Dále najdete přehled odkazů na tzv. „Zpracovatelské smlouvy“, které byste měli mít archivované, pokud u těchto služeb ukládáte osobní data svých klientů. Tyto dokumenty mají za úkol deklarovat jakým způsobem zpracovatel osobních údajů vašich klientů s těmito daty zachází.
základní, obecná i zvláštní pravidla pro práci s cookies. Vysvětlení vztahu právní úpravy ochrany osobních údajů, sektorové úpravy a zvláštních předpisů a zároveň připomenutí toho nejdůležitějšího z dosud platných stanovisek pracovní skupiny WP29, zejména způsob dělení cookies a tomu odpovídající režim práce s nimi. Vše najdete tady.
Jedním z mýtů, které se často šíří v souvislosti s GDPR, je nemožnost kontaktovat obchodní partnery e-mailovým newsletterem bez jejich souhlasu. Jak se k tomu staví GDPR?
( Odpovídají Jiří Žůrek z Úřadu pro ochranu osobních údajů, Jana Pattynová z advokátní kanceláře Pierstone, František Nonnemann z MONETA Money Bank a Vladan Rámiš z MAFRA.)
Žůrek: Šíření obchodních sdělení je předmětem úpravy jiných předpisů, než je GDPR. Jde o zákon č. 480/2004 Sb., o některých službách informační společnosti, který vychází z evropské směrnice, která se zkráceně nazývá ePrivacy směrnice a jejímž účelem je i chránit soukromí v elektronické komunikaci a uživatele chránit před zahlcením elektronických kontaktů obchodními sděleními. Právě kvůli tomu, abychom neměli naše elektronické kontakty zahlceny, jsou stanovena pravidla pro jejich šíření.
Pokud jde o GDPR, to konstatuje, že zpracování osobních údajů v souvislosti s přímým marketingem může být oprávněným zájmem správce. Tento zájem bude zpravidla platit vůči zákazníkům. Rozhodně je nutné se vyvarovat šířit obchodní sdělení na kontakty z koupené databáze, jelikož samotné koupení databáze šiřiteli nedává oprávnění na kontakty v ní obsažené šířit obchodní sdělení. Pokud obchodník získá v souvislosti s prodejem výrobku nebo služby elektronický kontakt zákazníka, může na tento kontakt zasílat obchodní sdělení týkající se jeho vlastních výrobků nebo služeb. K tomu souhlas nepotřebuje. Musí však dát zákazníkovi možnost takové zasílání odmítnout.
Pattynová: Jádrem této problematiky je definice „obchodních partnerů“, tedy koho je možné s obchodními nabídkami bez jeho souhlasu kontaktovat. Kontaktování stávajících případně bývalých zákazníků považuji za přípustné. Pokud si podnikatel vytvoří (případně koupí) databázi potenciálních obchodních partnerů a ty kontaktuje s nabídkou či newsletterem, považuji to za nepřípustné. Život samozřejmě přináší situace v šedé zóně mezi těmito extrémy – kontakty z vizitek posbírané na konferencích, kontakty z neznámého zdroje apod. Doporučuji tyto kontakty kriticky projít. Pokud v minulosti z těchto kontaktů nevzešly obchodní příležitosti, může být vhodnější na ně další komunikaci nesměřovat.
Nonnemann: GDPR se k tomu nestaví nijak, protože se uplatní zvláštní právní úprava vycházející právě z dříve míněné ePrivacy směrnice. Tou je zákon č. 480/2004 Sb. V obecné rovině lze konstatovat, že GDPR označuje zpracování osobních údajů za účelem přímého marketingu za zpracování, které lze, samozřejmě do určité míry, provádět na základě oprávněného zájmu správce, tedy bez souhlasu adresáta marketingového sdělení.
Rámiš: Tuto problematiku řeší primárně směrnice ePrivacy a zákon č. 480/2004 Sb. Na dosavadní praxi ohledně zasílání e-mailů s nabídkami podobného zboží obchodním partnerům se tak nic nebude měnit a bude postačovat tzv. opt-out, tedy možnost kdykoliv další zasílání odmítnout.
Zdroj: https://technet.idnes.cz/gdpr-postihy-tresty-newsletter-da2-/sw_internet.aspx?c=A180517_151559_sw_internet_kuz
Hysterie přechází do obludných rozměrů, tak bych nazval hromadné mazání čehokoliv odkudkoliv. Takže, pokud fotíte pro radost svoje dítě jak s dalšími dětmi hraje fotbal a dáte to na svůj web, můžete to tak nechat. Odkaz na Autorský zákon 121/2000 sb. § 34 písmeno "b" - dílo ve spojitosti se zpravodajstvím týkajícím se aktuálních událostí, a to v rozsahu odpovídajícím informačnímu účelu. Důležité nejen pro školy, školky, rybáře, fotbalové kluby, motorkáře, vodácké oddíly a tak podobně: Pod obrázkem nemá být jméno osoby, která tam je. Místo "Petr Novák dává gól" napište "Takto jsme dali gól". Ovšem pokud máte souhlas můžete nechat "Petr Novák dává gól" :)
Ještě článek k tématu: "Kupte si OFFICE 365 a máte vše vyřešeno......"
Provozovatelé cloudových služeb, kteří chtějí i nadále fungovat v kontextu nové právní úpravy a nechtějí ztratit klienty, musí své služby přiměřeným způsobem zabezpečit a k zajištění takového zabezpečení se ve smlouvách, které uzavírají se svými zákazníky, zavázat. Přirozeně nejde o proces jednostranný. Také zákazníci by měli po provozovatelích cloudových služeb požadovat smluvní záruky. Měli by se zajímat o to, kde jsou data fyzicky uchovávána. V celé EU, kde je platné GDPR, nebo v tzv. bezpečných zemích je ochrana osobních údajů srovnatelná, zcela odlišná situace však může nastat v ostatních zemích.
Provozovatel cloudové služby je zodpovědný za technické zabezpečení prostředí, v němž má zákazník uloženy osobní údaje. Nese odpovědnost za to, že jeho systém je odolný vůči hrozbám, které lze rozumně předpokládat. Zákazník by měl naopak zvážit, zda nabízená míra zabezpečení je odpovídající s ohledem na množství a zejména citlivost údajů, které v takovémto prostředí zpracovává.
Obecně lze říci, že zákazník, který si do cloudového CRM ukládá osobní údaje, je jejich správcem, zatímco provozovatel, pokud data žádným dalším způsobem nepoužívá nebo neobohacuje, je zpracovatelem. Tento vztah je nutné upravit smluvně ve zpracovatelské smlouvě. Zákazníkovi coby správci tak plynou z GDPR také příslušné povinnosti. Zatímco technické zabezpečení dat a jiné technické aspekty, např. způsob zpřístupnění dat, prakticky přenesl na zpracovatele, sám zodpovídá za to, že údaje jsou shromažďovány z určitého právního titulu, že jejich rozsah je přiměřený stanovenému účelu zpracování, že jsou uchovávány po dobu nezbytně nutnou, že subjekty údajů jsou řádně informovány o zpracování a o svých právech atd.
Pokud má správce zákonem stanovenou povinnost, vykonává veřejnou moc nebo plní úkol ve veřejném zájmu:
– je oprávněn kvůli tomu zpracovávat osobní údaje – § 5 návrhu zákona, navazuje na článek 6(3) GDPR (zajišťuje se, že pokud právní předpis stanoví povinnost, v rámci které k tomu je nezbytné zpracovávat osobní údaje, tak je samozřejmě může zpracovávat, byť v příslušném zákoně není věta „lze zpracovávat osobní údaje“)
– může informace o zpracování poskytnout zveřejněním na internetu – § 8, navazuje na články 13 a 14 (1, 2, 4) GDPR – informační povinnost lze splnit zveřejněním na internetu
– Správce zajišťující některé chráněné zájmy nemusí posuzovat slučitelnost účelů – § 6 zákona, čl 6(4)a čl 23 GDPR – možnost dalšího zpracování bez přezkoumávání slučitelnosti účelů původního a následného účelu za stanovených podmínek
– Povinnost jmenovat pověřence mají orgány veřejné moci a jim se blížící úzká skupina „veřejných subjektů“ – § 14, čl. 37(1)(a) – pověřence tak nebudou muset mít např. ZUŠ, školní jídelny apod.
– Subsidiární výjimky z práv subjektu údajů za kvůli zajištění některých chráněných zájmů kompenzovány dozorem ÚOOÚ
– Oznamovat změny a výmazy lze aktualizací evidence – § 9, čl. 19
– Věk pro samostatný on-line souhlas dítěte na 15 let – § 7, čl. 8 – nařízení počítá s 16, snižujeme na 15
– Omezení zpracování nestaví zákonnou ohlašovací povinnost
Autoři: Karel Bačkovský z Odboru bezpečnostních politik Ministerstva vnitra ČR a jeho kolegyně Kateřina Jamborová. Originál textu: najdete tady.
- MŠMT souhrn nejčastějších otázek a odpovědí
- Příručka k GDPR ke stažení.
- Pověřenec musí mít osvědčení (certifikát) = nesmysl!!
- Odkazy na důležité dokumenty
- Facebook, zaměstnanci a fotografie
- Kdy musím mít pověřence ?
- Desatero zpracování pro správce
- Nepravdy o wi-fi v souvislosti s GDPR
- GDPR a kamery na pracovišti.......
- Váš e-shop bez HTTPS ?
