Přihlásit se

Registrovat



  • Otevřeno denně od 8:00 do 20:00

Bezplatná konzultace

+420 321 123 123

Sídlíme v centru Prahy

Kaprova 42/14, 110 00 Praha

Napište nám email

info@acresia.com

Máme otevřeno denně

od 8:00 do 20:00

GDPR FAQs

Tisk Email
(0 hlasů)

Nekategorizované dotazy

Vztahuje se na fotografie a videozáznamy GDPR? Jak postupovat například u firemních akcí?

Fotografie a videozáznamy jsou ÚOOÚ vnímány primárně jako nosiče dat. Pořizování forografií například na firemních akcích se primárně neřídí legislativou na ochranu osobních údajů, nýbrž občanským zákoníkem. K pořizování takových fotografií není třeba souhlasu podle GDPR o zpracování osobních údajů. Pokud se subjekt nechává dobrovolně fotit, je to chápáno jako souhlas.

Retenční politika, archivace

Z jakého zákona/vyhlášky vychází doba uchování pracovní smlouvy po skončení pracovního poměru.

30 let - viz zákon o organizaci a provádění sociálního zabezpečení. Povinnost uchovávat doklady 30 let se sice týká mzdových listů nebo účetních záznamů o údajích potřebných pro účely důchodového pojištění – za záznamy o těchto skutečnostech se však vždy považují doklady o druhu, vzniku (pracovní smlouva) a skončení pracovněprávního vztahu, záznamy o pracovních úrazech a o nemocech z povolání a záznamy o evidenci pracovní doby včetně doby pracovního volna bez náhrady příjmu. Při stanovení delší doby, je třeba vycházet z oprávněného zájmu zaměstnanců a lze tak dobu například stanovit v délce 50 let.

Právní důvody zpracování

Jaký je právní titul pro zpracování osobních údajů v rámci podnětů a podání občanů vůči veřejné správě? Je to zákon č. 500/2004 Sb., správní řád, tedy je možno použít právní titul dle čl. 6 odst. 1 písm. c) GDPR?

Přijímání podnětů a stížností lze řadit pod právní důvody zpracování nezbytné pro plnění zákonem stanovené povinnosti.

Bude docházkový systém založený na použití otisků prstů a jednosměrného hashování, kdy nedochází k uchovávání samotných otisků prstů v databázi zaměstnavatele, v souladu s obecným nařízením o ochraně osobních údajů?

Obecné nařízení o ochraně osobních údajů v článku 9 odst. 1 zakazuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby. Podle článku 9 odst. 2 písm. b) se odstavec 1 nepoužije, pokud je zpracování nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů.

Podle článku 9. odst. 4 členské státy mohou zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování biometrických údajů. Tyto možnosti by členské státy měly mít i podle recitálu 53 obecného nařízení. Podle recitálu 91 by mělo být v případech, kdy se osobní údaje zpracovávají v návaznosti na zpracování biometrických údajů, vypracováno posouzení vlivu na ochranu osobních údajů.

Jaký bude výklad těchto ustanovení, zda bude za zpracování biometrických údajů považováno i vstupní použití otisků prstů, aniž by docházelo k jejich uchovávání v databázi správce, či zda bude takový postup po posouzení vlivu na ochranu osobních údajů považován při dodržení stanovených záruk za přípustný, není zatím zřejmé. Mělo by to být předmětem jednotného celoevropského přístupu k této problematice, o kterém bude Úřad informovat.

Podléhá požadavkům GDPR účetnictví (prodejní doklady, mzdová a personální agenda) a co je třeba posoudit při zabezpečení této agendy?

Obecné nařízení o ochraně osobních údajů (GDPR) se týká všech subjektů, které zpracovávají osobní údaje fyzických osob, například zaměstnanců či klientů. V rámci účetnictví se jedná o zpracování podle zvláštního zákona, kterým je zákon č. 563/1991 Sb., o účetnictví, a je tedy nezbytné pro splnění právní povinnosti, která se na správce vztahuje ve smyslu článku 6 odst. 1 písm. c) obecného nařízení.

Úřad pro ochranu osobních údajů doporučuje přihlédnout, v jakém stavu se nachází technika zvolená pro účel zpracování, provádět pravidelné testování a hodnocení účinnosti zavedených technických a organizačních opatření pro bezpečnost zpracování. Při posuzování vhodné úrovně bezpečnosti je třeba zohlednit zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených či jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

Musí správce vždy provádět balanční test v případě zpracování osobních údajů prováděného na základě oprávněného zájmu?

Správce je povinen provést balanční test, neboli test proporcionality, pro každé zpracování osobních údajů, které hodlá vykonávat na základě právního důvodu oprávněného zájmu. Balanční test by měl být vypracován ve vztahu k účelu zpracování, přičemž pro obdobné účely postačuje vypracování jednoho balančního testu. Právě v důsledku takového testu je pak správce schopen vyhodnotit, zda před jeho oprávněnými zájmy nemají přednost zájmy nebo práva a svobody subjektu údajů, a lze tak tento právní důvod pro zpracování osobních údajů využít.

Zpracovatel

Jaké jsou povinnosti zpracovatele?

Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů správce. Zpracovatel musí postupovat podle smlouvy nebo právního předpisu, které jej zavazují vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Osobní údaje musí být adekvátně zabezpečeny i u zpracovatele. Zpracovatel nesmí zapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. Zpracovatel je povinen dodržovat další povinnosti uvedené zejména v článku 28 GDPR.

Kdo je typickým zpracovatelem v oblasti dodávek služeb IT?

Provozovatel (části) informačního systému pro správce osobních údajů, externí správce sítě, externí bezpečnostní správce, poskytovatel datového úložiště (cloudu).

Kdo je typickým zpracovatelem v oblasti dodávek služeb IT?

Provozovatel (části) informačního systému pro správce osobních údajů, externí správce sítě, externí bezpečnostní správce, poskytovatel datového úložiště (cloudu).

Zajišťuji podporu, která nezahrnuje operace zpracování a ochrany osobních údajů (ale z povahy věci mohu občas data vidět). Provádím opravy zařízení a výpočetní techniky. Jsem dodavatelem drobných služeb spočívajících v servisu PC. Jsem zpracovatelem?

Ne. Zpracovateli nejsou osoby, které se při provádění svých služeb, tj. plnění  smlouvy s objednatelem (jinak správcem osobních údajů), mohou pouze nahodile dostat do styku s osobními údaji zpracovávanými tímto správcem, aniž by osobní údaje jakkoliv zpracovávaly. Náplň vaší činnosti byste měl mít jasně popsanou ve smlouvě, aby bylo zřejmé, že předmětem smlouvy mezi objednatelem a vámi není  – a mezi vaše povinnosti coby dodavatele nepatří – osobní údaje zpracovávat. Současně lze doporučit, abyste se vůči objednateli smluvně zavázal k mlčení o veškerých bezpečnostních opatřeních a dále k tomu, že při jakémkoliv nahodilém přístupu k údajům budete tyto údaje chránit a zejména nezpřístupníte a nepředáte údaje nikomu dalšímu.

K rozesílání objednaného zboží využívám poštovní a přepravní společnosti. Musím s nimi mít uzavřenou smlouvu o zpracování osobních údajů?

V případě výkonu základních (poštovních) služeb spočívající pouze ve vlastním doručování zásilek, jde o samostatnou činnost dodavatele těchto služeb, tedy správce údajů, který provádí zpracování nebytné pro jím stanovený účel doručování. Tím, že obdrží od původního správce (např. od eshopu) doručovací adresy (osobní údaje adresátů pro účely doručení) a zajistí doručení zásilek, neprovádí zpracování údajů jako zpracovatel. Doručovatel zásilek tedy jedná na vlastní odpovědnost a není nutno s ním uzavírat zvláštní zpracovatelskou smlouvu. Pokud však správce sjedná s dodavatelem poštovních služeb další činnosti, např. kompletaci zásilek, vč. tisku oznámení obsahující osobní údaje a jejich vkládání do obálek, jedná se již o činnost zpracovatele a v takovém případě je nutné, na tento rozsah činnosti, uzavřít smlouvu o zpracování osobních údajů dle čl. 28 GDPR, případně může být její ujednání součástí podmínek poskytované služby.

Česká pošta nebo jiný dopravce je správce nebo zpracovatel v případě doručování zásilek?

V tomto případě zpracování je Česká pošta či jiný doručovatel v pozici samostatného správce. Nad předanými daty vytváří data vlastní, například doklad o doručení s podpisem adresáta, v případě České pošty se jedná i o její zákonné povinnosti.

V jakých případech může zpracovatel v souladu s GDPR užívat služeb dalších subdodavatelů při zpracování osobních údajů?

Subdodavatelé jsou vázáni čl. 29 GDPR, který stanoví, že zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce, ledaže jí jejich zpracování ukládá právo Unie nebo členského státu. Pokud tyto osoby jednají z pověření správce a na jeho pokyn, mohou mít přístup k osobním údajům. Správce tedy musí o všech těchto „subzpracovatelích“ vědět a stanovit či schválit pravidla o tom, jak budou s osobními údaji zacházet.

V jakých situacích je dodavatel kamerového systému zpracovatelem?

1. Dodavatel poskytuje pouze řešení kamerového systému a jeho instalaci - v jeho provozu se však dále neangažuje. V tomto případě není dodavatel systému zpracovatelem.

2. Zákazník se s dodavatelem dohodne i na průběžné kontrole a údržbě kamerového systému, kdy zaměstnanci servisní společnosti v rámci výkonu těchto služeb nahlíží do pořízených záznamů a tyto spravují na pokyn a pro potřebu správce. V takovém případě je servisní společnost v postavení zpracovatele osobních údajů a jí a jejím zaměstnancům pověřeným nahlížet do záznamů vyplývají  obdobné povinnosti podle GDPR jako správci – objednateli služeb a jeho zaměstnancům. V takovém případě je nezbytné splnit následující náležitosti:

  • Správce využije pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.
  • Správce uzavře smlouvu o zpracování osobních údajů, ve které je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva o zpracování osobních údajů nemusí být samostatná smlouva, ale podstatné je, aby zmíněné náležitosti byly obsahem smluvního ujednání mezi správcem a zpracovatelem. K podrobnostem smlouvy viz čl. 28 GDPR.

Kodexy chování

Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) v článcích 40 a 41 upravuje problematiku přípravy a monitorování kodexů chování. Informace uvedené v tomto textu jsou pracovním názorem Úřadu a mohou se měnit v závislosti na přijetí pokynů Pracovní skupinou WP29. 

Co je kodex chování?

Prokázání souladu s nařízením 2016/679  je možné podpisem a dodržování kodexu chování (pokud pro danou oblast existuje), vydání osvědčení (certifikátu) o shodě nebo zajištění nezbytné dokumentace a přístupu k činnostem zpracování tak, aby soulad s nařízením bylo možno posoudit například v rámci kontroly dozorového orgánu (Úřad pro ochranu osobních údajů).

Kodex chování definuje základní zásady, postupy a požadavky na zpracování osobních údajů v konkrétním odvětví.

Komu je kodex chování určen?

Kodex chování je určen skupině správců nebo zpracovatelů stejného typu (příkladem by mohly být cestovní kanceláře, lékaři, pojišťovny, banky apod.).

Jaký je obsah kodexu chování?

Kodex musí být zpracován tak, aby pokryl požadavky upravené obecným nařízením o ochraně osobních údajů pro (operace) zpracování osobních údajů konkrétního druhu. Text kodexu doporučujeme rozčlenit na části v souladu s články (zejména čl. 5 až 49) obecného nařízení upravujících činnost správce nebo zpracovatele při zpracování osobních údajů a v rámci nich definovat základní zásady, postupy a požadavky na zpracování osobních údajů, a to jak pozitivní (co správce nebo zpracovatel dělat musí), tak negativní (co správce nebo zpracovatel dělat nesmí).


Zásady, požadavky a postupy musí být formulovány natolik konkrétně, aby jejich plnění bylo ověřitelné v rámci monitorování prováděného nezávislým subjektem.

Je závazek na dodržování kodexu a jeho dodržování povinné?

Neexistuje povinnost přihlásit se k dodržování kodexu chování, jedná se o jednu z volitelných variant ověření uplatňování obecného nařízení o ochraně osobních údajů. Pokud se však správce nebo zpracovatel přihlásí k dodržování kodexu chování, je povinen se podrobit pravidelnému monitorování kodexu chování nezávislým subjektem.

Kdo provádí monitorování kodexu chování?

Monitorování dodržování kodexu chování provádí nezávislý subjekt akreditovaný Úřadem pro ochranu osobních údajů, který prokáže odborné znalosti oblasti (činnost prováděná skupinou správců), pro kterou je kodex určen, znalosti z ochrany osobních údajů a znalosti a zkušenosti s prováděním auditů. 


V případě orgánů veřejné moci a veřejných subjektů neprovádí monitorování nezávislý subjekt akreditovaný Úřadem pro ochranu osobních údajů, ale monitorování případných kodexů chování musí být zajištěno v rámci vnitřních kontrolních mechanismů (například pověřencem pro ochranu osobních údajů nebo vnitřním kontrolním/auditním orgánem).
 
Monitorování se provádí v pravidelných intervalech, nejlépe jedno až dvouletých.

Jaký je časový harmonogram přípravy a monitorování kodexů chování?

Významná úloha při uplatňování obecného nařízení v oblasti kodexů chování připadá Evropskému sboru pro ochranu osobních údajů (současná WP29), jedná se o přípravu metodických návodů (Guidelines on Codes of Conduct and Monitoring Bodies under Regulation 2016/679) a také koordinační funkce k zajištění jednotného výkladu obecného nařízení pro ochranu osobních údajů (schvalování akreditačních kritérií a některých kodexů chování). Z toho důvodu je nutné vyčkat na dokončení výše uvedených návodů a až poté začít zakládat celý systém přípravy a monitorování kodexů. Sladění s připravovanými vodítky WP29 je nezbytně nutné, aby nedocházelo k vytváření neschválitelných kritérií a rychlým změnám v podmínkách akreditací subjektů pro monitorování kodexů a struktuře kodexů chování. 


Vzhledem k tomu, že pro každý kodex budou pravděpodobně připravována samostatná kritéria pro akreditaci subjektů pro monitorování kodexů chování (kodex chování a kritéria pro akreditaci budou vydány společně), která jsou v rámci zajištění jednotného výkladu předkládána Evropskému sboru pro ochranu osobních údajů, lze očekávat vydání prvních akreditací nejdříve v první polovině roku 2019. 

Budou vytvořeny kodexy chování dle čl. 40 GDPR pro veřejnou správu? Případně který orgán a kdy je vytvoří?

Předpokládá se, že kodexy chování budou fungovat především na sektorové úrovni, což je de facto i jejich účel, být nápomocny správcům se stejnými „problémy“.

Pokud jde o kodex chování pro veřejnou správu, šlo by již spíše o horizontální kodex a v tuto chvíli Úřad pro ochranu osobních údajů nemá informace, že by nějaký subjekt uvažoval o jeho vytvoření, ostatně je otázkou, zdali by bylo možné vytvořit kodex chování pro celou státní správu (musel by být s ohledem na pestrost státní správy velmi obecný, což by již odporovalo funkci kodexu chování jako takovému, který by měl být pro správce vodítkem právě ve specifických sektorových situacích).

Práva subjektů údajů

Pokud využiji své právo subjektu údajů na přístup k osobním údajům podle GDPR, do jaké lhůty mi správce bude muset zaslat informace?

Ve smyslu ustanovení čl. 12 odst. 3 obecného nařízení o ochraně osobních údajů je správce povinen poskytnout na žádost subjektu údajů dle článků 15 až 22 citovaného nařízení informace o přijatých opatřeních bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti.

Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správci je uložena povinnost subjekt údajů o takovémto prodloužení informovat, a to do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad.

Na základě čl. 13 odst. 4 GDPR nemusí správce poskytovat subjektu údajů informace o jeho zpracovávaných osobních údajích za situace, že subjekt už tuto informaci má. Je platný a účinný právní předpis, na jehož základě jsou osobní údaje subjektu zpracovávány, dostatečnou informací pro tento subjekt a je tedy možné za této situace využít znění čl. 13 odst. 4 GDPR?

V daném případě může záležet na kontextu, ale obecně nelze považovat platný a účinný právní předpis za a priori zprošťující okolnost pro správce z povinnosti informovat subjekt údajů dle článku 13, resp. 14 obecného nařízení.

V jakém rozsahu musí správce poskytnout údaje na základě žádosti subjektu dle č. 15 GDPR za situace, kdy je tato žádost bez specifikace a je pojata obecně? Bude muset odpověď správce obsahovat i všechny osobní údaje z minulosti subjektu, které již správce nezpracovává?

Správce by měl vždy řádně posoudit přijatou žádost dle článku 15 obecného nařízení. Podotýkám, že v současné době zákon č. 101/2000 Sb., o ochraně osobních údajů, v § 12 obsahuje ekvivalent tohoto práva.

Pokud má správce pochybnosti o totožnosti osoby, která žádá o informace, může postupovat dle článku 12 odst. 6 obecného nařízení, tj. může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů (který podává žádost).

Může správce omezit komunikační kanál (např. nastavit omezený způsob), kterým se na něj mohou obracet subjekty údajů (osoby dotčené zpracováním) při realizaci svých práv?

Správce není oprávněn obecně omezit komunikační kanály pro přijímání žádostí subjektu údajů v souvislosti s výkonem práv dle GDPR. Pokud má však správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost, může v souladu s článkem 12 odst. 6 GDPR požádat subjekt údajů o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti. Recitál 64 GDPR stanoví, že by správce měl využít všech vhodných opatření k ověření identity subjektu údajů, který žádá o přístup, zejména v souvislosti s on-line službami a síťovými identifikátory. 

Pověřenec pro ochranu osobních údajů

Musí kulturní příspěvkové organizace kraje (muzea a galerie) zřizovat funkci DPO ve svých organizacích, když nedochází v dané organizaci k rozsáhlému zpracování osobních údajů (dle čl. 37 obecného nařízení)?

Neplatí, že by jen pouze z důvodu, že organizace byla založena subjektem, který musí mít pověřence, měla mít též pověřence. Jinými slovy u takto založených organizací je nutné zkoumat, zdali nemusí mít pověřence především dle článku 37 odst. 1 písm. b), c) obecného nařízení. Důležité je věnovat pozornost podmínkám, které musí nastat pro vznik této povinnosti (např. musí jít o hlavní činnost spočívající v rozsáhlém zpracování zvláštních kategorií osobních údajů či jít o hlavní činnost spočívající v rozsáhlém monitorování subjektů údajů).

Muzeum, galerie, knihovna – jejich činnost nespadá do vymezení v článku 37 odst. 1 písm. b) a c) obecného nařízení – zatímco například nemocnice, zřízená městem, bude muset mít pověřence, ale ne z důvodu, že ji založilo město, ale proto, že je její hlavní činností rozsáhlé zpracování zvláštních kategorií osobních údajů (o zdravotním stavu), tedy dle písmena c).

Krajské knihovny lze postavit na úroveň ostatním knihovnám, tj. nemusí mít pověřence, a to ani tehdy, pokud budou rozesílat pozvánky na jimi pořádané akce. Muzea, galerie či knihovny nemusí mít pověřence, pokud zpracovávají nezbytné osobní údaje v souvislosti s jejich oprávněnou činností, včetně osobních údajů zaměstnanců pro pracovněprávní účely či uspokojování potřeb členů nebo mají kamerový systém.

Jsme nezisková organizace – domov pro seniory s počtem 133 zaměstnanců. Musíme jmenovat pověřence pro ochranu osobních údajů?

Pověřenec pro ochranu osobních údajů je jedním z nových nástrojů ochrany osobních údajů, které zavádí obecné nařízení (GDPR) k datu své účinnosti od 25. května 2018. Počet zaměstnanců pro jmenování pověřence pro ochranu osobních údajů není rozhodný, jmenuje ho správce pouze za splnění jedné ze tří podmínek. Těmi jsou:

  • zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;

  • hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;

  • hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Dle Vašeho popisu organizace se na Vás nevztahuje ani jedna ze tří podmínek, tedy pověřence pro ochranu osobních údajů mít nemusíte. Můžete si ho však zřídit dobrovolně, pokud uznáte, že zřízení pověřence pro Vás bude užitečné, v takovém případě by pověřenec měl mít odpovídající odborné znalosti práva v oblasti ochrany osobních údajů a schopnosti plnit úkoly stanovené v čl. 39 obecného nařízení.

I v případě, že pověřence jmenovat nebudete, je vítané mít v organizaci určenou osobu, která se bude ochraně osobních údajů věnovat.

Musí mít pověřenec pro ochranu osobních údajů nějakou certifikaci? Spousta firem certifikaci na DPO nabízí.

Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) nestanovuje certifikaci pověřence jako předpoklad výkonu funkce pověřence. Pověřenec tak certifikát mít nemusí a správce může jako pověřence vybrat i „necertifikovanou“ osobu, která disponuje dostatečným právním povědomím o ochraně osobních údajů a citovaném Obecném nařízení.

Není vyloučeno, že některé firmy „certifikaci“ pověřenců nabízejí, nicméně využití certifikace pověřence bude na dobrovolné bázi, a to jak ze strany pověřence, tak ze strany správce, který nemá povinnost vybírat certifikovaného pověřence.

Budou muset společenství vlastníků jednotek jmenovat pověřence pro ochranu osobních údajů?

Společenství vlastníků jednotek, jestliže provádějí pouze zpracování osobních údajů v souvislosti s činnostmi spočívajícími v zajišťování výkonu bytových spoluvlastnických práv a povinností tak, jak je upravuje zákon č. 89/2012 Sb., občanský zákoník (viz § 1158 a násl. občanského zákoníku), pověřence jmenovat nemusejí.

Co se rozumí pod pojmem „rozsáhlé zpracování a rozsáhlé systematické monitorování“? Je možno tyto pojmy vyjádřit nějak kvantitativně?

K výkladu pojmu „rozsáhlé zpracování a rozsáhlé systematické monitorování“, nejspíše myšleno ve vztahu k povinnosti jmenovat pověřence pro ochranu osobních údajů, doporučuji vycházet z vodítek pracovní skupiny WP29 k pověřencům. Vodítka jsou k dispozici na stránce https://www.uoou.cz/schvalene-pokyny/d-28603.

Ve zmíněných vodítkách jsou tyto pojmy rozebrány.

Kdo bude kontrolovat pověřence pro ochranu osobních údajů, že vykonávají svou činnost řádně a s péčí odborníka? Bude to ÚOOÚ?

Obecné nařízení o ochraně osobních údajů stanovuje povinnost jmenovat pověřence vymezenému okruhu organizací. Primárně tak bude Úřad pro ochranu osobních údajů kontrolovat, zdali organizace, která má podle článku 37 odst. 1 obecného nařízení povinnost jej jmenovat, tak učinila. K institutu pověřence se však váží i další povinnosti, mimo jiné povinnost jmenovat pověřence na základě jeho profesních kvalit, zejména na základě jeho odborných znalostí práva a praxe v oblasti ochrany údajů a schopnosti plnit úkoly stanovené v článku 39 obecného nařízení. Součástí kontroly tak může být i kontrola plnění povinnosti dle článku 37 odst. 5 obecného nařízení. Ta by byla na místě především tehdy, pokud by zpracování, které provádí organizace se jmenovaným pověřencem, vykazovalo závažná pochybení a vznikaly by tak pochyby o odborné úrovni jmenovaného pověřence.

Posouzení vlivu na ochranu osobních údajů

Co je to „veřejně přístupný prostor“ definovaný v čl. 35 odst. odst. 3 písm. c) GDPR? Je to pouze místo, kde může v určitém okamžiku vstoupit neomezený počet osob, a nebo jsou to i učebny ve školách a zkušebny v budovách orgánů veřejné správy?

Co se týče výkladu pojmu „veřejně přístupný prostor“ ve vztahu k článku 35 odst. 3 písm. c) Obecného nařízení, lze odkázat na vodítka pracovní skupiny WP29 k posouzení vlivu na ochranu osobních údajů, ve kterých je na straně 9 v poznámce pod čarou čl. 15 k tomuto pojmu uvedeno:
The WP29 interprets “publicly accessible area” as being any place open to any member of the public, for example a piazza, a shopping centre, a street, a market place, a train station or a public library.

Lze se tak přiklonit k názoru, že to budou jiné prostory než učebny či školy, ty zpravidla nebudou splňovat definici pojmu veřejně přístupný prostor. Veřejně přístupným prostorem je typicky např. nákupní obchodní centrum, ulice, vlaková stanice nebo veřejná knihovna.
Tato vodítka je možné stáhnout na odkazu http://ec.europa.eu/newsroom/document.cfm?doc_id=47711.

Při zpracování osobních údajů, které jsou upraveny právním předpisem, není nutno provádět posouzení vlivu takového zpracování (viz čl. 35 odst. 10 GDPR a § 9 návrhu nového zákona). Vztahuje se toto zproštění povinnosti i na všechny zákony, u kterých nebylo v minulosti v rámci legislativního procesu provedeno posouzení vlivu na ochranu osobních údajů, tedy byly uvedeny v platnost a účinnost už před vydáním RIA?

Návrh adaptačního zákona, který je v současné době v legislativním procesu s pracovním názvem zákon o zpracování osobních údajů, obsahuje ustanovení, že před zahájením zpracování osobních údajů, které je upravené právním předpisem, není nutno provádět posouzení vlivu zpracování na ochranu osobních údajů.

Porušení zabezpečení osobních údajů

Jakým způsobem má správce oznámit subjektu porušení zabezpečení osobních údajů dle čl. 34 odst. 1 GDPR? Stačí uveřejnit tuto informaci na svých webových stránkách?

V případě správního obvodu obce III. typu, jež může zahrnovat statisíce občanů, je poskytnutí jiného druhu informace technicky velmi obtížné a finančně náročné.

Doporučuji pozornosti článek 34 odst. 3 obecného nařízení, případně vyčkat vodítek pracovní skupiny WP29 k tomuto tématu (porušení zabezpečení ochrany osobních údajů a souvisejících povinností).

Certifikace, vydávání osvědčení

Nařízení Evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) v článcích 42 a 43 upravuje problematiku vydávání osvědčení o ochraně osobních údajů. Protože se objevují nejasnosti a otázky týkající se výkladu a řešení některých ustanovení výše uvedeného nařízení, připravil Úřad pro ochranu osobních údajů seznam nejčastějších otázek a odpovědí týkajících se uvedené problematiky.

Jaký je vztah terminologie nařízení 2016/679 ke stávající terminologii v oblasti akreditace?

V rámci českého překladu nařízení byla použita poněkud odlišná terminologie, která není v souladu se stávající terminologií používanou v oblasti akreditace. Pokud nedojde k úpravě překladu uvedeného nařízení, je nutno řešit vztah obou terminologií. Proto v rámci jednotlivých dotazů je v závorce uváděn k pojmu z nařízení i ekvivalent dle současné terminologie v oblasti akreditace (v ČR zastřešuje Český institut pro akreditaci, o.p.s.). 

Níže jsou uvedeny některé ekvivalenty:

Osvědčení = certifikát.
Subjekt pro vydávání osvědčení = certifikační orgán.
Kritéria pro vydávání osvědčení = certifikační požadavky.
Kritéria pro akreditaci subjektů = akreditační požadavky.

Co je osvědčení?

Osvědčení (certifikát) o ochraně osobních údajů je dokument vydaný subjektem pro vydávání osvědčení (certifikačním orgánem), kterým subjekt (správce, zpracovatel, výrobce atd.) prokazuje zajištění souladu s požadavky nařízení 2016/679.

Kromě získání osvědčení (certifikátu) jsou jinými možnostmi prokázání souladu s nařízením 2016/679  podpis a dodržování kodexu chování (pokud pro danou oblast existuje), nebo zajištění nezbytné dokumentace a přístupu k činnostem zpracování tak, aby soulad s nařízením bylo možno posoudit například v rámci kontroly dozorového orgánu (Úřad pro ochranu osobních údajů).

Je získání osvědčení povinné?

Neexistuje povinnost žádat o vydání osvědčení (certifikátu), jedná se o jednu z volitelných variant (viz předchozí odstavec).

K čemu mi bude osvědčení?

Osvědčení (certifikát) je dokladem o tom, že činnosti zpracování prováděné správcem nebo zpracovatelem jsou v souladu s nařízením 2016/679.

Osvědčení (certifikát) vydané v souladu s nařízením 2016/679 může usnadnit nákup produktů nebo služeb, pokud se prodejce/výrobce/poskytovatel prokáže osvědčením (certifikátem), který dokládá, že při správném nastavení parametrů produktů nebo služby je produkt nebo služba v souladu s nařízením.

Osvědčení (certifikát) může zásadním způsobem zjednodušit předávání osobních údajů do zahraničí, kdy se přejímající osoba (zpracovávající osobní údaje v zemi s nezajištěnou úrovní ochrany osobních údajů) prokáže platným osvědčením.

Co je předmětem hodnocení?

Předmětem hodnocení za účelem vydání osvědčení (certifikátu) mohou být činnosti zpracování v rámci jednoho zpracování nebo několika zpracování (podporovaných jedním nebo více informačními systémy), produkty (SW a HW) nebo služby. V současné době není součástí připravovaného schématu vydávání osvědčení (certifikátu) osobám (například pověřencům pro ochranu osobních údajů).

Kdo může osvědčení vydávat?

Osvědčení (certifikát) o ochraně osobních údajů mohou vydávat pouze subjekty pro vydávání osvědčení (certifikační orgány) pro tuto činnost akreditované. Návrh zákona o zpracování osobních údajů aktuálně počítá s variantou, že akreditaci subjektů pro vydávání osvědčení bude provádět vnitrostátní akreditační orgán České republiky, Český institut pro akreditaci, o.p.s., se kterým již nyní Úřad úzce spolupracuje.

Kdo akredituje subjekty pro vydávání osvědčení?

Subjekty pro vydávání osvědčení bude akreditovat Český institut pro akreditaci, o.p.s., vnitrostátní akreditační orgán České republiky, postupem upraveným v zákoně č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů (viz předešlá otázka).

Jaký je časový harmonogram přípravy certifikačních a akreditačních kritérií?

V současné době Úřad pracuje na přípravě kritérií pro vydávání osvědčení a kritérií pro akreditaci subjektů pro vydávání osvědčení. Dokumenty budou po dokončení dány k veřejné diskusi prostřednictvím rozeslání a vyvěšení na webu Úřadu. Významná úloha při tvorbě kritérií připadá podle GDPR Evropskému sboru pro ochranu osobních údajů (současná WP29), který v současné době připravuje dva dokumenty:

  • vodítka týkající se certifikačních kritérií

  • vodítka týkající se akreditačních kritérií, která by měla být schválena v únoru 2018. Sladění Úřadem navrhovaných kritérií s připravovanými vodítky WP29 je nezbytně nutné, aby nedocházelo k rychlým změnám v podmínkách akreditace a certifikací.

Jaký je časový harmonogram zahájení vydávání osvědčení (certifikací)?

Obojí kritéria (viz předešlá otázka) budou předána Českému institutu pro akreditaci, o.p.s. až po finální úpravě, tedy poté, až WP29 vydá svá vodítka a Úřad je zohlední ve svém materiálu.

V současné době tedy prozatím nelze žádat o akreditaci, a tudíž nelze ani žádat o vydání osvědčení (certifikát) k určitému produktu, službě nebo zpracování. V okamžiku, kdy to bude možné, bude veřejnost Úřadem informována.

Personalistika

Mohu kamerový systém použít k hodnocení zaměstnanců?

Kamerový systém nesmí být používán k hodnocení výkonnosti zaměstnanců.

Lze si ponechat CV kandidátů a uchazečů o zaměstnání?

Obecně lze konstatovat, že CV a další osobní údaje uchazečů o zaměstnání by měly být zlikvidovány momentem ukončení výběrového řízení, pokud jste nezískali souhlas s dalším zpracováním a uložením těchto osobních údajů. Na základu oprávněného zájmu organizace pak také můžete CV kandidátů uložit pro pozdější užití například po dobu dvou let, ale v případě zahrnutí do nového výběrového řízení musíte získat souhlas nový.

Mohu biometrii, konkrétně otisky prstů použít pro evidenci docházky?

Pokud se jedná pouze o evidenci pracovní doby, pak nelze biometrii použít za tímto účelem. Biometrii lze použít za účelem bezpečnostních opatření.

Může organizace vystavit fotografie zaměstnanců na webu?

U zaměstnanců, kde z titulu jejich práce lze takové zpracování očekávat, ano. Příkladem je management firmy nebo obchodníci cestující po republice. V případě zaměstnanců, u nichž vystavení fotografií není potřebné, lze jejich podobiznu zveřejnit pouze se souhlasem.

Je organizace správcem osobních údajů u firemních telefonů zaměstnanců?

V tomto případě nelze organizaci postavit do role správce osobních údajů zařízení používaného zaměstnancem a zejména osobních údajů zaměstnancem pořízených - například fotografie.

Jak řešit knihu jízd GPS u firemního auta používaného zaměstnancem k soukromým jízdám?

Obecný pohled ÚOOÚ je takový, že GPS by se neměla používat pro evidenci soukromých jízd. V současné době dochází k revizi tohoto postoje s odůvodněním, že zaměstnanecký benefit není nároková položka a může být odmítnut a vozidlo jako majetek firmy může být poškozeno nebo odcizeno kdykoliv, tedy i během soukromé jízdy a organizace bude potřebovat disponovat údaji, kde se vozidlo v době škodní události nacházelo.

 

Naposledy změněno středa, 17 říjen 2018 12:49

Více z této kategorie: « Pověřenec GDPR Jak postupovat »
Pro psaní komentářů se přihlašte

Acresia Consulting
Kaprova 14 
110 00 Praha 1
Česká republika


+420 321 123 123
info@acresia.com

Setkejte se s jedním z našich expertů

Chceme ukázat co umíme, podělíme se o zkušenosti, stojíme o spolupráci a svých klientů si vážíme.

Copyright © Všechna práva jsou vyhrazena Acresia Consulting s.r.o.