GDPR centrum

Volají Vám šmejdi?

Jak na to, aby už nevolali: převezměte iniciativu a PTEJTE SE. A hlavně: u neznámých čísel se NIKDY NEPŘEDSTAVUJTE. Řekněte jen slyším, haló, dobrý den, prosím...

Určitě to znáte. Zazvoní telefon, v pozadí slyšíte nezaměnitelnou kakofonií zoufalců z call centra a už to jede. Nabídka investic, musíme s Vámi vyřešit neodkladnou finanční záležitost, na základě Vaší žádosti nabízíme skvělý produkt, naše cestovní kancelář... Takže OK, jdeme na to:

Dobrý den, hovořím prosím s panem Josefem Novákem?

Dobrý den. Ani jste se nepředstavila. To je velmi nezdvořilé, slečno.
Co mu chcete?

No... tak pardón. Tady je Jana ze společnosti Zlosyn a syn a tento krátký hovor je monitorován.

Jé hurá! Tak to nechme Nováka Novákem. Já totiž miluji monitorované hovory, zvládnu to za kohokoliv. Dobrý den. Děkuji moc za zavolání, jen si dovoluji uvést, že i já si tento hovor nahrávám. To víte, paměť už mně neslouží jako dřív, znáte to. Občas některé monitorované hovory přehrávám svým známým, to byste nevěřila, jak se u toho kolikrát nasmějeme. Kam se hrabe Felix Holzman. Ale to předbíhám. Pokračujte, prosím.
Co potřebujete?

Jak co potřebujeme? My nic nepotřebujeme!

Vy nic nepotřebujete? To je zvláštní.
A proč tedy voláte?

Aha... chci Vám nabídnout náš supervýhodný produkt. Vaše finance za rok zhodotíme o víc než 100%.

Za rok dvojnásobek? Skutečně? To zní velmi dobře. Jen mi přijdou zvláštní dvě věci... Mohu k tomu mít dva rychlé dotazy? Super. Tak za prvé: proč sedíte na callcentru za kilo na hodinu, když byste si mohla vzít u jakékoliv banky krátkodobý úvěr na rok, řekněme třeba 10 milionů za 20%, peníze Vaším produktem zhodnotit, úvěr vrátit a užívat si vydělaných 80 milionů na pláži v Karibiku?

No já... o tom s Vámi teď nemohu mluvit. Chtěla jsem Vám jen nabídnout náš supervýhodný...

Děkuji. Omlouvám se, nechtěl jsem být nezdvořilý a vyzvídat. Asi máte své důvody, proč chcete zůstat chudá. Nyní prosím můj druhý dotaz. Ten je mnohem důležitější.
Kde jste vzala moje telefonní číslo?

Eeee... no... z veřejně dostupné databáze.

Tak to jste mne teď velmi zklamala. Považoval jsem Vaši firmu za seriózní. Určitě přece musíte vědět, že právní titul Oprávněné zveřejnění dle § 5 odst. 2 písm. d) Zákona o ochraně osobních údajů č. 101/2000 Sb. GDPR nezná a od doby účinnosti Nařízení GDPR o ochraně osobních údajů jej tedy nelze použít pro účely marketingu. Pokud byste jej použila, zpracovávala byste moje osobní údaje nezákonně. Takové firmě bych nemohl svěřit své peníze.
Na základě jakého právního titulu prosím zpracováváte moje osobní údaje?

Asi... nejspíš... dal jste naší firmě Zlosyn a syn souhlas se zpracováním pro marketingové účely.

Skutečně? Tak toho si vůbec nejsem vědom. Asi jsem se spletl a odsouhlasil něco, co jsem nechtěl. Jsem už poslední dobou takový roztržitý. Nicméně Článek 7 Obecného nařízení o ochraně osobních údajů - Podmínky vyjádření souhlasu, odstavec 1 naštěstí říká jasně:

1. Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.

Můžete prosím nyní můj souhlas pro tento konkrétní účel Vaší nabídky doložit, a to včetně doby jeho platnosti? Děkuji.

No... myslím, že jste souhlas udělil... asi... na našich stránkách. Někde jste tam asi na něco kliknul.

OK, nepamatuji se na to a jsem dalek obviňovat Vás z úmyslné nepravdy. Nicméně v tuto chvíli tedy na základě mnou dříve zmíněného článku 7 GDPR, odstavec 3, svůj souhlas s okamžitou platností odvolávám. Dovolím si Vám nyní pro Vaše připomenutí znění tohoto odstavce zkráceně uvést:

3. Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvolat souhlas musí být stejně snadné jako jej poskytnout.

Nyní tedy prosím považujte můj souhlas za odvolaný s okamžitou platností. Dovolím si upozornit, že pokud by tomu tak nebylo, musel bych nyní podat podnět na Úřad pro ochranu osobních údajů a poskytnout jim nahrávku našeho hovoru. Vždycky to tak dělám, oni jsou na mně úředníci hodní a zdvořilí, tak mě to baví, to jistě chápete. Prosím tedy teď o potvrzení z Vaší strany.
Evidujete v tuto chvíli moje rozhodnutí a souhlas považujete za odvolaný?

Asi ano... ano. Jo. Nashledanou.

Ještě minutku, prosím. Je to pro Vás opravdu důležité. Dále bych totiž v souladu s Článkem 17 Obecného nařízení o ochraně osobních údajů, využil svého práva na výmaz mých osobních údajů z Vaší databáze. Dovolávám se odstavce 1, zejména písmen a) a c).
Dovolím si Vám nyní připomenout znění těchto právních textů:

1. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
b) subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování;

Nyní prosím o informování, že k tomuto výmazu skutečně došlo. Pro tento konkrétní účel informace o výmazu Vám na základě článku 6, odstavce 1 písmene a) uděluji souhlas pro použití mého telefonního čísla, a to na dobu sedmi dnů. Věřím, že tato doba bude na výmaz dostatečná. Děkuji za Váš telefonát, přeji Vám hezký den, mnoho příjemných zákazníků a čekám na informaci o výmazu. Nashledanou.

742

hostujeme

186

řešení na míru

249

e-shopů

317

EET pokladen

GDPR: je to k něčemu dobré?

Chcete být v balíku? Tak jasně, ale základem je najít dobrý byznys. Nejlepší kšeft na světě (dokud se celý pyramidový systém nezhroutí) je tisknout peníze. V USA to činí pár rodin kolem FEDu, v EU je to klaka kolem ECB, u nás znáte hru zvanou intervence. Je to paráda, když potřebujete pár tisíc, milionů či miliard, prostě si je natisknete. Žádné daně neplatíte, není komu. Jen to má drobný háček... mezi sebe Vás asi nepustí.

Druhý nej v pořadí, hned před obchodem se zbraněmi a drogami, je obchod s osobními daty. A rozhodně nejde jen o známé nejbohatší firmy, které si na této entitě založili (a už si nikdy a nikým nedají vzít) svůj byznys, jako je Google, Facebook, Twitter, Amazon a další.

S Vašimi daty v menším kšeftují operátoři, provideři, monopoly, energetici, callcentra, státní úředníci i marketéři. Založíte si na Živnostenském úřadě svůj první živnostenský list a druhý den máte ve schránce nabídku na účetní systém pro nové podnikatele za super cenu. Hodinu po uzavření smlouvy Vaše fungl nové telefonní číslo ještě neví ani manžel/ka, ale už Vám na ně volá s úžasnou akční nabídkou na plyn i elektřinu nejmenovaná firma, oslovuje Vás jménem, znají adresu... Když se zeptáte, kde vzali Vaše telefonní číslo a další data, dozvíte se neochotně něco ve smyslu, že "Z veřejně dostupné databáze". Což v překladu může znamenat nejen černý prodej Vašich OÚ nějakým úplatným zaměstnancem, ale také třeba využití dat z veřejných registrů spravovaných státem (ARES, KN) na základě právního titulu Oprávněné zveřejnění dle § 5 odst. 2 písm. d), který si firmy vykládaly po svém.

A přesně tohle už nepůjde

Pokud jste fyzická osoba, máte díky GDPR mocná práva domoci se toho, že Vám fakt už nikdy nezavolají. Pokud jste podnikatel, hrozí Vám gigantické sankce a navíc nefér jednání Vaši firmu postupně odepíše. Tudy už fakt cesta nevede. Zákazníci si to totiž řeknou, díky GDPR to teď začne dávat smysl. A nepůjde to ani přes dříve zneužívané Oprávněné zveřejnění, protože GDPR tento právní titul nezná.

K osobním datům ve veřejných rejstřících se dostanete stejně snadno, jako dřív. Některé z nich (například aplikace České školní inspekce, ARES atd.) mají i API pro hromadné exporty dat a můžete se najednou dostat k tisícům a tisícům záznamů o dětech či podnikatelích. Ovšem jakmile je začnete zpracovávat bez odpovídajícíhio právního titulu, těžce narazíte. Podle nás zejména tímto směrem půjde ÚOOÚ při svých prvních bojových misích.

ABCD kočka gdpřede...

... aneb jak na rychlou a bezplatnou implementaci GDPR ve Vaší firmě vlastními silami. Neplaťte právníkům tisíce za rozepsání hromady textu o tom, že si šanony zamykáte do skříně, objednávky archivujete bez adres, šifrujete SD kartu a při registraci nevyžadujete telefon.

Vygenerovat Záznam o činnostech zpracování a RISC management ZDARMA

NEŽ kliknete: prostudujte si prosím všechny položky níže, celé ABCD kočka GDPŘede. A dobrý nápad je projít si i FAQ. Pro vyplnění formuláře totiž budete potřebovat pochopit, co soulad s GDPR znamená a co je kam potřeba vyplnit. Upozorňujeme, že průměrná doba strávená v průvodci GDPR do vytvoření finálního dokumentu (než s ním budete spokojeni), se pohybuje kolem dvou hodin. Udělejte si a nespěchejte, fakt Vám to chvíli dá :)

Zpracováváte osobní údaje legálně?

OU lze zpracovávat pouze buď na základě zákona, nebo na základě souhlasu, jinak jednáte protiprávně. Vždy tedy musí existovat právní tituly (nebo jejich souběh), na jejichž základě OÚ zpracováváte. Účetnictví vedete na základě PT Zákonná povinnost, objednávky vyřizujete na základě PT Plnění smlouvy, marketing schováte pod PT Oprávněný zájem a co už fakt nepůjde jinak, pořešíte obtížnou cestou Souhlasu (má celou řadu specifik a lze jej kdykoliv odvolat).

Nezpracováváte nadbytečné osobní údaje?

Máte e-shop, zákazník si objednané zboží vyzvedne u Vás na prodejně. Pro vyřízení objednávky NEPOTŘEBUJETE jeho dodací adresu. Analogicky: nesbírejte žádné OÚ, které nepotřebujete.

Pro jaké účely zpracováváte osobní údaje?

Sepište si důvody, pro které potřebujete osobní údaje sbírat a zpracovávat. Např. kontaktní údaje z e-shopu sbíráte za účelem realizace objednávky, odeslání zboží, kontaktování zákazníka, vystavení dokladu, vrácení zboží, řešení rekamací a řešení případných budoucích sporů.

Jaké jsou kategorie a doby platnosti osobních údajů?

Výše analyzované OU si zapište do tabulky, propojte s právními tituly a určete, jak dlouho budete data uchovávat, než je smažete. Např. pro účely objednávky potřebujete data až do vystavení faktury a odeslání, následně data - možná už bez telefonního čísla - potřebujete 10 let pro daňovou evidenci a následně třeba dalších 10 let pro případné soudní spory. Poté data smažte.

Jsou zpracovávaná osobní data u Vás v bezpečí?

Pohodlně se posaďte a přemýšlejte, jaké situace mohou nastat. Uklízečka má klíč od kanceláře, kde běží neodhlášené počítače. Zapomenete notebook v autě. Průvan odnese papíry na ulici. Dáte tablet do bazaru. Zaměstnanec pracuje z domova nebo si zkopíruje co se dá a založí vlastní firmu. Kam až se dostanou návštěvy, třeba i děti zaměstnanců. Co se děje na firmě když tam nejste.

Jak ukládáte papíry a šanony?

Co 10 let staré faktury? Jsou pod zámkem a víte kdo k nim může, nebo jsou na kupě vedle uhlí? Nebo už ani netušíte? Sepište si krátce jak a kde archivujete a jak to do budoucna vymazlit.

Máte zabezpečené osobní údaje v elektronické formě?

Zase na to koukejte z pohledu co by se mohlo stát a jak si potom budete rvát vlasy. Heslo do Windows může být jednoduché, ale v případě úniku - bylo tam. A taky... i silné heslo do Windows je pro kočku pokud vestavěný účet Administrator nemá heslo. Projděte si smlouvy s hostingem. Šifrování může být neřešitelný problém při obnově či záchraně dat. A pozor na servery mimo EU.

Máte zaměstnance?

Pokud ano, dbejte nejen na ochranu jejich OÚ (přístupové systémy, docházka, kamery), ale také je hlídejte, aby nevyvedli nějakou hloupost. Toto riziko minimalizujte: smluvně (mlčenlivost), pusťte je jen tam, kam potřebují, zrevidujte přístupová oprávnění a nezapomeňte na proškolení.

Specifikujte a pojmenujte chyby, rizika a hrozby.

Z předchozí analýzy zpracovávaných OÚ i bezpečnostních rizik na Vás vykoukly nějaké ty chyby, problémy a potenciální hrozby. Sepište si jejich seznam, třeba do prvního sloupce excelu.

Navrhněte opatření, jak nalezené nedostatky opravit.

Do druhého sloupce excelu dopište ke každé chybě, zda je možno ji opravit a tím ji úplně eliminovat, nebo prostě existuje nezávisle na Vaší vůli. Něco prostě není ve Vašich silách, třeba smazat osobní data ze záloh umístěných na nepřepisovatelných CD/DVD. Potom ovšem musíte nastavit proces, jak v případě obnovení ze záloh řešit již smazaná data.

Minimalizujte rizika při zpracování OÚ.

Do třetího sloupce excelu u neopravitelných chyb dopište, jakými způsoby by se dala minimalizovat rizika vyplývající z těchto chyb. Nepochybně existuje řada variant a možností, u kterých třeba ani nelze na první pohled říci, která je lepší. Třeba zda zvolit zamykatelnou skříň nebo uzamykatelnou místnost, totéž třeba volba software.

Navrhněte implementaci pro Vaši firmu.

Do posledního sloupce si napište návrhy na konkrétní řešení a postupy, které budou ve Vaši firmě zavedeny. Doplňte termíny implementace a případně kdo se na ní bude podílet a kdo zodpovídá. A též termíny kontrol, o kterých si veďte záznamy. Mohou se hodit.

Proč není D dokončení? Fňuk

Těšili jste se, že když jste došli až sem, jste na konci cesty a D bude Dokonáno jest? Tak to Vás musíme zklamat :)

Zavedení GDPR ve firmě je proces, nikoliv produkt. Jde o obdobu zavedení řízení kvality. Provedli jste první, velmi důležité, ale ty nejsnadnější kroky. To, co Vás teď čeká, je celý zavedený systém dozorovat tak, aby zůstal v perfektní kondici, přizpůsoboval se novým skutečnostem a ochránil Vás před problémy spojenými s únikem osobních údajů. Dohlížejte na svoje zpracovatele i zaměstnance, dodržujte nastavené postupy a buďte fér k zákazníkům. A pokud máte nějaký dotaz, neváhejte nás kontaktovat.

Vygenerovat Záznam o činnostech zpracování

Často kladené otázky

Výběr otázek, které nám zákazníci opakovaně kladou.

V ARESU i na účtenkách je v DIČ moje rodné číslo, v Katastru nemovitostí kompletní info o mé rodině. To fakt nevadí???

Právní názor např. europoslankyně Jourové je ten, že to nevadí. Náš právní názor (opřen např. o Stanovisko 3/2011 ÚOOÚ) je ten, že vadí, a to velmi významně. Číslo za lomítkem vede k jednoznačnému ztotožnění osoby, a hlavně - z RČ lze určit i (změnu) pohlaví osoby. Podle našeho názoru tedy až dosud v pořádku, RČ jako identifikátor bylo zavedeno před účinností Nařízení GDPR, ale jakmile bude jakákoliv další národní legislativa chtít navázat na tuto současnou, nebude v souladu. A proč to vadí? Hypoteticky: pokud mně slečna zmrzlinářka ke každému kornoutu dodá EET informaci, kdy má narozky, v ARESU zjistím jak se jmenuje, kde bydlí, přes registr nemovitostí třeba i to, že jí patří dům, vím také že když je na stánku, není doma. A pokud je plátce DPH, pravděpodobně má obrat nad milion a... jde se loupit. Konečný právní názor bude mít nejvyšší soudní instance, pravděpodobně EU, ale dovolujeme si predikovat, že ČR dopadne jako obvykle, zaplatí pokutu, může dojít i na odškodnění velkého rozsahu - a opět jen a pouze proto, že poslanci promarnili dlouhé roky planými řečmi jak za vše může minulá vláda (ve které sami seděli) a že byly/jsou/budou volby, místo aby RČ ve svých databázích a registrech nahradili anonymizovanými identifikátory, jako je tomu např. na Slovensku.

Česká republika neschválila zákon, na všechno má času dost a po mně jako podnikateli chce, abych od 25.5. plnil GDPR???

Takhle problém nestojí. Podnikatelé "plní GDPR" tím, že OÚ zpracovávají v souladu s legislativou, a pokud jste dosud alespoň rámcově dodržovali Zákon č. 101/2000, máte z 90% hotovo. Ovšem tím, že stát adaptační zákon neschválil, si (slušně řečeno) znečistil vlastní hnízdo. Uvidíte to brzy, až některé státní instituci opět uniknou OÚ. Schválením adaptační legislativy totiž poslanci mimo jiných uvolnění mohli zmírnit drakonické správní pokuty podle čl. 83 GDPR - v již roky existujícím a neschváleném návrhu je max. 10 mil. Kč oproti 20 mil. € v Nařízení - a tato možnost nepřijetím adaptační legislativy padá. Pro malé firmy nemá adaptační zákon v podstatě žádný dopad, GDPR je platné i bez adaptační legislativy a možná výjimka a zmírnění by pro Vás mohla být jen v oblasti zpracování OÚ Vašich zaměstnanců, věku dětí atd. Osobně ovšem silně pochybujeme, že zrovna tuto oblast bude zájem nějak zmírňovat. Chybějící zákon ovšem - kromě toho, že v EU vypadáme jako naprostí diletanti a zaplatíme nemalou pokutu - znamená, že plný dopad nařízení pocítí státní instituce, neziskovky, novináři, umělci, akademici, archívy, statistici a v neposlední řadě církve. Nezbývá než jim poradit, aby poděkovali svým zákonodárcům :)

Je to vůbec k něčemu dobré? Mohu se GDPR nějak vyhnout, případně delegovat svoje povinnosti na někoho jiného?

Pokud jste soukromá nepodnikající osoba a například si zpracováváte rozsáhlou databázi svých přítelkyň, spolužáků či známých, je vše OK, z pohledu GDPR nemáte žádné povinnosti a nejste zpracovatelem osobních údajů. Naopak, získáváte řadu nových, právně účinných, užitečných a - přiznejme si - docela zábavných práv. Přimlouváme se, abyste např. hru zvanou Vylistujte a do týdne mi pošlete soupis veškerých osobních dat, co o mně zpracováváte, a to zdarma, uplatňovali u úřadů či velkých korporací, které na to mají kapacity, a vynechali malé firmy, které mají svých starostí dost. Dík moc předem ;o) .Z druhé strany: pokud jste správcem osobních údajů (a tedy např. vystavujete účetní doklady), tak se GDPR v žádném případě nevyhnete. Jakákoliv externí firma, Váš zaměstnanec či jiná osoby či organizace, která Vámi sebraná data zpracovává, je již jen jejich zpracovatelem. Odpovědnost za soulad s GDPR, tedy že osobní údaje zpracovávávte v souladu s legislativou, za jasně daným účelem a v nezbytném množství po nezbytnou dobu, nesete pouze Vy. Případné sankce i odpovědnost za porušení při zpracování Vámi sebraných OÚ či za jejich únik tak jde za Vámi jako správcem, nikoliv za zpracovateli.

Dostal jsem nabídku předpřipravených dokumentů za akční cenu 6.000Kč + DPH. Potřebuji jako OSVČ vůbec nějaké dokumenty?

Tak obecně záleží na velikosti Vaší firmy, počtu zaměstnanců a rozsahu zpracovávaných osobních údajů. Trochu samozřejmě i na tom, jak data uchováváte, jak moc řešíte zabezpečení, jestli máte na firmě kamery a tak vůbec. Ale hlavně a úplně nejvíc záleží na tom, jestli Vás konkurence nebo nějaký jiný dobrák práskne na UOOÚ, protože alespoň zpočátku to bude jediné kritérium, na základě kterého se dostanete do hledáčku úřadu. A dobře víte, že úředník potřebuje kafe, židli, papíry a na odchodu udělit alespoň malou pokutičku. Těžko mu budete vysvětlovat, že vše máte v hlavě, zejména když Nařízení GDPR některé dokumenty (např. veškeré případy porušení zabezpečení osobních údajů) taxativně vyjmenovává, Takže čistě, pouze a jedině z tohoto důvodu i malým živnostníkům či řemeslníkům doporučujeme nějaké ty dokumenty (analýzy, záznamy zpracování) mít. Vyplodit je v zásadě není nic těžkého, v podstatě si uděláte ABCD kočka gdpřede a máte hotovo. Pokud hostujete Váš web či e-shop u nás a využíváte naše systémy, tak není problém příslušné dokumenty vytvořit v nich, případně Vám s tím samozřejmě zdarma pomůžeme, v základu to je otázka maximálně hodinového telefonátu a zbytek už dáte bez problémů sami.

Je používání HTTPS na e-shopu povinné, nebo je to jen další zbytečný výdaj za certifikát?

Povinné ne, ale hodně užitečné ano. HTTP je protokol, kterým prohlížeč Vašeho zákazníka komunikuje se serverem. Pokud je komunikace šifrována, a v řádku s adresou máte https://, nemělo by být možné komunikaci odposlechnout a zjistit tak např. přihlašovací údaje či čísla kreditních karet. Pokud tedy na Vašich stránkách máte políčka pro heslo, na 100% jděte do https. Celá věc má jako obvykle širší rámec, kdy např. si necháváte zasílat zapomenuté heslo ze zabezpečených stránek na Váš nezabezpečený e-mail a celý proces je tak pro kočku... a také je nutno připomenout "chyby" typu malware by design v protokolu (TLS heartbeat), které zřejmě zajistily těm správným tajným službám ten správný přístup. Vzhledem k tomu, že podobně kritickou "chybou" trpí i procesory INTEL na úrovni mikrokódu, je SSL z tohoto pohledu tak trochu marketingový nástroj. To potvrzuje i chování Google, který ne-ssl stránky penalizuje a nepustí např. na Google Nákupy. Takže - pokud nemáte mikrowebík jako je tento, SSL určitě používejte - třeba už jen jen kvůli bleskové rychlosti načítání přes HTTP/2, které při hostingu u nás získáte společně se SSL certifikátem zdarma.

Máme shop s krby a dle kontroly UOOÚ v jiném shopu jsme informační společnost. Potřebujeme u dětí do 16 let souhlas rodičů? (link na UOOÚ)

Stránky úřadu uvádějí doslova "Předmětem kontroly bylo dodržování povinností kontrolovaného subjektu poskytujícího službu informační společnosti, která spočívala v nabídce produktů internetového obchodu ezoocentrum.cz". Zde bychom rádi upozornili na matoucí fakt, kdy text "nabídka produktů" se nepochybně týká zasílání obchodních sdělení, a nikoliv nabídky produktů v E-shopu. Podobně matoucí je i název Směrnice EU, která ISP do národních legislativ zavádí (Směrnice č. 2000/31/ES O elektronickém obchodu). Nicméně: abyste naplnili podstatu poskytování služby informační společnosti, je třeba splnit tři body. Za prvé - služba musí být poskytnuta pro jiného. To splňujete. Za druhé: služba je poskytována individuálně. To také splňujete, neprovozujete TV vysílání. Ale za třetí - podstata služby je v elektronicky komunikované informaci. A to v rámci e-shopu s krby nesplňujete ani náhodou, elektronická komunikace Vám jen usnadňuje uzavření smlouvy. Takže použijete § 31 NOZ a posoudíte, v kolika letech vzhledem k sortimenu Váš dětský zákazník již dosáhl vyspělosti pro uzavření distanční smlouvy a doplníte do VOP.

Prodáváme potraviny a též alkohol. Jak mám zjistit, že zákazníkovi je již 18 let? Datum narození je citlivý údaj kopie OP taky.

K dotazu obecně: datum narození není citlivým údajem, občanský průkaz též ne. Zvláštní kategorie osobních údajů je v Nařízení taxativně jmenována, jsou to takové OÚ, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za Zvláštní kategorii OÚ jsou považovány též genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby. K dotazu konkrétně: pro pořízení kopie občanky nemáte žádný legální titul a nemůžete ji provést. Jediná z pohledu legislativy správná cesta je nechat zákazníka zadat svůj věk, věřit mu že nelže (jak by mohl) a na základě toho se rozhodnout. Z tohoto pohledu doporučuji postup, který využívají naše systémy - v podstatě se zeptáte, zda se zákazník narodil dříve či později, než uvedené datum (dnešní den - 18 let). Je to pohodlné a legislativně v pořádku. Jako bonus můžete zákazníkovi "pohrozit", že např. Váš rozvážkový řidič bude věk kontrolovat na místě předání zboží, ale je to jen pro Váš dobrý pocit.

Koupili jsme drahou databázi 100000 cz firem které dle prodejce souhlasí s marketingem. Adresy, telefony, maily. Můžeme ji používat pro nabídky?

Píšete adresy a maily, z tohoto pohledu tedy máte dvě možnosti, jak firmy v rámci Vašeho marketingu oslovit. Tou první a z pohledu GDPR jednodušší možností je využít jejich adresy sídla provozoven, poslat jim dopis nebo nějaký propagační balíček, rozvést jim letáky, uspořádat u nich workshopy atd. Z tohoto pohledu je vše OK, vůči právnickým osobám v podstatě není žádná významná legislativní regulace tohoto typu marketingu a nepotřebujete ani jejich souhlas. Pokud ovšem zvolíte cestu zasílání obchodních sdělení e-mailem, stáváte se provozovatelem služby ISP, a ta je regulována zákonem č. 480/2004 Sb. ve znění zákona č. 214/2006 Sb. Za předpokladu, že firmy dosud nejsou Vašimi zákazníky, jste povinni získat předem souhlas se zasíláním obchodních sdělení. Souhlas musí mít všechny náležitosti a musí být doložitelný pro každou firmu jednotlivě. Z tohoto pohledu je třeba posoudit, zda Váš prodejce vytvořil databázi přímo pro Vás na míru, získal souhlasy všech firem pro Váš konkrétní účel, a je schopen je doložit. Pokud ano, je vše v pořádku. Pokud jste zakoupili obecnou databázi bez doložitelných souhlasů, je to pro kočku, musíte si nejprve zajistit souhlasy dle GDPR a teprve poté zaslat obchodní sdělení. Náš tip: ze 100.000 firem Vám jich zbyde hodně málo :)

Ve firmě nyní vyžadujeme přímo od klienta souhlas s každým zpracováním dat. Jsme GDPR ready?

GDPR ready tedy rozhodně nejste. Pokud to děláte takto, zvolili jste si tu nejobtížnější, nejhorší a navíc nezákonnou cestu. GDPR jasně říká, že pokud existují legální cesty, zákony či právní předpisy, na základě kterých lze osobní údaje zpracovávát, jste povinen jich použít. A teprve v případě, že nenaleznete žádný zákon či právní předpis, který by Vám umožňoval pro Vámi požadované důvody osobní údaje zpracovávat, jste povinni vyžádat si informovaný souhlas osob, jejichž údaje budete zpracovávat. Právní titul souhlasu vyžaduje celou škálu činností z Vaší strany, ale hlavně: u souhlasu musíte jasně specifikovat, na jak dlouhou dobu jej požadujete, a navíc může zákazník svůj souhlas kdykoliv odvolat. A teď si představte, že k odvolání souhlasu fakt dojde. Vaší povinností je data okamžitě přestat zpracovávat. Tím se vlastní vinou dostáváte do neřešitelné situace, kdy zpracováváte například Vaše daňové doklady na základě souhlasu, který byl odvolán. Co teď, přestanete je zpracovávat? Zákon Vám ukládá, jaké náležitosti má mít úplný daňový doklad, a jejich součástí je identifikace odběratele. Přitom daňové doklady zpracováváte na základě právního titulu Zákonná povinnost a žádný souhlas k tomu nepotřebujete. Takže úplně špatně, souhlasy používejte jen tam, kde není jiná možnost.

Používám Google analytics. Je třeba mít souhlas, a pokud ano, jak ho zařídit u neregistrovaných?

Analytické nástroje typu GA, FB pixel, nebo třeba výborný český Zeerat+ či SmartLook provádějí tzv. profilování Vašich uživatelů. A to je přesně jeden z hlavních důvodů, proč celé GDPR vzniklo a proč bude do života uveden i jeho bráška ePrivacy. Důsledek profilování totiž vyústí v to, že Google o Vás fakt ví vše. Nejen odkud jste na stránku přišli, jak dlouho se na ní zdrželi, kde rejdíte myší a kam koukáte a kam až odrolováváte, kam všude jste klikli a kam pokračujete, ale postupem času zjistí i jaké máte preference a záliby, s kým si píšete, vidí do kontaktů na Vašem androidím telefonu, čte Vaše SMS i poštu, ví jaké sledujete filmy, co posloucháte za muziku, co a koho fotíte a natáčíte (cloud je zdarma, proč asi :), GPS vidí kde se pohybujete a díky sociálním sítím si vyprofiluje i Vaše přátele a udělá si o Vás velmi přesný obrázek. Asi sami uznáte, že takhle zabalená data se už dají solidně využít na cokoliv. Takže ANO - na podobné praktiky je nutno uživatele upozornit a jejich souhlas (např. pomocí cookie lišty) získat. A dokud Vám jej nedají či jej odvolají, analytiku, automatizované zpracování i remarketing vypněte a statistiky přístupů si zajistěte vlastními nástroji, ke kterým nepotřebujete souhlas. Pokud tuto fair-play politiku Vaše systémy neumí, přejděte k nám :o)

Máme rozsáhlou databázi našich zákazníků bižuterie, kterým rozesíláme nabídky nových kolekcí. Potřebujeme nyní ode všech souhlas?

Obchodní sdělení lze šířit elektronicky pouze dle Zákona č. 780/2004 § 7 a nyní záleží, na základě jakého právního titulu. Pokud na základě souhlasu, a ten není v souladu s GDPR, bude nutné souhlas obnovit i s tím, že Vaše spamovací databáze značně prořídne. Ovšem pokud si u Vás již zákazníci nakoupili a zasíláte jim newslettery s podobným typem zboží, jednáte na základě právního titulu Oprávněný zájem a souhlas nepotřebujete. Nemůžete ovšem Vašim zákazníkům nabídnout jiný sortiment výrobků, než si u Vás dosud kupovali; pokud jim nabízíte náušnice či prstýnky, je vše OK, ale NELZE jim nabízet třeba krmivo pro kočku. Pokud jste rozšířili sortiment, vždy si vyžádejte nový souhlas. Obecně: snažte se chovat férově a na Vaše aktivity se dívejte i očima zákazníků. I Vám přece nevyžádané nabídky ve schránkách vadí. Dejte Vašim zákazníkům šanci se z odběru novinek jednoduše jedním klikem na výrazné tlačítko odhlásit, a po jejich odhlášení si u nich v databázi zapište příznak, že těmto už žádný e-mail s nabídkou produktů nepošlete. Doporučujeme ale je nemazat, protože vždy může vzniknout na základě Vašeho dalšího oprávněného zájmu situace, kdy se může hodit jim e-mail zaslat. Typicky jde o změnu sídla provozovny, změnu právní formy Vašeho podnikání a připomenout se můžete i v případě změny Vašich VOP. Zdůrazněte, že se nejedná o marketing a omluvte se za nevyžádaný, byť užitečný e-mail.

Jak by měl souhlas vypadat, má nějakou povinnou formu? Může udělit souhlas např. s anketou i dítě?

Souhlas, který Vám zákazník (kterým samozřejmě může být i dítě) dáva ke zpracování OÚ, musí splňovat řadu náležitostí. V první řadě - četli jste upíří knížky, třeba Nekroskopa od Briana Lumleye? Když upír lákal na svůj hrad, vždy vyžadoval souhlas plně v souladu s GDPR a ptal se: vstupujete na můj hrad ze své vlastní svobodné vůle? Zákazník tedy musí dát svůj souhlas dobrovolně z vlastní svobodné vůle a ten nesmí být ničím podmíněn. Další podobnost s upírem ovšem tímto končí, dále upíři v souladu s GDPR nejsou. Zákazníkovi totiž musíte přesně, srozumitelně (tedy nikoliv právničinou - to platí 10x, pokud souhlas dává dítě) a jednoznačně sdělit, za jakými důvody a na jak dlouho budete jeho OÚ sbírat, jakým zpracovatelům je poskytnete a co ti s nimi budou dělat, za jakými účely a na jak dlouho. Dále mu musíte sdělit, zda data po skončení platnosti definitivně smažete. A v neposlední řadě jej musíte informovat o tom, kdo je správcem jeho OÚ, k jejichž zpracování dává souhlas, přičemž musí jít o konkrétní osobu na kterou se může obrátit (jméno, IČ), nikoliv např. webovástránka.cz, a též mu musíte dát možnost souhlas s okamžitou platnosí a definitivně odvolat. Jakmile svůj souhlas se zpracováním OÚ odvolá, musíte data okamžitě přestat zpracovávat. A úplně nakonec - všechny souhlasy i jejich odvolání musíte doložit, logujte si i texty souhlasů v době, kdy Vám jej zákazník udělil.

Identifikační údaje firmy, správce OÚ a případných dalších osob

Název firmy:

IČ:

Jméno, příjmení, titul správce:

Adresa správce:

E-mail správce:

Telefon správce:

Mám Pověřence pro ochranu osobních údajů (DPO)

Jméno, příjmení, titul DPO:

Adresa DPO:

E-mail DPO:

Telefon DPO:

Mám Společného správce osobních údajů (článek 26, GDPR)

Jméno, příjmení, titul společného správce:

Adresa společného správce:

E-mail společného správce:

Telefon společného správce:

Obecný popis technických, organizačních a bezpečnostních opatření dle čl. 32 odst. 1. GDPR

Popište stručně, jakým způsobem jste zajistili bezpečnost jednotlivých typů nosičů osobních údajů, jaká z Vašich technických a organizačních bezpečnostních opatření vyplývají rizika a jakým způsobem řešíte zálohování a případnou obnovu ze záloh. Nezapomeňte, že u nepřepisovatelných záloh (DVD) je třeba zajistit, aby již smazaná data (např. na základě odvolaných souhlasů) nebyla ze záloh obnovena.

Zde popište technická, organizační a bezpečnostní opatření pro papírové dokumenty:

Zde popište technické, organizační a bezpečnostní opatření pro lokální elektronické dokumenty:

Zde popište technická, organizační a bezpečnostní opatření pro cloudové elektronické dokumenty:

Příjemci osobních údajů

Mezi příjemce OÚ kromě Vás jako Správce patří též:

zpracovatelé, s nimiž máte uzavřenu Zprostředkovatelskou smlouvu o zpracování osobních údajů, a kteří Vám poskytují dostatečné záruky ochrany OÚ. Příkladem je třeba Vaše účetní firma, Váš hosting, reklamní agentura, dopravci zboží k zákazníkům, Seznam.cz, Heuréka, Facebook, Google...
zprostředkovatelé tvoří další kategorii příjemců: nejsou pro Vás Zpracovatelé, ale zprostředkovávají či vykonávají pro Vás služby či dodávky zboží a zpravidla s Vámi mají uzavřenou dohodu o mlčenlivosti. Na rozdíl od Zpracovatelů data přímo nezpracovávají, ale dostanou se k nim. Příkladem je např. Váš správce počítačů, recepční, prodavačka, nebo třeba poskytovatel Vašeho účetního programu, který poskytuje dálkovou podporu přes sdílení obrazovky.
příjemci ze zákona - těm musíte umožnit přístup z důvodu plnění Vašich zákonných povinností. Příkladem je např. Finanční či živnostenský úřad, ČOI, policie, hygiena, veterina atd. Pokud je uvedete, doporučujeme je implicitně nevyjmenovávat, ale zmínit je v jednom řádku obecně třeba jako Zákonní zpracovatelé.
Do pole Název příjemce zapište, o jakého příjemce se jedná - může to být konkrétní firma, ale i obecně soud, exekutor, ale lze i ještě obecněji např. dotčené právnické osoby v ČR, veřejnost, všichni s přístupem na internet atd. Pokud máte s příjemcem uzavřenu smlouvu či dohodu, uveďte její identifikaci v poli Podrobnosti o příjemci.

Název příjemce	Kategorie příjemce	Kontakty na příjemce	Podrobnosti o příjemci

Přidat příjemce

Informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci dle čl. 49 odst. 1 GDPR

Úplně nejlepší je data do třetích zemí nepředávat a ve Vaší informační povinnosti vůči subjektu údajů uvést cca Správce Vás informuje, že bez Vašeho výslovného souhlasu nebude předávat Vaše osobní údaje žádným příjemcům či zpracovatelům do třetí země mimo Evropský hospodářský prostor (EHP), pokud mají tyto země horší pravidla pro nakládání s osobními údaji než Česká republika. Pokud žádné OÚ do třetích zemí nepředáváte, ponechte pole prázdné. V opačném případě si prostudujte čl. 49 odst. 1 GDPR a vypište nejen účely a dobu zpracování, ale také identifikaci této třetí země či mezinárodní organizace, a v případě předání rovněž doložení vhodných záruk zpracování OÚ. A počítejte s tím, že pravděpodobnost problému při úniku dat či kontrole se významně zvyšuje.

Pokud k předání OU nedochází, ponechte prázdné:

Zvláštní kategorie osobních údajů (citlivé údaje)

Úplně nejlepší je Zvláštní kategorii osobních údajů nezpracovávat a ve Vaší informační povinnosti vůči subjektu údajů uvést cca Správce Vás informuje, že bez Vašeho výslovného souhlasu nebude Zvláštní kategorie osobních údajů zpracovávat. Pokud OÚ této kategorie nezpracováváte, ponechte pole prázdné. V opačném případě si prostudujte čl. 9 GDPR. Zvláštní kategorie osobních údajů lze zpracovávat pouze za definovaných podmínek - viz ÚOOÚ

Pokud Zvláštní kategorii OÚ nezpracováváte, ponechte prázdné:

Účely zpracování, kategorie, právní tituly a expirace

V tomto panelu přiřaďte pro každý účel zpracování odpovídající parametry. Příklad: data z objednávky zpracováváte na základě právního titulu Plnění smlouvy po dobu třeba 14 dní, ale z důvodu reklamace si je ponecháte po dobu tří let. Stejná data potřebujete doplnit na fakturu, zde je zpracováváte na základě právního titulu Zákonná povinnost a doba zpracování je 10 let. A i po této době můžete na základě právního titulu Oprávněný zájem tato data uchovávat třeba dalších 10 let, účelem je řešení případných budoucích soudních sporů. V tomto případě tedy vytvoříte tři řádky, v nichž se některé ze sloupců mohou schodovat.

Účel zpracování představuje důvod, PROČ zpracováváte osobní údaje, případně cíl, který vyžaduje osobní údaje evidovat a nakládat s nimi. Pro každý účel musí být definován právní titul nebo souběh právních titulů, aby data byla zpracovávána legálně. Účelem zpracování je např. vyřízení objednávky z e-shopu, zaslání objednaného zboží, provedení platby, vedení daňové evidence, zasílání obchodních a marketingových sdělení, zaměstnanecká agenda atd.
Kategorie subjektu osobních údajů specifikuje, ČÍ osobní údaje zpracováváte. Příkladem kategorie jsou zákazníci, potencionální zákazníci, zaměstnanci, osoby na dohodu o provedení práce či jinak mimo pracovní poměr, uchazeči o práci, dodavatelé atd.
Kategorie OÚ vypovídají o tom, JAKÉ OÚ zpracováváte. Příkladem jsou třeba adresní a identifikační údaje (titul, jméno, příjmení, datum a místo narození, rodné číslo, rodinný stav, státní příslušnost, adresa trvalého a přechodného bydliště), kontaktní údaje (e-mail, telefon, fax, meesenger, skype), dále popisné údaje (dosažené vzdělání, bankovní spojení, zdravotní pojišťovna, odborné znalosti a dovednosti, znalost a úroveň znalosti cizích jazyků, počet dětí, informace o předchozím zaměstnání) a konečně údaje o jiné osobě (identifikační údaje členů rodiny pro daňový odpočet atd.)
Příjemci osobních údajů vypovídají o tom, KOMU předáváte OÚ. Příjemce již máte zpracovány v předchozím kroku, zde pouze dopište jejich název či názvy, pokud se na jednom účelu zpracování podílí více příjemců.
Doba zpracování určuje, JAK DLOUHO budete osobní údaje zpracovávat. Tato doba musí být vždy stanovena, zpracovávat OÚ po neomezenou dobu je nezákonné. Příkladem je třeba časový interval (14 dní, 2 roky) nebo nějaká obecně pojatá deadline (do doby odvolání souhlasu a nejvýše jeden rok, po dobu zápůjčky atd).
Právní titul představuje LEGÁLNÍ DŮVOD, na základě kterého data zpracováváte. Pokud byste pro zpracování nenašli odpovídající PT, zpracovávali byste data nelegálně se všemi právními a dalšími důsledky. Právní titul vyberte z roletky, v případě souběhu buď zvolte souběh, nebo (lépe) vytvořte dva řádky. Většinou totiž pro jiný právní titul bývají některá data ze souběžného titulu nadbytečná (např. e-mail potřebujete pro objednávku (Plnění smlouvy), ale již jej nepotřebujete pro fakturaci (Zákonná povinnost) a nadbytečná data nesmíte zpracovávat.

Účel zpracování	Kategorie subjektu	Kategorie OÚ	Příjemci	Doba zpracování Právní titul	Poznámka

Přidat řádek

RISC management: analýza rizik a posouzení dopadů

Analýzu rizik a posouzení dopadů je velmi vhodné si zpracovat, i když dá hodně práce a přemýšlení. Nicméně vždy je lepší špatná prevence, než vynikající zásah chirurga. Až Vám uniknou data na základě nějaké hloupé chyby či souhry okolností, kromě jiných problémů Vás samozřejmě čeká též jednání s ÚOOÚ, kterému jste jako Správce nezpečnostní incident oznámit do 72 hodin. A výše pokut i jednání pracovníků bude jiné v případě, kdy jste pouze spoléhali na to, že "mně se to nestane", a jiné v případě, že jste se pokusili problémy předem řešit a pouze se to nepovedlo správně. RISC management má i tu výhodu, že Vám analýza ukáže i situace, kdy sice nedojde k poškození OÚ, ale je zde hrozba poškození zájmů Vaší firmy.

Entita - informační aktivum představuje ucelenou logickou skupinu věcí, předmětů, informací či dat, která je podobně ohodnocena z hlediska jejich důvěrnosti, míry rizik a dostupnosti. A jejichž krádež, kompromitace či zničení (požár, povodeň, zveřejnění, krádež, hack, smazání...) by Vaši firmu více či méně bolela. Příklad: výrobní dokumentace, faktury, výplatní pásky, data o zákaznících, notebooky, telefony, tablety, flash a externí disky, schémata, zdrojové kódy, hesla, klíče, přístupové kódy atd.
Chyby, rizika, hrozby, zranitelnosti je soubor všech myslitelných situací, za kterých může dojít ke ztrátě, pozměnění či kompromitaci OÚ, a v konečném důsledku k poškození Vaší firmy. Určte si i míru rizika (pravděpodobnost), s jakou hrozba může nastat. Příklad: v prvním kroku jste uvedli Mobilní telefon. Zde si stručně popište, k čemu může dojít: ztráta nezaheslovaného telefonu, v e-mailech jsou osobní data; ztráta zaheslovaného telefonu; telefon má/nemá nastavenu možnost dálkového výmazu dat; je třeba nechat blokovat SIM - jde o karťák, nebo smlouvu?; je třeba kontaktovat policii?; a hlavně - jde o bezpečnostní incident a je třeba do 72 hodin hlásit na ÚOOÚ? U zabezpečeného telefonu bez osobních dat pro jistotu dálkově smažete data a o incident se nejedná, u telefonu plného faktur, objednávek a informací o klientech nechráněného ničím samozřejmě jedná a čekejte milou návštěvu.
Eliminace rizika a řešení dopadů představuje soubor opatření, pomocí kterých rizika buď minimalizujete, nebo zcela eliminujete. Příklad: pro ztrátu či krádež mobilního telefonu zde navrhnete nainstalovat aplikaci umožňující dálkové smazání dat, pravidelné promazávání e-mailů a nějaký způsob zabezpečení telefonu (šifrování, odemknutí otiskem prstu atd).
Implementace konkrétních opatření už jen uvede do praxe předchozí text. Zapnete telefon a opatřeni reálně provedete, ideálně vyzkoušíte zda opravdu fungují a napíšete si sem, kde máte návod, protože až to budete po dvou letech ve stresu dělat... :) Případně stanovíte odpovědného zaměstnance. A samozřejmě (protože GDPR je proces) si stanovte nějaké termíny kontrol a kdo za ně zodpovídá - tedy zda po letech appka ještě funguje, zda i nové telefony jsou v souladu s Vaším RISC managementem a zda vyřazované telefony končí svůj křemíkový život tak, jak jste mu v dalších řádcích tohoto formuláře určili. Protože i smazaná data lze zpravidla s větším či menším úspěchem obnovit.

Entita, informační aktivum	Chyby, rizika, hrozby, zranitelnosti a dopady	Eliminace rizika a řešení dopadů	Implementace konkrétních opatření

Přidat řádek

Vygenerování GDPR dokumentu

Po kliknutí na tlačítko Vygenerovat dokument se k Vám do počítače stáhne soubor dle Vaší volby. Vaše zadaná data zůstanou ve formuláři až do jeho zavření; můžete si tak bez problémů dokumentaci vyladit plně k obrazu svému. Počet stažení není nijak omezen. Soubor pdf není uzamčen a můžete jej upravovat jakýmkoliv pdf editorem. Textový soubor obsahuje čistá textová data pro případ, že byste zvolili vlastní grafickou prezentaci. Nemáme problém ani s tím, že zde vygenerovaná data budete vydávat za vlastní práci a následně Vašim zákazníkům prodávat. Pouze pamatujte na to, že vložená data nikam neukládáme, existují pouze v útrobách Vašeho prohlížeče a po zavření okna prohlížeče budou zapomenuta (zavření formuláře nevadí, pokud byste si chtěli něco upřesnit na stránkách, můžete).

Kliknutím na tlačítko Vygenerovat rovněž zvýšíte o jedničku počet vygenerovaných dokumentů ve statistikách na stránce gdprcentrum.eu. A pokud máte zájem, můžete nepovinně uvést i počet hodin, které jste vyplněním formuláře strávili, a celkovou známku za to, jak je náš průvodce zpracován. Průměr bude uložen do statistik a usnadní dalším návštěvníkům našeho webíku rozhodování o tom, zda si GDPR implementují sami, či zda o to raději někoho požádají. A úplně na konec prosba - pokud zde najdete chybu, něco Vám zde chybí či byste udělali jinak, prosíme o zaslání Vašeho podnětu na info@gdprcentrum.cz - budeme se jím zabývat. Tlapku na to.

Díky moc a ať Vám to skvěle podniká. Team GC.

Doba strávená nad průvodcem

Ohodnotíte nás?

Výstupní formát souboru

PDF TXT (dočasně nedostupné, pracujeme na lepším formátování výstupu)

GDPR CENTRUM

Pár slov o nás

Je dobré vědět, že již od roku 1994...

GDPR: mám se bát?