Nedávno jsme organizovali webinář na novou EU legislativu GDPR (General Data Protection Regulation) - obecné nařízení o ochraně osobních údajů, které se týká každé firmy i státní organizace v ČR i SR. Sešlo se spoustu dotazů a zde jsou odpovědi:


Je možné někde získat plný seznam všech položek, které se považují za osobní údaje?

V GDPR je tato definice napsaná obecně. Konkrétní příklady a nejčastější typy osobních údajů v organizacích uvádíme v našich prezentacích, bohužel však z důvodu široké působnosti zákona, resp. nařízení není jednoduché vyjmenovat všechny možné údaje, které jsou považovány za osobní data. Jedná se o jakýkoliv údaj, týkající se určené nebo určitelné fyzické osoby.

Pokud eviduji ve webové aplikaci jméno, příjmení a e-mail člověka, jde o osobní údaje, které pod tento zákon spadají? A musí k nim takto přistupovat jak já, tak i provozovatel této webové aplikace?

Ano, pokud se jedná o kontaktní údaje fyzické osoby, půjde o osobní údaje. Tato data spadají do působnosti zákona, resp. regulace. Musíte k nim dle toho přistupovat jak vy, tak provozovatel aplikace.

Jak je to s údaji poskytnutými policii (DNA, otisky prstů atd..) vzhledem k právům?

Pokud se jedná o údaje poskytované z důvodu, že jejich zpracování vyžaduje samostatný zákon (jako v případě policejního vyšetřování), pro jejich sběr není vyžadován explicitní souhlas subjektu údajů. Samozřejmě se ale na ně vztahují další požadavky GDPR, mimo jiné také povinnost je zabezpečit před zneužitím ze strany policie.

Právo na výmaz je absolutní? Pokud zákazník, kterému mám doručit objednávku požádá o výmaz, tak já musím tyto údaje smazat? Jak se řeší následky tohoto výmazu?

Právo na výmaz není absolutním právem. Je možné ho uplatnit pouze za předpokladu, že nejsou osobní údaje již potřebné pro účel, pro který byly shromažďovány nebo zpracovávány. Dalším důvodem, kdy nemůže dojít k výmazu osobních údajů, je existence jiné právní povinnosti či zákona, který výmazu brání, např. zákon o archivaci a povinnost organizací archivovat dokumenty obsahující osobní údaje po určitou, zákonem stanovenou dobu.

Jakým způsobem je možné ověřit, kde všude jsou má data v dané organizaci uloženy? Na jedné straně vidím požadavek, na druhé straně se jedná o tvrzení dané organizace, kde všude má data uloženy.

Pro ověření musí proběhnout analýza ze strany Vaší organizace, abyste zjistili, kde všude se s osobními daty pracuje. Jinak nebudete schopni naplnit požadavky zákona, resp. GDPR. Pokud totiž dojde k incidentu nebo porušení zákona, odpovědnost spadá na organizaci, která data zpracovávala.

Pokud si ve svém CRM vedu e-mailovou adresu a mobil na zaměstnance u zákazníků, znamená to, že si najednou budu muset žádat explicitní souhlas, že si údaje mohu uložit?

Záleží, jestli jste již o souhlas žádali v době sběru dat a také od účelů takového sběru. Pokud je zpracování nevyhnutné pro agendu spojenou s poskytnutím služby nebo produktu (např. rozhodně potřebujete adresu pro to, abyste mohli zákazníkovi produkt poslat. Ve Vašem případě je na pováženou, jestli skutečně potřebujete kontaktní údaje od každého zákazníka – záleží na důvodech), osobní data v minimálním rozsahu můžete zpracovat i bez souhlasu subjektů. Samozřejmě na Vás ale spadají další povinnosti zákona, resp. nařízení.

Bylo zmíněno, že souhlas rodičů se vztahuje na děti od 16 let. Musí tedy všechny služby evidovat věk uživatelů? Stačí zákazníka/oceneni-a-uspechyuživatele vyzvat k zadání věku – například na internetu, nebo je třeba to nějak kontrolovat?

Věková hranice pro rodičovský souhlas je dána v rozmezí od 13 do 16 let věku, kdy si každý stát může určit minimální věkovou hranici, kdy je vyžadován rodičovský souhlas. Ano, z toho důvodu je nezbytné ověřit si věk osoby, která uděluje ke zpracování svých osobních údajů souhlas.

Právo na přenositelnost dat je bezplatné – je banka povinna mi tyto údaje předat bezplatně?

Ano, správce je povinen vydat tyto informace bezplatně.

Kdo reguluje textaci "Souhlasu se zpracováním osobních dat"?

Konkrétní znění není regulováno, pro doporučení v této oblasti je možné se obrátit na doporučení EU, resp. poradenské služby právních kanceláří.

Koho se tedy přesně GDPR týká? Konkrétně mi jde třeba o e-shop, který má jen třeba 2 zaměstnance, ale zpracovává údaje stovek zákazníků.

Ano, i e-shop, který zpracovává osobní údaje zákazníků, spadá do účinnosti GDPR. V podstatě jakákoliv organizace, která má alespoň 1 zaměstnance, musí zpracovávat osobní údaje zaměstnanců, takže je musí ze zákona chránit.

Bude se i jmenování pověřence týkat i personálních agentur?

S ohledem na množství a charakter osobních údajů si troufáme tvrdit, že personální agentury budou mít povinnost jmenovat pověřence pro ochranu osobních údajů (DPO).

Z čeho vyplývá "rozsáhlé zpracování"? Co je bráno jako rozsáhlé? Je vydefinováno množství dat?

Tyto termíny nejsou v nařízení jasně definovány, dle výkladových vodítek WP 29 je rozsáhlé definováno pomocí několika faktorů: počet dotčených subjektů údajů, objem dat, doba trvání zpracování, územní rozsah. Jako příklad rozsáhlého zpracování lze uvést například zpracovávání údajů o pacientech v rámci běžné činnosti nemocnice (zpracování údajů o pacientech jednotlivým lékařem se však za rozsáhlé nepovažuje). Rozsáhlým zpracováním bude i zpracování osobních údajů vyhledávačem pro potřeby cílené reklamy či zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky.

Jak často musí být prováděna kontrola outsourcovaným DPO?

Výkon funkce pověřence není časově jakkoliv omezen, výkon kontroly nad správným nakládáním s osobními údaji je soustavnou činností a je jen na samotné organizaci, zda-li si jmenuje interního nebo externího pověřence.

Jakou roli bude mít nadále úřad na ochranu osobních údajů? Bude dále probíhat registrace u úřadu?

Povinnost registrace (oznámení zpracování osobních údajů) s účinností GDPR odpadá. Úřad ale dostane vyšší pravomoci i možnosti výše pokut v případě porušení zákona, resp. regulace.

Kdo je odpovědný při incidentu a kdo bude platit pokutu - správce nebo zpracovatel?

Na tuto otázku rozhodně není jednoznačná odpověď. Velmi bude záležet na tom, zdali k úniku dat došlo na straně správce nebo zpracovatele, v případě existence smlouvy mezi oběma stranami doporučuji si odpovědnost obou subjektů velmi precizně vydefinovat.

Aplikuje se GDPR na zaměstnance dané firmy?

Povinnosti GDPR se vztahují na organizace, ale povinnosti ochrany osobních údajů samozřejmě přecházejí i na zaměstnance, kteří s nimi pracují.

Vyplývá z tohoto tedy vlastní vyšší odpovědnost správce nebo zpracovatele, aby sám implementoval požadavky GDPR?

Samozřejmě, pokud správce či zpracovatel mají zaměstnance, a tudíž zpracovávají jejich osobní údaje, tak se musí řídit povinnostmi vyplývajícími z GDPR. Taková společnost může být ve dvojí roli, pro svoje klienty může být v roli zpracovatele, zatímco pro svoje zaměstnance v roli správce.

Pokud správu GDPR bude provádět externí firma, kdo bude penalizován při úniku citlivých dat? Je stále zodpovědná firma nebo se to dá smluvně přenést na dodavatele?

Povinnost ochrany osobních údajů se dle GDPR vztahuje jak na správce, tak i zpracovatele (externí organizaci, která data zpracovává). Obě entity jsou tedy odpovědné za jejich ochranu, jelikož tato data zpracovávají – i v případě, že správce pouze data posbírá a pošle dodavateli.

V dostupných informacích o GDPR jsem se dočetl, že bude také zapotřebí upravit Privacy policy. Je někde možné nalézt informace ohledně toho, jak by měl souhlas se zpracováním údajů vypadat? Jedná se mi hlavně o to, zdali to bude možné řešit podobně jako v případě zpracovaní cookies, pomoci malého banneru s odkazem na celé Privacy policy?

Privacy policy je jedním z nejdůležitějších dokumentů, který musí mít každá společnost pracující s osobními údaji osob. Zde doporučujeme kontaktovat právníky a přípravu této směrnice rozhodně svěřit do jejich rukou.

Také jsem se dočetl, že v případě, že návštěvník neodsouhlasí sběr osobních údajů, měl by mu být přístup na web kompletně odepřen? Je to pravda?

Jedním z nových principů GDPR je udělení jednoznačného a ničím nepodmíněného souhlasu subjektem údajů. Pokud ke zpracování osobních údajů je takový souhlas vyžadován, tak nemůže být jeho neudělení důvodem k neposkytnutí služby, pokud to samotná služba nevyžaduje. Konkrétní příklad u e-shopu: pokud poskytnu jejímu provozovateli osobní údaje nezbytné k zakoupení výrobku, tak neudělení souhlasu k zasílaní marketingových mailů nemůže být důvodem odmítnutí samotného zakoupení produktu.

Mohou zákaznici zakázat sběr konkrétních osobních informací? Například nepřeji si abyste o mě ukládali telefonní čísla nebo IP adresu?

V tomto případě záleží na zákonném důvodu zpracování osobních údajů. Pokud k němu dochází bez souhlasu osoby, např. ve veřejném zájmu, tak takový zákaz nelze explicitně udělit, nicméně uplatněním práva na přístup může osoba vznést námitku a dotaz, proč je konkrétní osobní údaj zpracováván. Pokud ke zpracování osobních údajů dochází na základě uděleného souhlasu, tak potom sama osoba rozhoduje, jaké její osobní údaje mohou být zpracovány.

Prosím o technické, kvantifikované vysvětlení následujících pojmů: vhodná opatření na ochranu práv a svobod, vhodná technická a organizační opatření, nezbytné záruky, dostatečné záruky, vysoké riziko pro práva a svobody fyzických osob. Jak jednoznačně rozhodnout, co tato slova znamenají nebo kdy jsou tyto požadavky splněny? Jaká je předepsaná či schválená metodika pro „Posouzení vlivu na ochranu osobních údajů“?

Tyto formulace jsou popsané v regulaci takhle obecně, protože jsou specifické pro každé zpracování osobních údajů. Proto je korektní postup pro každou organizaci provést v první řadě analýzu rizik, které se vztahují na konkrétní zpracování osobních údajů v rámci organizace a na základě jejich výsledků implementovat taková opatření, která budou adekvátní k rozsahu a dalším specifikům zpracování.

Je osobní údaj i služební telefon a služební e-mailová adresa a služební IP adresa zákazníka právnické osoby?

Ano, pokud je z nich možné přesně identifikovat konkrétní fyzickou osobu.

Může mít společnost zasmluvněného více než jednoho pověřence pro ochranu osobních údajů?

Výkon funkce pověřence je týmovou činností, nicméně společnost je povinna uvést kontaktní údaje vždy na jednu osobu vykonávající funkci pověřence, která bude hlavní kontaktní osobou např. pro dozorový úřad.

Pokud splňujeme ISO 27001 a tyto postupy vesměs již máme – je to postačující?

V první řadě je nutno přezkoumat rozsah ISMS, jestli se skutečně vztahuje na všechny zpracování osobních údajů v rámci organizace. V rámci ISO 27001 je důležitým bodem také shoda se zákony – do této oblasti je také nutno zařadit GDPR. V neposlední řadě, GDPR se nevztahuje jenom na bezpečnost osobních dat, ale také na další oblasti (práva subjektů údajů, přenos osobních dat do zahraničí atd.) – doporučujeme prověřit, že jsou nastaveny procesy správně i pro tyto oblasti zpracování.

Jakou formou by měl být jmenován DPO? Stačí zápis z jednání statutárního orgánu společnosti, nebo je třeba nějaký "jmenovací dekret"?

Domníváme se, že těch forem uvedení pověřence do funkce může být vícero, např. uzavřením pracovní smlouvy s osobou, která bude tuto funkci vykonávat jako zaměstnanec, uzavřením smlouvy o poskytování služeb pověřence v případě externí služby, jmenovacím dekretem např. u státních institucí.

Jak Safetica DLP splňuje GDPR, když obsahuje spousty citlivých údajů?

Safetica je pouze nástrojem (systémem), který sbírá a zpracovává osobní údaje. Bezpečnost samotného systému je podpořena šifrováním jak samostatných komponent Safetica, tak komunikace a uložení osobních dat (logů). Jak již ale bylo zmíněno, GDPR klade také další organizační a personální požadavky, které jdou nad rámec softwarového řešení – pro tyto specifika dodáváme doporučení, jaké kroky přijmout pro používání našich produktů v mezích zákona (resp. GDPR).

Funguje Safetica i na macOS?

Zatím pouze na Windows, ale brzy plánujeme rozšířit podporu také na macOS. Máme také řešení na mobily pro Android, iOS and Windows Phone.


Stavím e-shop/oceneni-a-uspechyaplikaci na míru – hostovanou u třetí strany (webhosting). Kdo je tedy DPO? Já, hosting, nebo zadavatel práce?

DPO je samostatná entita, odpovědná za zpracování osobních údajů v organizaci. Více informací naleznete zde a na UOOU.

Jak je to v případě kamerového systému ve městě? Podléhá také požadavkům GDPR?

Ano, kamerové systémy také zpracovávají osobní údaje (kamerový záznam identifikuje činnost fyzické osoby), takže budou spadat pod požadavky GDPR. Samozřejmě získání souhlasu osob není v těchto případech fyzicky možné, proto je důležité identifikovat právní základ pro zpracování kamerového záznamu a postupovat transparentně k soukromí občanů (zejména vhodným označením monitorované oblasti). Další požadavky GDPR samozřejmě platí.

Pokud požádám správce nebo zpracovatele o podání informace, jak je s mými údaji pracováno, nejedná se pak o porušení bezpečnosti v rámci infrastruktury správce nebo zpracovatele, protože mi musí oznámit, že mé údaje eviduje v tom a tom systému a šifruje je tak a tak? Jak si mohu ověřit, že mi správce a zpracovatel nepodávají klamné informace?

Správce nebo zpracovatel je povinen Vám sdělit jaké osobní údaje o Vás zpracovává a jaký je účel takového zpracování. Rozhodně mu nejste jako společnost povinni sdělovat údaje o vašem technickém zabezpečení, datové architektuře, způsobu šifrování atd. Vaše právo na obchodní tajemství nebo právo jiných osob není GDPR dotčeno.

Kam až daleko do historie backupu a archivu půjde plnění požadavku na anonymizaci?

Předpokládáme, že anonymizací myslíte právo na výmaz osobních údajů. V případě, že po Vás archivaci nepožaduje samostatný zákon, měli byste osobní údaje smazat ze všech paměťových záznamů včetně archivů. Pokud je to technicky náročné nebo není možné, měli byste odmazat data ze živého systému hned po obnově ze zálohy.

Pokud evidujeme údaje a ukládáme je v cloudových službách od Google (služba G Suite - dříve Google Apps, a podobný problém asi bude i u Office 365 u Microsoftu), jsou zde nástroje pro ochranu dat a jdou nastavit bezpečnostní pravidla. Ale kde je povinnost zabezpečit to - na nás, nebo na dodavatelské firmě Google, Microsoft?

Poskytovatelé těchto služeb musí samozřejmě zajistit jejich soulad s pravidly GDPR. Jak společnost Google, tak i Microsoft nedávno uveřejnili na svých webových stránkách, že na uvedení do souladu jejich služeb s GDPR intenzivně pracují. Nicméně je důležité zmínit, že používáním těchto služeb se automaticky nezbavujete vlastní zodpovědnosti za dodržování pravidel nařízení, GDPR má dopad na celou vaši organizaci, informační systémy, a to vše za vás např. přesun všech osobních údajů do G-suite nevyřeší.

Vztahuje se GDPR i na kontakty, které byly získány před zahájením platnosti? Co s údaji, které jsme získali před GDPR? Musíme zákazníky žádat o souhlas znovu tak aby to splňovalo nové podmínky?

Ano, vztahuje, doporučuji zrevidovat všechny již udělené souhlasy, aby splňovaly požadavky GDPR.

Je bráno jako osobní údaj i evidence o docházce zaměstnance?

Určitě ano. Zaměstnanec je fyzická osoba a pokud je záznam o docházce jednoznačně spojen s identifikátorem zaměstnance, jedná se o osobní údaj.

Pokud se jedná o personální výběrové řízení – může být nadále vymezeno, že doklady poskytnuté pro účely výběrového řízení se nevrací?

Pravidla výběrového řízení si každá společnost určuje sama, nicméně je povinna dodržet povinnosti vyplývající z GDPR při nakládání a zpracování osobních údajů získaných v rámci těchto výběrových řízení. Nevím, jaké doklady jsou předmětem této otázky, nicméně je společnost povinna je chránit před zneužitím, pokud obsahují osobní údaje fyzických osob.

Webové aplikace budou muset kontrolovat věk uživatelů (opravdu to ověřovat)? Technicky je to totiž velmi komplikované (přeposílání občanských průkazů?), až nemožné. Pokud by to byla povinnost, většina e-shopů zanikne.

Aktuálně čekáme na vyjádření Úřadu na ochranu osobních údajů.

Ke stávajícím datům musím získat souhlas zpětně?

Pokud je k danému zpracování osobních údajů vyžadován souhlas, tak musí být udělen v souladu s pravidly GDPR, tj. doporučuji znovu zrevidovat dosud udělené souhlasy, aby byly jednoznačné a určené ke konkrétnímu účelu zpracování. Pokud ke zpracování osobních údajů dochází z jiných zákonem stanovených důvodů, např. ve veřejném zájmu, tak zde souhlas samozřejmě vyžadován není. Doporučuji, abyste si provedli interní audit právě právních titulů, na základě kterých dochází ve vaší společnosti ke zpracování osobních údajů.

Byla zmíněná přenositelnost dat – je určený strukturovaný formát/oceneni-a-uspechystandard těchto dat?

Není, doporučuji sledovat k této problematice veřejné diskuse jak na stránkách dozorových orgánů, tak i na webu UOOU.

Zajímá mě otázka PR agentur. Týká se jich rovněž GDPR, pokud mají medialisty (seznamy novinářů s jejich kontakty) a zpracovávají osobní údaje pro svou činnost? A jak si zajistím souhlas užití e-mailu novináře, pokud je veřejně dostupné třeba na webu?


Pokud se jedná o veřejně dostupný údaj, který se osoba dobrovolně rozhodla uvést na svém webu za účelem ji tímto způsobem kontaktovat, tak ji nemusíte žádat o souhlas. Pokud však hodláte použít tento údaj i pro jiné účely (např. přímý marketing vašich služeb), tak pak doporučuji si od novinářů nebo jakékoliv jiné osoby souhlas k těmto aktivitám vyžádat.

Modelový příklad – jsem zubní lékař, zpracovávám osobní a lékařské záznamy pacientů. Dle zákona musím 10 let tuto dokumentaci archivovat – buď písemně nebo elektronicky s el. podpisem. Právo na zapomnění se mě zde asi netýká. Je pro zubního lékaře lepší mít tato data ve svém software na svém PC v ordinaci, nebo je lepší přejít na online řešení a data dát do cloudu. A de facto tuto tíhu GDPR předat na poskytovatele cloud a správce dat – výrobce software?

Ano, právo na zapomnění se netýká případů, kdy po Vás archivaci požaduje samostatný zákon. K druhé části Vašeho dotazu, prakticky můžete zvolit kteroukoliv variantu – uložení lokálně nebo použití cloudového poskytovatele. V každém případě jste považován vy za správce a poskytovatel maximálně za poskytovatele – tíha GDPR z Vás tedy „nespadne“, pořád jste vy tou povinnou entitou za ochranu osobních údajů.

Existuje už nějaká mnemotechnická pomůcka pro určení, která firma/oceneni-a-uspechyobor činnosti musí mít pověřence povinně? Věřím, že se mohou nastat nejasné případy, my budeme zastávat názor že ne, a úřad za čas se vysloví, že ano.

Bližší informace k výkonu DPO naleznete zde a na UOOU.

Dá se někde získat informace o tom, jaké podklady budou vyžadovány pro audit (příští rok), zda organizace nařízení GDPR splňuje?

Dokážeme si představit, že se časem soulad s pravidly GDPR stane další povinnou auditovanou položkou ve společnostech, nicméně v současné chvíli, kdy ještě není nařízení účinné, tyto informace nejsou k dispozici.

Chápu správně, že odpovědnost za získání souhlasu se zpracováním údajů má Správce nikoliv Zpracovatel. Náš klient provozuje službu CRM systému, ve kterém si jeho zákazníci mohou nastavovat i další vlastní pole a sledovat vlastní údaje, které náš klient neovlivní a pravděpodobně se může jednat i o osobní údaje dle nových definic (emaily, telefonní čísla apod.)?

Ano, tato povinnost leží primárně na správcích, aby si takové souhlasy od klientů zajistili.

Může mi někdo dát souhlas se zpracováním údajů po telefonu?

Může, ale takto udělený souhlasmusí být zaznamenán a doložitelný pro případ kontroly ze strany dozorového orgánu a musí splňovat všechny požadavky na správné udělení souhlasu dle GDPR.

Výjimku z povinnosti vést záznamy o činnostech zpracování mají organizace s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje. Započítávají se pro potřeby posouzení povinnosti vést záznamy mezi zaměstnance i pracovníci na DPČ a DPP?

Dle našeho názoru ano, protože jsou také považováni z povahy uzavřených smluv za zaměstnance.

Máte další dotazy k GDPR? Kontaktujte nás a zjistěte, jak Safetica může pomoci i vaší firmě se zabezpečením citlivých osobních dat.

Chci zvládnout GDPR

Safetica Technologies vynaložila veškeré úsilí pro zajištění přesnosti a spolehlivosti informací uváděných v tomto článku a přidružené diskuzi. Nicméně informace jsou podány "tak, jak jsou", bez jakýchkoliv záruk. Safetica Technologies nezodpovídá za přesnost, úplnost, legislativní správnost či spolehlivost informací poskytnutých v tomto článku.

Autor
Safetica team

Další články

NIS2: Rozsah, účel a jaké změny očekávat

Nová revidovaná verze NIS2 byla přijata Evropskou unií 28. listopadu 2022. Nyní běží dvouleté přechodné období, během kterého musí všechny členské státy implementovat opatření směrnice NIS2 do své národní legislativy.

TISAX: Rozsah, účel a způsoby plnění požadavků

TISAX je evropský informační standard a standard kybernetické bezpečnosti vyvinutý za účelem ochrany dat v automobilovém průmyslu. Zjistěte více.

ISO/IEC 27001: Rozsah platnosti, účel a způsoby plnění požadavků

Dodržovat mezinárodní normu ISO 27001 znamená zřídit ve vaší organizaci účinný systém řízení bezpečnosti informací (ISMS). Přečtěte si více.