Dále najdete přehled odkazů na tzv. „Zpracovatelské smlouvy“, které byste měli mít archivované, pokud u těchto služeb ukládáte osobní data svých klientů. Tyto dokumenty mají za úkol deklarovat jakým způsobem zpracovatel osobních údajů vašich klientů s těmito daty zachází.
základní, obecná i zvláštní pravidla pro práci s cookies. Vysvětlení vztahu právní úpravy ochrany osobních údajů, sektorové úpravy a zvláštních předpisů a zároveň připomenutí toho nejdůležitějšího z dosud platných stanovisek pracovní skupiny WP29, zejména způsob dělení cookies a tomu odpovídající režim práce s nimi. Vše najdete tady.
Jedním z mýtů, které se často šíří v souvislosti s GDPR, je nemožnost kontaktovat obchodní partnery e-mailovým newsletterem bez jejich souhlasu. Jak se k tomu staví GDPR?
( Odpovídají Jiří Žůrek z Úřadu pro ochranu osobních údajů, Jana Pattynová z advokátní kanceláře Pierstone, František Nonnemann z MONETA Money Bank a Vladan Rámiš z MAFRA.)
Žůrek: Šíření obchodních sdělení je předmětem úpravy jiných předpisů, než je GDPR. Jde o zákon č. 480/2004 Sb., o některých službách informační společnosti, který vychází z evropské směrnice, která se zkráceně nazývá ePrivacy směrnice a jejímž účelem je i chránit soukromí v elektronické komunikaci a uživatele chránit před zahlcením elektronických kontaktů obchodními sděleními. Právě kvůli tomu, abychom neměli naše elektronické kontakty zahlceny, jsou stanovena pravidla pro jejich šíření.
Pokud jde o GDPR, to konstatuje, že zpracování osobních údajů v souvislosti s přímým marketingem může být oprávněným zájmem správce. Tento zájem bude zpravidla platit vůči zákazníkům. Rozhodně je nutné se vyvarovat šířit obchodní sdělení na kontakty z koupené databáze, jelikož samotné koupení databáze šiřiteli nedává oprávnění na kontakty v ní obsažené šířit obchodní sdělení. Pokud obchodník získá v souvislosti s prodejem výrobku nebo služby elektronický kontakt zákazníka, může na tento kontakt zasílat obchodní sdělení týkající se jeho vlastních výrobků nebo služeb. K tomu souhlas nepotřebuje. Musí však dát zákazníkovi možnost takové zasílání odmítnout.
Pattynová: Jádrem této problematiky je definice „obchodních partnerů“, tedy koho je možné s obchodními nabídkami bez jeho souhlasu kontaktovat. Kontaktování stávajících případně bývalých zákazníků považuji za přípustné. Pokud si podnikatel vytvoří (případně koupí) databázi potenciálních obchodních partnerů a ty kontaktuje s nabídkou či newsletterem, považuji to za nepřípustné. Život samozřejmě přináší situace v šedé zóně mezi těmito extrémy – kontakty z vizitek posbírané na konferencích, kontakty z neznámého zdroje apod. Doporučuji tyto kontakty kriticky projít. Pokud v minulosti z těchto kontaktů nevzešly obchodní příležitosti, může být vhodnější na ně další komunikaci nesměřovat.
Nonnemann: GDPR se k tomu nestaví nijak, protože se uplatní zvláštní právní úprava vycházející právě z dříve míněné ePrivacy směrnice. Tou je zákon č. 480/2004 Sb. V obecné rovině lze konstatovat, že GDPR označuje zpracování osobních údajů za účelem přímého marketingu za zpracování, které lze, samozřejmě do určité míry, provádět na základě oprávněného zájmu správce, tedy bez souhlasu adresáta marketingového sdělení.
Rámiš: Tuto problematiku řeší primárně směrnice ePrivacy a zákon č. 480/2004 Sb. Na dosavadní praxi ohledně zasílání e-mailů s nabídkami podobného zboží obchodním partnerům se tak nic nebude měnit a bude postačovat tzv. opt-out, tedy možnost kdykoliv další zasílání odmítnout.
Zdroj: https://technet.idnes.cz/gdpr-postihy-tresty-newsletter-da2-/sw_internet.aspx?c=A180517_151559_sw_internet_kuz
Hysterie přechází do obludných rozměrů, tak bych nazval hromadné mazání čehokoliv odkudkoliv. Takže, pokud fotíte pro radost svoje dítě jak s dalšími dětmi hraje fotbal a dáte to na svůj web, můžete to tak nechat. Odkaz na Autorský zákon 121/2000 sb. § 34 písmeno "b" - dílo ve spojitosti se zpravodajstvím týkajícím se aktuálních událostí, a to v rozsahu odpovídajícím informačnímu účelu. Důležité nejen pro školy, školky, rybáře, fotbalové kluby, motorkáře, vodácké oddíly a tak podobně: Pod obrázkem nemá být jméno osoby, která tam je. Místo "Petr Novák dává gól" napište "Takto jsme dali gól". Ovšem pokud máte souhlas můžete nechat "Petr Novák dává gól" :)
Ještě článek k tématu: "Kupte si OFFICE 365 a máte vše vyřešeno......"
Provozovatelé cloudových služeb, kteří chtějí i nadále fungovat v kontextu nové právní úpravy a nechtějí ztratit klienty, musí své služby přiměřeným způsobem zabezpečit a k zajištění takového zabezpečení se ve smlouvách, které uzavírají se svými zákazníky, zavázat. Přirozeně nejde o proces jednostranný. Také zákazníci by měli po provozovatelích cloudových služeb požadovat smluvní záruky. Měli by se zajímat o to, kde jsou data fyzicky uchovávána. V celé EU, kde je platné GDPR, nebo v tzv. bezpečných zemích je ochrana osobních údajů srovnatelná, zcela odlišná situace však může nastat v ostatních zemích.
Provozovatel cloudové služby je zodpovědný za technické zabezpečení prostředí, v němž má zákazník uloženy osobní údaje. Nese odpovědnost za to, že jeho systém je odolný vůči hrozbám, které lze rozumně předpokládat. Zákazník by měl naopak zvážit, zda nabízená míra zabezpečení je odpovídající s ohledem na množství a zejména citlivost údajů, které v takovémto prostředí zpracovává.
Obecně lze říci, že zákazník, který si do cloudového CRM ukládá osobní údaje, je jejich správcem, zatímco provozovatel, pokud data žádným dalším způsobem nepoužívá nebo neobohacuje, je zpracovatelem. Tento vztah je nutné upravit smluvně ve zpracovatelské smlouvě. Zákazníkovi coby správci tak plynou z GDPR také příslušné povinnosti. Zatímco technické zabezpečení dat a jiné technické aspekty, např. způsob zpřístupnění dat, prakticky přenesl na zpracovatele, sám zodpovídá za to, že údaje jsou shromažďovány z určitého právního titulu, že jejich rozsah je přiměřený stanovenému účelu zpracování, že jsou uchovávány po dobu nezbytně nutnou, že subjekty údajů jsou řádně informovány o zpracování a o svých právech atd.
Pokud má správce zákonem stanovenou povinnost, vykonává veřejnou moc nebo plní úkol ve veřejném zájmu:
– je oprávněn kvůli tomu zpracovávat osobní údaje – § 5 návrhu zákona, navazuje na článek 6(3) GDPR (zajišťuje se, že pokud právní předpis stanoví povinnost, v rámci které k tomu je nezbytné zpracovávat osobní údaje, tak je samozřejmě může zpracovávat, byť v příslušném zákoně není věta „lze zpracovávat osobní údaje“)
– může informace o zpracování poskytnout zveřejněním na internetu – § 8, navazuje na články 13 a 14 (1, 2, 4) GDPR – informační povinnost lze splnit zveřejněním na internetu
– Správce zajišťující některé chráněné zájmy nemusí posuzovat slučitelnost účelů – § 6 zákona, čl 6(4)a čl 23 GDPR – možnost dalšího zpracování bez přezkoumávání slučitelnosti účelů původního a následného účelu za stanovených podmínek
– Povinnost jmenovat pověřence mají orgány veřejné moci a jim se blížící úzká skupina „veřejných subjektů“ – § 14, čl. 37(1)(a) – pověřence tak nebudou muset mít např. ZUŠ, školní jídelny apod.
– Subsidiární výjimky z práv subjektu údajů za kvůli zajištění některých chráněných zájmů kompenzovány dozorem ÚOOÚ
– Oznamovat změny a výmazy lze aktualizací evidence – § 9, čl. 19
– Věk pro samostatný on-line souhlas dítěte na 15 let – § 7, čl. 8 – nařízení počítá s 16, snižujeme na 15
– Omezení zpracování nestaví zákonnou ohlašovací povinnost
Autoři: Karel Bačkovský z Odboru bezpečnostních politik Ministerstva vnitra ČR a jeho kolegyně Kateřina Jamborová. Originál textu: najdete tady.
1. Na začátku školního roku bude důležité znění přihlášky ke školnímu stravování, kam strávníci zapisují své osobní údaje. Domníváte se, že na přihlášce musí být uveden souhlas strávníka (zák. zástupce) se zpracováním osobních údajů dle GDPR, když tyto informace jídelna musí evidovat ze zákona?
Podle názoru MŠMT není nutné, aby školní jídelna coby školské zařízení požadovala souhlas se zpracováním osobních údajů za účelem zabezpečení školního stravování žáků.
Podle čl. 6 nařízení GDPR účinného od 25. 5. 2018 je zpracování osobních údajů zákonné, pokud jsou zpracovávány v odpovídajícím rozsahu a zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje.
Právnická osoba, která vykonává činnost školy, má zákonem stanovenou povinnost zajistit školní stravování, a to přednostně v zařízeních školního stravování. MŠMT ale není gestorem problematiky ochrany osobních údajů a nemá pravomoc závazného výkladu právních předpisů. Výše uvedený výklad příslušných ustanovení má proto pouze informativní povahu.
2. Podle některých informací budou muset poskytovat souhlas se zpracováním informací už třináctileté děti. Co se stane v případě, že školy od nich nebo jejich rodičů tento souhlas nedostanou?
Nařízení počítá s tím, že zpracování osobních údajů na základě souhlasu dítěte je zákonné pouze v souvislosti s nabídkou služeb informační společnosti přímo dítěti, a to v případě, že je dítě ve věku nejméně 16ti let s tím, že členské státy mohou právním předpisem stanovit nižší věk, ne však nižší než 13 let. Dítě může udělit souhlas se zpracováním osobních údajů v závislosti na své rozumové a volní vyspělosti. V této souvislosti je třeba zmínit, že česká právní úprava v současně navrhovaném znění počítá právě s nejnižší možnou věkovou hranicí, tedy s věkem 13 let. Je však nezbytné uvést, že návrh zákona o zpracování osobních údajů je dosud v legislativním procesu, a není tak vyloučeno, že se věková hranice bude měnit.
Ministerstvo průmyslu a obchodu vydalo příručku (pozdě ale přece) ke stažení je tady : příručka k GDPR
Povinností, kterou správci obecné nařízení ve vztahu k pověřenci pro ochranu osobních údajů ukládá, je pověřence jmenovat a učinit to na základě profesních kvalit jmenované osoby, zejména na základě jejích odborných znalostí práva a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly dále pověřenci uložené samotným obecným nařízením. Žádná specifická forma ověření nebo prokázání profesních kvalit stanovena není,
Číst dál: Pověřenec musí mít osvědčení (certifikát) = nesmysl!!
- Základní příručka k GDPR
Přehled základních pojmů a informací vztahujících se k obecnému nařízení.
- Desatero zpracování pro správce
Desatero zpracování pro správce je zestručnění základních pravidel ochrany osobních údajů, využitelné malými správci údajů, živnostníky či menšími podniky, coby základní jednoduchý návod, jak zacházet s osobními údaji.
- Desatero omylů
Úřad pro ochranu osobních údajů zpracoval desatero nejčastějších omylů či zavádějících tvrzení o obecném nařízení o ochraně osobních údajů (GDPR).
- Dokumenty
Dokumenty vztahující se k obecnému nařízení (směrnice, návrhy zákonů, brožury).
- Jak začít - opravdu jednoduše
Zmapujte, jak nakládáte s osobními údaji, udělejte inventuru osobních údajů, analyzujte rizika a vypracujte Záznamy o činnostech zpracování (zde je tabulka) - Otázky a odpovědi
Nejčastější otázky k obecnému nařízení, na které je dotazován Úřad pro ochranu osobních údajů.
- Pokyny Pracovní skupiny WP29
Pracovní skupina WP29 vydává a veřejně diskutuje materiály, které mají čtenáři maximálně vysvětlit a co nejblíže ho seznámit s jednotlivými částmi a oblastmi obecného nařízení.
- GDPR a role ÚOOÚ
Shrnutí role Úřadu pro ochranu osobních údajů v souvislosti s obecným nařízením.
- Důležité odkazy
V této rubrice naleznete odkazy na metodiky a instituce, kde je oblast GDPR důležitým tématem.
Když je osobní údaj fotka, můžu vyvěsit fotku s lidmi z kanceláře na Facebooku? Moderní trend je být maximálně otevřený, ukazovat, jak to ve firmě vypadá a kdo tam pracuje…. Zaměstnanec k tomu musí dát souhlas, ten nemusí být pouze explicitní (písemný), může být i implicitní, to znamená vyplývající z kontextu.Pokud pár lidí poprosíte, že si uděláte fotku na Facebook a oni vám zapózují, je to v pořádku. Pokud na firemní akci chodí fotograf a lidé se vědomě nechávají fotit, je to také OK. Ovšem snímky by měly posloužit jako reportáž z akce. V případě, že je použijete pro náborovou reklamu, už to je jiný účel, než se kterým lidi při focení počítali.
Je problém, pokud na Facebooku zaměstnance najdu fotky a udělám z nich koláž na nástěnku? Například chci představit nováčky ve firmě a trošku ukázat, kdo jsou i v soukromém životě.V zásadě by k tomu měl zaměstnanec vždy dát souhlas, případně byste měli fotky získat od něj, ne je stahovat z internetu. To není ani tolik otázka zákona pro ochranu osobních údajů, případně GDPR, ale spíš obecná ochrana soukromí.
(Zdeněk Bajer z firmy Datacruit a Vojta Chloupek z advokátní kanceláře Bird & Bird vysvětlili, co GDPR obnáší a na co si dát pozor.)
Strana 1 z 4
