GDPR – jak na to? Co jsme na webinářích nestihli

Přečtěte si ty nejzajímavější otázky a odpovědi z našich webinářů na téma GDPR. Ptejte se na další v komentářích!

Do zvláštní kategorie OÚ spadá i podpis. nikde jsem se nedočetla, zda je podpisem myšleno to, kdy se lidé podepisují na smlouvy, prezenční listiny apod.?

Břetislav Chod: Podpis obecně nespadá do zvláštní kategorie osobních údajů. Zvláštní kategorii osobních údajů tvoří zejména údaje o rasovém či etnickém původu, politickém názoru, náboženském vyznání, biometrické údaje apod. Podpis bychom sice mohli zařadit také pod biometrické údaje (čl. 4 odst. 14 GDPR), jakožto údaj umožňující jedinečnou identifikaci fyzické osoby, nicméně za zpracování biometrických údajů jako údajů zvláštní kategorie nelze považovat každé zpracování těchto údajů, ale pouze takové zpracování, které probíhá technickými prostředky nebo systémy umožňujícími identifikaci člověka. Podpisy smluv, prezenční listin apod. tak spadají do běžného režimu ochrany osobních údajů. Účelem takového podpisu je určité potvrzení, že se daná osoba s dokumentem například seznámila, či byla účastníkem jednání. Zvláštní ochranu by pak mohl požívat podpis například při psychologické analýze pomocí grafologie. Bude tedy záležet, za jakým účelem je podpis zpracováván.

Pokud se firmy účastní výberových řízeních na uskutečnění zakázky, tak je někdy krirériem doložení životopisů zaměstnanců, musí zaměstnanec udělit souhlas? Neboť v životopise většinou jsou vedeny i údaje, které si myslím nejsou důležité. Např. datum narození, adresa bydliště, zájmy ... jak se s tímto vypořádat? Nebo vytvořit životopis, který by obsahoval pouze jeho vzdělání a kvalifikaci?

Břetislav Chod: Podle zákona o zadávání veřejných zakázek může zadavatel požadovat osvědčení o vzdělání a odborné kvalifikaci vztahující se k požadovaným dodávkám ve vztahu k zaměstnancům, kteří mohou danou dodávku, službu nebo práci poskytovat. Z hlediska GDPR je souhlas velmi hraniční oblastí, neboť ve vztahu nadřízenosti a podřízenosti, který u zaměstnavatele a zaměstnance existuje, je problematické dokázat svobodu vůle svolení zaměstnance. Použití životopisů by tak mohlo spadat pod oprávněný zájem zaměstnavatele, který však nesmí převažovat zájem nebo základní práva a svobody subjektu údajů. Dané použití tak musí být ze strany zaměstnance důvodně očekávané. V daném případě je tak nutné zvážit možnost nahrazení životopisů, které obsahují mnoho informací nerelevantních k zadávání veřejných zakázek, jiným osvědčením o vzdělání (popř. upravenou formou životopisu), a to s o ohledem na zásadu minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR.

Spolupracujeme se společností, která vyhodnocuje solventnost a solidnost společností na základě jejich finanční historie. Od svých partnerů získávají informace jako název firmy, fakturované částky, faktury po splatnosti. Jaký typ právního základu by se dal použít?

Břetislav Chod: GDPR se primárně vztahuje na ochranu osobních údajů fyzických osob. Obecně tedy můžeme z ochrany osobních údajů podle GDPR vyloučit všechny právnické osoby, jakož i orgány veřejné moci a jiné instituce. Je tedy otázkou, zdali Vámi uvedené dokumenty obsahují také osobní údaje o fyzických osobách, které do působnosti GDPR spadají. Dané zpracování může spadat pod oprávněný zájem správce. Oprávněný zájem však, jak již bylo uvedeno výše, nesmí převažovat nad oprávněným zájmem subjektu údajů na ochranu svých zájmů a základních práv. Oprávněný zájem musí být v souladu s právním řádem, dostatečně specifický, pro účely zpracování nezbytný a musí představovat reálný a současný zájem správce. V souladu se současným pojetím lze pod oprávněný zájem zahrnout zejména zpracování nezbytné za účelem ochrany práv či právem chráněných zájmů správce. Vámi uvedené zpracování by tak mělo spadat pod oprávněný zájem správce za účelem ochrany nabytých práv. Je nezbytné připomenout informační povinnost správce dle čl. 13 a 14 GDPR. Zároveň je potřeba se zamyslet nad zásadou přesnosti osobních údajů, tedy kontrolovat, zda jsou získané osobní údaje přesné a aktualizované.

Je nějak přesněji definováno, co se myslí údaji, které ohrozí subjekt? Které se pak musí hlásit? A existují kritéria na vyhodnocení tohoto rizika?

Břetislav Chod: Nejedná se o údaje, které ohrozí subjekt, ale o porušení zabezpečení, které představuje riziko pro práva a svobody subjektů údajů. Co se týče závažnosti újmy, pak do hry vstupují různé faktory, jako jsou (i) citlivost údajů, (ii) jejich objem, (iii) možný dopad na finanční a ekonomickou situaci subjektu údajů a další. GDPR uvádí jako příklad takových rizik riziko způsobení fyzické, hmotné či nehmotné újmy, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím nebo jakékoliv jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob. Hodnocení těchto rizik však nelze objektivizovat, zejména s ohledem na množství faktorů, které je třeba zhodnotit (jak uvedeno výše).

Pokud jsme poskytovatel internetu a v našem systému držíme osobní údaje našich zákazníků, musíme mít DPO?

Břetislav Chod: Záleží na povaze daných údajů. Pokud jako nezbytný důsledek vaší práce je, že pravidelně systematicky a rozsáhle monitorujete subjekty údajů. Pokud tedy potřebujete k naplnění vašeho předmětu činnosti monitorovat například IP adresy vašich zákazníků, a zároveň toto sledování splní podmínku rozsáhlosti (z hlediska rozsahu geografického, absolutního počtu subjektů, procentuálního počtu subjektů na celkovém množství, jejichž údaje byste potenciálně mohli zpracovávat atd.), pak je možné, že skutečně budete potřebovat DPO.

Pro lepší představu doporučuji přečíst si stanovisko WP29 k tomuto problému na tomto odkazu. Je zde velmi hezky popsáno, za jakých podmínek je třeba jmenovat DPO, i jejich postavení ve společnosti a jejich úkolů.

Pokud kamera zabírá prostor parkoviště naší společnosti, ale toto parkoviště je veřejně přístupné, jak se zachovat?

Břetislav Chod: V takovém případě bude potřeba vyhotovit si posouzení vlivu na ochranu osobních údajů podle článku 35 a následujících GDPR. Sledování veřejně přístupných prostor kamerovým systémem je totiž jeden z typických příkladů, kdy bude toto posouzení potřeba udělat. Veřejně přístupnými prostorami se přitom rozumí každé místo, kam může relativně bez omezení vstoupit neurčitý a neomezený počet osob. Dále je třeba v případě tohoto zpracování splnit vaši informační povinnost vůči subjektům (například vyvěšením oznámení o zpracování osobních údajů tam, kde se s ním všechny subjekty údajů mohou seznámit).

A pak, pokud mám na svých webových stránkách zdarma ke stažení e-book s nějakými tipy, jaký je v tomto případě právní titul zpracování, je to plnění smlouvy? Je zaslání e-booku zájemci službou? Nebo musím získat souhlas se zpracováním?

Břetislav Chod: Musíte si říct, k čemu tyto údaje potřebujete. Pokud je nepotřebujete k tomu, abyste reálně mohli subjektům tento ebook poskytnout, pak budete muset hledat jiný titul. Bude to buď oprávněný zájem či souhlas, je potřeba zkoumat, jak velké riziko pro práva subjektů údajů představuje způsob zpracování, ke kterému údaje, takto od nich získané, využijete. To bohužel posoudit nelze takto bez informací posoudit, ale jak již bylo řečeno na webináři, pokud máte zájem například využít tyto údaje pro účely přímého marketingu, pak na takovém zpracování máte oprávněný zájem, a nepotřebujete tudíž souhlas.

Jaká je zkušenost se šifrováním databáze a jejím vlivem na rychlost? A s tím spojená otázka ochrany odpovídajících klíčů (jejich ochrana a řešení rozšifrování databáze pro možnost jejího zpracování)?

Břetislav Chod: Šifrováním celé DB může dojít k jejímu zpomalení o cca 3-5 %. Při správě klíčů je zapotřebí postupovat podle běžných postupů na ochranu hesel, jejich sílu a případné ukládání. GDPR toto nijak nespecifikuje.

Další věc jsou prodejny kde se pohybují zákazníci. Jak je to v tomto případě. A co kamery, které zabírají chodník skrz výlohu?

Břetislav Chod: V takovém případě bude potřeba vyhotovit si posouzení vlivu na ochranu osobních údajů podle článku 35 a následujících GDPR. Sledování veřejně přístupných prostor kamerovým systémem je typickým případem je totiž jeden z typických příkladů, kdy bude toto posouzení potřeba udělat. Veřejně přístupnými prostorami se přitom rozumí každé místo, kam může relativně bez omezení vstoupit neurčitý a neomezený počet osob. Dále je třeba v případě tohoto zpracování třeba splnit Vaši informační povinnost vůči subjektům (například vyvěšením oznámení o zpracování osobních údajů tam, kde se s ním všechny subjekty údajů mohou seznámit).

Na webináři jste mluvili o zpracování osobních údajů v rámci hlavní činnosti, konkrétně zdravotních stavů subjektů. Jak je to u firem, které například dělají dětské tábory?

Břetislav Chod: V tomto případě si myslím, že není naplněn znak souvislosti s hlavní činností. Jedná se o stejný případ, jako například v případě zaměstnanců. Budete o nich zpracovávat určité zdravotní údaje, které jsou k Vaší činnosti nezbytné, ale nezávisí na nich Vaše podnikání, jako například v případě nemocnic. Pro lepší představu doporučuji přečíst si stanovisko WP29 k tomuto problému. Je zde velmi hezky popsáno, za jakých podmínek je třeba jmenovat DPO, i jejich postavení ve společnosti a jejich úkolů.

Pokud si zákazník zakoupil zboží má nárok na 2 letou záruku jeho data tedy potřebujeme min. po dobu trvání záruky. Plus státní úřední šimel požaduje archivaci faktur po nějakou dobu můžeme tyto údaje uchovávat?

Břetislav Chod: Ano, v případě odpovědnosti za vady výrobku (lidově řečeno záruky) plníte Vaši zákonnou povinnost evidovat údaje o Vašich zákaznících pro možnost realizace případné reklamace, stejně jako máte zákonnou povinnost archivovat po určitou dobu faktury. Oba tyto případy se tedy jedná o zpracování, které nejen, že můžete, ale dokonce musíte provádět, neboť Vám jej ukládá zákon, tudíž k takovému zpracování po dobu trvání této povinnosti nepotřebujete od subjektů údajů souhlas.

Jak je to ohledně námitek v případě ochrany oprávněných zájmů správce, například v případě, kdy si jako společnost schraňujeme údaje například o neplatičích/dlužnících?

Břetislav Chod: V tomto případě bych se nechal inspirovat zákonem o ochraně spotřebitele, který ve svém § 20z umožňuje vytvářet tzv. registry dlužníků, ve kterých se věřitelé vzájemně informují o dluzích svých zákazníků pro účely zhodnocení bonity a ochoty spotřebitelů platit. Za tímto účelem je možno zpracovávat identifikační údaje spotřebitele, údaje o finančních závazcích spotřebitele ze smluv mezi spotřebitelem a prodávajícími užívajícími registr, včetně údajů o potenciálních finančních závazcích spotřebitele ze smluv, o kterých spotřebitel s prodávajícím jednal, ale k jejichž uzavření nedošlo. K tomuto zpracování přitom není potřeba souhlas se zpracováním. Spotřebitel přitom může vyjádřit nesouhlas se zpracováním těchto údajů, ale pouze u těch pohledávek, u kterých není v prodlení (u těch, které nejsou po splatnosti).

Na základě těchto skutečností pak lze dovodit, že stejným způsobem můžete zpracovávat osobní údaje vy. V případě dlužníků, kteří jsou již v prodlení proto převáží Váš oprávněný zájem nad právy a subjekty údajů.

c) časové určení období, ke kterému se údaje vztahují,

d) údaj o prodávajícím, který záznam zapsal.

Jak je to s šifrováním dat? VPN? E-maily?

Břetislav Chod: GDPR nespecifikuje, že mají být data nebo jejich výměna šifrována. Ale pokud jsou data natolik citlivá, že by mohlo dojít k jejich přečtení neautorizovanou osobou, tak by správce/oceneni-a-uspechyzpracovatel měl zavést procesní a technická opatření k tomu, aby zabránil jejich přečtení. Jedním z těchto mechanizmů je i šifrování, ať už na úrovni konkrétních dat (e-mail, soubor), tak na úrovni komunikačního kanálu (VPN, webový prohlížeč).

Pokud se obchoďáci připojují pomocí VPN na vzdálenou plochu, kde běží např. Helios, Pohoda etc... bude stačit přihlášení heslem a certifikátem? Jak zabezpečit VPN spojení? PPTP? L2TP? OVPN?

Břetislav Chod: Podle našeho názoru je připojení heslem a certifikátem dostatečné pro potřebu ochrany komunikace mezi uživatelem a serverem. Každý typ zabezpečení má své pro a proti. OpenVPN je založená na SSL zabezpečení, které se v dnešní době používá ve velké míře. Ale rozhodnutí o konkrétním způsobu zabezpečení už je na možnostech a preferencích firmy.


Šanony, ve kterých jsou FA zákazníků, musí být v uzamykatelných skříních?

Břetislav Chod: GDPR nikde neuvádí, která konkrétní opatření jsou nutná pro konkrétní typy zpracování. Nutno však podotknout, že je potřeba vždy zajistit odpovídající technické a organizační zabezpečení osobních údajů, například, aby k těmto fakturám neměl přístup někdo jiný, než kdo k nim skutečně přístup musí mít. Zamknutí ve skříni se tak jeví, jako vhodné, ale pokud máte například faktury v kanceláři, kam má přístup pouze osoba, která potřebuje pracovat s fakturami, pak by to také mělo být v pořádku.

Co přístupový systém, který funguje na otisky prstu?

Břetislav Chod: V takovém případě bych určitě doporučil provést DPIA, neboť otisky prstů jsou biometrickým údajem, tudíž se jedná o zvláštní kategorie osobních údajů podle GDPR (citlivé údaje). Pokud se zpracování skládá z dvou a více rizikových faktorů, z nichž jedním je právě zpracování citlivých údajů, a druhým je systematické monitorování subjektů údajů (víte, kde se v daný okamžik nachází), pak je doporučeno dle WP29 takové posouzení provést. Zároveň budete potřebovat souhlasy všech subjektů údajů, jejichž otisky chcete zpracovávat, právě proto, že se v případě otisků prstů jedná o biometrické, tedy citlivé, údaje.

Potřebuji souhlas se zpracováním osobních údajů i v případě, že se jedná o veřejně dostupné osobní údaje?

Miloš Blata: Ne, veřejně dostupné údaje nejsou považovány za osobní údaje vůbec, pokud jsou využity za účelem jejich poskytnutí. V momentu, kdy dojde k jejich zneužití (např. kontaktní údaje z vizitky za účelem marketingu), dojde k porušení účelu a subjekt údajů může vznést proti tomu zpracování námitku.

Je výše finančního konta osobní údaj?

Břetislav Chod: Ano, stav bankovního účtu je také považován za osobní údaj, vede-li k přímé identifikaci jeho vlastníka – fyzické osoby. Za osobní údaj nebude považován stav bankovního účtu právnické osoby.

Jsou citlivé údaje i údaje o majetku ? Tj. akcie, nemovitosti atd.

Břetislav Chod: Ne, citlivé údaje, nebo-li zvláštní kategorie osobních údajů, jsou údaje o zdravotním stavu, politickém, náboženském či filosofickém přesvědčení, o členství v odborech, údaje genetické a biometrické a další údaje, jejichž konečný výčet je stanoven v článku 9 odstavci 1 GDPR. Pracovní skupina WP29 však pro určité účely rozlišuje i tzv. osobní údaje "citlivější povahy". Jedná se například o údaje o finanční situaci, rodinné situaci atd., avšak tyto údaje stále podléhají režimu zpracování "běžných osobních údajů".

Platí povinnost DPO (Pověřenec pro ochranu osobních údajů) i pro občanská sdružení a neziskové spolky poskytující připojení k internetu (různé freenety apod.)?

Miloš Blata: Podmínky pro DPO jsou jasně dány: povinný pro veřejné orgány, v případně rozsáhlého monitorování, v případě rozsáhlého zpracování citlivých dat. Na zaměření společnosti nezáleží.

Je správný název "citlivé údaje" nebo "údaje zvláštní kategorie"?

Břetislav Chod: Citlivé údaje jsou pouze "pracovní název", protože je kratší než zvláštní kategorie osobních údajů. Podle GDPR je však správně druhý z použitých pojmů.

Chápu správně, že pokud personalizuji web, musím provést DPIA (Posouzení vlivu na ochranu osobních údajů)?

Miloš Blata: Ano, pokud splňujete jednu z následujících podmínek: Nutné například v případě zpracování citlivých údajů, systematického monitorování veřejně přístupných míst, profilování uživatelů. Pokud pod personalizací myslíte profilování, spadá to do této kategorie.

Dle GDPR je nutné důvěryhodně a integrálně logovat, viz níže, ale zároveň musím na žádost odmazat osobní údaje (IP, MAC adresu), předpokládám i z LOGu. Tyto dva požadavky jdou proti sobě. Jak z toho ven?

Osobní údaje musí být: f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“); 2. Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit („odpovědnost“).

Břetislav Chod: Podle GDPR je nutnost mazat na žádost pouze určité osobní údaje, například osobní 1) údaje, které již nejsou potřeba, 2) údaje, které jsou zpracovávané na základě souhlasu, když byl souhlas odebrán, a za splnění dalších podmínek podle čl. 17 GDPR. Jinak ale platí, že nemůžete smazat osobní údaje, které potřebujete pro naplnění legitimního účelu, zejména pak, pokud osobní údaje zpracováváte pro plnění zákonné povinnosti. Jinými slovy, dokud existuje účel a licence pro zpracování osobních údajů, které jsou slučitelné s GDPR, je právo na výmaz těmito účely a licencemi převáženo.

Mohou se osobní údaje posílat e-mailem, bez šifrování?

Miloš Blata: Mohou, pokud je zaručeno, že nedojde k jejich úniku. GDPR každopádně doporučuje data šifrovat.

Mobilní operátoři si především uchovávají informace o provozu (data-retention). Platí právo přenosu i na ně?

Břetislav Chod: Ano, máte právo přenést si veškeré osobní údaje, které o vás správce zpracovává v automatizované podobě. Tudíž včetně informací o provozu. Pro právo na přenositelnost pak platí, že se skutečně jedná o přenos osobních údajů, nikoliv jejich "zkopírování".

Právo na přenos: jak by to bylo u doktora? Můj doktor o mně má "tlustou" dokumentaci. Chci např. přejít k jinému lékaři, ale stávající mi nechce vydat dokumentaci. Má v rámci GDPR stávající lékař povinnost dokumentaci předat?

Břetislav Chod: Právo na přenositelnost se využije pouze na automatizované zpracování, které probíhá za účelem plnění smlouvy nebo se souhlasem. V tomto případě však není mezi vámi a lékařem uzavřena smlouva, smlouva je uzavřena mezi vámi a pojišťovnou a mezi pojišťovnou a lékařem. Lékař vám tudíž nemůže poskytnout k přenesení ani osobní údaje, které o vás zpracovává automatizovaně. Alespoň ne v režimu GDPR. Vaši zdravotnickou dokumentaci váš nový lékař obdrží, avšak podle zákona č. 372/oceneni-a-uspechy2011 Sb., o zdravotnických službách.

Jaké údaje je přijatelné zpracovávat pro účely přímého marketingu?

Břetislav Chod: Primárně to bude určitě jméno, příjmení a adresa (ať už elektronická či fyzická). Dále to mohou být údaje o nákupní historii a další údaje, které jsou pro přímý marketing relevantní.

Týká se právo přenositelnosti osobních údajů ve strojově čitelné podobě například i zaměstnanců při přecházení z jednoho zaměstnání do druhého?

Miloš Blata: Ano, týká. Platí stejná pravidla jako u jiných zpracování osobních údajů.

Jsou data, která nesbírá společnost, ale její zaměstnanci a nesouvisí s pracovní náplní - například osoby a data jejich narození z důvodu gratulace kolegům. Jak je pohlíženo na tato data ?

Břetislav Chod: Musíte se zamyslet nad povahou takového získávání osobních údajů. Poskytují si zaměstnanci tyto osobní údaje dobrovolně? Mají je uloženy pouze na mimopracovních nosičích? Víte o této činnosti a účastníte se gratulací v čase narozenin? Přejí zaměstnanci sami za sebe, nebo se jedná o hromadné přání jako za zaměstnavatele? Do působnosti GDPR nespadá pouze zpracování prováděné v průběhu VÝLUČNĚ osobních či domácích činností. Jinými slovy, pokud daná operace zpracování alespoň částečně souvisí s pracovním prostředím vašich zaměstnanců, pak bude toto zpracování spadat do působnosti GDPR.

Ohledně DPIA (Posouzení vlivu na ochranu osobních údajů) - je možné ho za určitých podmínek nedělat, nebo je povinný pro všechny firmy, které spadají do GDPR? Například malý truhlář, který jen vystavuje faktury fyzickým osobám.

Miloš Blata: Uvedený příklad by nespadal pod DPIA, protože nebude splňovat ani jednu z podmínek, kdy je DPIA povinné: Nutné například v případě zpracování citlivých údajů, systematického monitorování veřejně přístupných míst, profilování uživatelů. Zároveň prosím mějte na paměti, že GDPR má primárně cílit na velké společnosti, zpracovávající velké množství osobních údajů, a někdy pro ne příliš legitimní účely. OSVČ nebo drobných zaměstnavatelů se GDPR dotkne spíše z toho hlediska, že je potřeba udělat si "pořádek" ve zpracování osobních údajů.

Vztahuje se na implementaci GDPR něco, co by se dalo nazvat "přiměřenými náklady" s přihlédnutím třeba k velikosti a obratu firmy? Konkrétně tedy jestli požadavky třeba na šifrování dat a nasazení kontrolního software jsou stejné pro sdružení tří řemeslníků (malíř, obkladač, klempíř + účetní) a firmou třeba o 90 zaměstnancích? Obě ukládají osobní data zákazníků, obě se dají hacknout, ale pro tři řemeslníky náklady na audit a implementaci GDPR v částkách desítek tisíc budou asi jinak vnímané, než v té větší firmě...

Břetislav Chod: GDPR zavádí v souvislosti se zabezpečením osobních údajů tzv. best practice. To znamená, že Vaše zabezpečení musí vždy odpovídat povaze, kontextu a rozsahu Vašeho zpracování, rizikům, které z tohoto zpracování vyplývá a dalším faktorům. Takže odpověď na Vaši otázku zní ano. Na malé sdružení řemeslníků, kde bude minimální kontakt s koncovými zákazníky, budou určitě kladeny jiné požadavky na zabezpečení než na velkou společnost s 90 zaměstnanci.

Zajímá mě GDPR a e-mailing. Momentálně si budujeme na e-shopu databázi všech našich zákazníků, kteří u nás nakoupí. Jsou tyto kontakty podle GDPR v pořádku? Nebo musí tyto kontakty projít reaktivační kampaní, abych si zajistil jejich jednoznačný souhlas?

Břetislav Chod: Dnešní zákony umožňují pro zasílání elektronických obchodních sdělení zpracovávat jméno, příjmení a elektronický kontakt bez souhlasu. Jedinou podmínkou je, že zákazník musí mít možnost předem zasílání těchto sdělení odmítnout. To je však rozdíl oproti tomu, kdyby s takovým zasíláním musel udělit souhlas. Od účinnosti GDPR bude přímý marketing brán jako oprávněný zájem správce, tudíž k přímému marketingu nebude potřeba udělovat souhlas. Vaši zákazníci však musí být poučeni o možnosti vznést námitku proti přímému marketingu. A pokud podají námitku, musíte se zasíláním okamžitě přestat.

GDPR audit – neměla by být ještě před vrácením vyplněného dotazníku podepsána nějaká dohoda o mlčenlivosti? Přeci jen i z dotazníku se dozvíte spoustu potenciálně citlivých údajů.

Břetislav Chod: V této souvislosti si dovolím podotknout, že advokáti jsou vázáni mlčenlivostí podle zákona o advokacii. Stejnou mlčenlivostí jsou pak vázáni všichni zaměstnanci, kteří v rámci advokátní kanceláře fungují, při podepsání pracovní smlouvy.

Máte další dotazy k GDPR? Kontaktujte nás a zjistěte, jak Safetica může pomoci vaší firmě se zabezpečením citlivých osobních dat v souladu s GDPR.

Nechám si od vás poradit


Břetislav Chod

Zástupce právní kanceláře

Sedláková Legal

sedlakovalegal.com


Miloš Blata

Senior Security Consultant

Safetica Technologies

www.safetica.cz

Safetica Technologies vynaložila veškeré úsilí pro zajištění přesnosti a spolehlivosti informací uváděných v tomto článku. Nicméně informace jsou podány "tak, jak jsou", bez jakýchkoliv záruk. Safetica Technologies nezodpovídá za přesnost, úplnost, legislativní správnost či spolehlivost informací poskytnutých v tomto článku.