e-mailu. Zásady zpracování osobních údajů Zásady zpracování osobních údajů
  • CHCI DOSTÁVAT INFORMACI O NOVÉM ČLÁNKU NA BLOGU
    Vaše osobní údaje (e-mailová adresa, jméno) jsou u nás v bezpečí a budeme (MENZO, a.s.) je na základě vašeho souhlasu zpracovávat podle zásad ochrany osobních údajů, které vycházejí z české a evropské legislativy. Stisknutím tlačítka vyjadřujete svůj souhlas s tímto zpracováním potřebným pro zaslání TIPŮ a dalších užitečných materiálů z IT bezpečnosti (max. 1 měsíčně). Svůj souhlas můžete kdykoli odvolat kliknutím na tlačítko Odhlásit se v každém zaslaném e-mailu. Zásady zpracování osobních údajů Zásady zpracování osobních údajů Zásady zpracování osobních údajů