Posts Tagged ‘GDPR’
Uvedení jmen zaměstnanců na firemních webových stránkách a ochrana osobních údajů
Mnohé firmy, úřady i organizace na svých webových stránkách uveřejňují některé kontaktní údaje na své zaměstnance. Nemůže však být takové zveřejnění osobních údajů v rozporu s ochranou osobních údajů dle nařízení GDPR?
V sekci kontakty na firemních internetových stránkách mnohdy můžeme najít jméno a příjmení, služební telefon a firemní internetovou adresu nejen na statutární zástupce firmy, ale i na pracovníky na pozicích vedoucích zaměstnanců i na obchodní zástupce.
Dle názoru ÚOOÚ zveřejněném na webu úřadu plyne, že zaměstnavatel je oprávněn sdělovat ty osobní údaje zaměstnance, které se týkají výlučně jeho pracovních aktivit a zjevně nevypovídají o jeho soukromém životě. Jedná se tak o oprávněný důvod zaměstnavatele.
Nakládání s osobními údaji zaměstnanců nelze brát na lehkou váhu. Zpracovávat osobní údaje zaměstnance, které se týkají jeho osobního života a není-li pro toto zpracování dána některá ze zákonných výjimek, lze pouze s výslovným souhlasem zaměstnance.
Pokud si nevíte rady s řešením ochrany osobních údajů dle nařízení GDPR ve vaší firmě, poraďte se ve společnosti ANERI s.r.o. v Liberci.
Ochrana osobních údajů při zajištění BOZP
Při zajišťování bezpečnosti a ochrany zdraví při práci (BOZP) dochází ke zpracování osobních údajů.
Zajištění BOZP zaměstnanců je zákonnou povinností každého zaměstnavatele a zpracování osobních údajů je nezbytné pro plnění právní povinnosti. Ve většině případů tak není důvod vyžadovat od zaměstnanců souhlas se zpracováním osobních údajů.
Při zajišťování BOZP dochází i ke zpracování zvláštní kategorie osobních údajů. Jedná se zejména o evidenci pracovních úrazů, o zdravotním stavu či ztíženém společenském uplatnění i evidence velikostí osobních ochranných pracovních prostředků (OOPP). I v těchto případech platí, že se jedná o plnění právní povinnosti zaměstnavatele a souhlas se zpracováním osobních údajů není požadován.
Mnohé firmy zajišťují BOZP prostřednictvím externí firmy. Tato firma v případě nakládání s osobními údaji zaměstnanců je tak zpracovatelem. Mezi správcem a zpracovatelem musí být uzavřena smlouva o zajištění ochrany osobních údajů. Odpovědnost i nadále zůstává na správci osobních údajů. Zpracovatel zpracovává osobní údaje pouze na základě písemného požadavku správce. Zpracovatel bez písemného povolení správce nesmí předávat osobní údaje ke zpracování dalšímu zpracovateli.
V případě nejasností týkajících se nakládání s osobními údaji při zajišťování BOZP ze strany správce se můžete poradit s proškolenými pracovníky v otázkách GDPR ze společnosti ANERI s.r.o.
http://dataosobni.cz/2019/03/18/ochrana-osobnich-udaju-pri-zajisteni-bozp/
Výmaz osobních údajů na základě požadavku subjektu údajů
Pokud jste upravili své procesy dle GDPR a máte přehled kde a jaká data zpracováváte, lehce se s požadavkem na výmaz osobních údajů vypořádáte.
Jestliže nezpracováváte osobní údaje na základě souhlasu subjektu údajů a dodržujete veškeré termíny na zpracování osobních údajů dané ostatními zákony a předpisy, je žádost o výmaz bezpředmětná a můžete obratem žadatele informovat, proč jeho žádosti nemůžete vyhovět.
Pokud nemáte GDPR vyřešeno, začněte se požadavkem o výmaz osobních údajů zabývat. Na vyřešení máte 1 měsíc. Nejprve si ověřte, že žadatelem je opravdu ten, jehož data mají být vymazána. Pokračujte tím, že si zmapujete, jaká data a kde zpracováváte a zda pro vás tato data zpracovávají i vaši zpracovatelé. Až budete mít přehled, jaká data zpracováváte, ujasněte si, na základě jakého důvodu je zpracováváte. Pokud osobní údaje zpracováváte na základě souhlasu a nemáte pro jejich zpracování jiný právní důvod, musíte na požádání osobní údaje vymazat. Nezapomeňte na tuto povinnost upozornit i zpracovatele, kteří na základě vašeho požadavku osobní data zpracovávají, aby také provedli výmaz.
Jestliže osobní údaje zpracováváte na základě smlouvy, objednávky, daňové povinnosti, oprávněného zájmu či jiné zákonné povinnosti, výmaz provést nemůžete a pouze o této skutečnosti žadatele informujete.
Je pochopitelné, že pro každou firmu je zavedení GDPR nemalou zátěží administrativní, časovou i finanční. Žádné organizaci nic nebrání v tom, využít služeb externích konzultantů pro úkoly související s ochranou osobních údajů. Mezi firmy nabízející pomoc, poradenství a konzultace při zavádění GDPR ve firmách patří společnost ANERI s.r.o. z Liberce.
Vyřešením ochrany osobních údajů dle GDPR a přijetím potřebných opatření firma předchází problémům, následným starostem a případným pokutám.
Ochranu osobních údajů stéle ještě nemají všechny firmy vyřešenu
Přestože média se nařízení o ochraně osobních údajů (GDPR) už téměř nevěnují, nařízení opravdu platí a období klidu, ve kterém ÚOOÚ slibuje toleranci k případným prohřeškům, nebude trvat věčně.
Vzhledem k riziku pokut se určitě vyplatí přijmout základní opatření a řídit se potřebnými pravidly při ochraně osobních údajů.
Ne všichni lidé jsou přející, a tak se každé firmě může stát, že nespokojený zákazník či zaměstnanec nebo konkurence upozorní kontrolní úřad na nedostatky při nakládání s osobními údaji. Kontrola pracovníků Úřadu na ochranu osobních údajů na sebe nenechá dlouho čekat. Připravte se na tuto kontrolu včas a dejte si alespoň základní věci do pořádku.
V případě kontroly pracovníků ÚOOÚ musíte být schopni doložit řadu dokladů, mezi kterými nemůžou chybět vnitrofiremní směrnice nakládání s osobními údaji, smlouvy se zpracovateli osobních údajů a doložitelné dokumenty o informování zaměstnanců. Důležité je také vyřešení zabezpečení elektronických dat s osobními údaji.
Pokud vám ještě nějaké kroky či případné dokumenty k zavedení GDPR ve vaší firmě chybí a chcete se poradit, neváhejte kontaktovat pracovníky společnosti ANERI s.r.o. z Liberce. V případě vašeho zájmu vám přímo pro vaši firmu vypracují potřebné dokumenty a smlouvy certifikovaní konzultanti GDPR.
http://dataosobni.cz/zakladni-pojmy/
http://dataosobni.cz/2019/01/24/ochranu-osobnich-udaju-stele-jeste-nemaji-vsechny-firmy-vyresenu/
Požadavky na získání souhlasu se zpracováním osobních údajů
Dle nařízení GDPR se mění požadavky na získání souhlasu se zpracováním osobních údajů. V případě souhlasu se musí jednat o jednoznačný projev vůle, souhlas musí být poskytnut svobodně a subjekt údajů musí být dostatečně informovaný.
V první řadě správce údajů musí řádně vyhodnotit, zda ke zpracování osobních údajů souhlas potřebuje nebo zda může osobní údaje zpracovávat na základě jiných právních důvodů.
Pakliže je souhlas se zpracováním osobních údajů nutný, musí být splněna řada předepsaných náležitostí. Již jsme se zmínili, že souhlas musí být poskytnut svobodně a nesmí být ničím podmíněn. Subjekt údajů musí být informován o účelu zpracování jeho osobních údajů, o typech zpracovávaných údajů a o délce zpracovávání údajů. Správce musí poskytnout informace o totožnosti a kontaktních údajích správce a případného pověřence pro ochranu osobních údajů, je-li jmenován.
Subjekt údajů musí být také informován, kdo má k jeho osobním údajům přístup včetně všech zpracovatelů. Jestliže správce poskytuje osobní údaje do zahraničí, i o tom musí být subjekt údajů předem informován. Subjekt údajů by měl být informován i o tom, že bude docházet k automatickému rozhodování a profilování. Mezi základní práva subjektu údajů patří přístup k osobním údajům zpracovávaných správcem, právo na opravu a právo na výmaz případně právo na omezení zpracování. Subjekt údajů má také právo na přenositelnost údajů.
V případě nejasností týkajících se udělování souhlasu se zpracování osobních údajů ať už ze strany správce nebo ze strany subjektu údajů se můžete poradit s proškolenými pracovníky v otázkách GDPR ze společnosti ANERI s.r.o.
Vztah správce a zpracovatele při zpracování osobních údajů
Při některých úkonech zpracování osobních úkonů může správce využít služeb jiného subjektu - zpracovatele. Správce by měl vždy využívat služeb takového zpracovatele, který je schopen poskytnout dostatečné záruky technických a organizačních opatření, tak aby byla zajištěna ochrana zpracovávaných osobních údajů a práva subjektu údajů.
Zpracovatel v rámci činnosti pro správce může provádět pouze takové zpracovatelské operace, kterými jej správce pověřil, nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.
Vztah mezi správcem a zpracovatelem osobních údajů musí být ošetřen smluvně. Smlouva musí obsahovat dobu trvání zpracovávání osobních údajů, předmět a účel zpracování, typ osobních údajů a povinnosti a práva správce i zpracovatele.
Uzavřením smlouvy se zpracovatelem se správce nezbavuje odpovědnosti za zpracování osobních údajů.
V případě porušení zabezpečení osobních údajů musí správce nahlásit na ÚOOÚ do 72 hodin od okamžiku zjištění možnost rizika pro subjekt údajů. Kdežto zpracovatel je povinen porušení neprodleně nahlásit správci a ne na ÚOOÚ.
Každý správce i zpracovatel osobních údajů by měl mít jasno o svých právech a povinnostech. Určitě se vyplatí požádat o radu zkušené odborníky. Jak nakládat s osobními údaji a zajistit smluvní vztah mezi správcem a zpracovatelem poradí proškolení pracovníci ze společnosti ANERI s.r.o. v Liberci.
http://dataosobni.cz/2018/11/22/vztah-spravce-a-zpracovatele-pri-zpracovani-osobnich-udaju/
Zabezpečení elektronických dokumentů s osobními údaji
Osobní údaje v počítačích a ostatních elektronických zařízeních musí být zabezpečeny tak, aby byl k těmto datům znemožněn přístup neoprávněným osobám.
Přístup k osobním údajům v počítači může mít vždy pouze pracovník pověřený s danými údaji pracovat. Přístup k údajům by měl být zabezpečen na základě správně zvoleného hesla. U velkých a složitých systémů je nutné zajistit elektronické záznamy, které umožní ověřit, kdo a kdy data s osobními údaji užíval.
Zabezpečení dat s osobními údaji musí být zajištěno i při jejich převážení. Např. nenechávat počítače či datové nosiče bez dozoru v autě.
Osobní údaje je nutné chránit i při jejich zasílání elektronickou poštou. Doporučuje se soubory s větším množstvím dat s osobními údaji nebo s citlivými osobními údaji zasílat šifrované.
Posílání prostých e-mailů používaných v běžné komunikaci s obchodním partnerem není dle vyjádření ÚOOÚ porušením zákona.
Pokud si nevíte rady s řešením ochrany osobních údajů dle nařízení GDPR ve vaší firmě, poraďte se ve společnosti ANERI s.r.o. v Liberci.
http://dataosobni.cz/2018/10/19/zabezpeceni-elektronickych-dokumentu-s-osobnimi-udaji/
GDPR je nová tzv. směrnice
Legislativa řídící ochranu osobních údajů v ČR byla zastaralá. Neznala sociální sítě ani moderní technologie. Kdysi lidé nemohli vědět, v jak obrovském formátu se v budoucnosti bude pracovat s daty, a proto bylo potřeba vše zmodernizovat. Proto v květnu 2018 vstoupilo v platnost nové GDPR nařízení. Oproti původním pravidlům se však jedná o velký pokrok, které nová tzv. “GDPR směrnice” přinese.
Co se vlastně díky GDPR nařízení změní?
Lidé získají díky GDPR nařízení nová práva. Budou moci po správcích údajů vyžadovat vymazání dat, je potřeba jim umožnit přístup ke shromažďovaným údajům, vznést námitku proti zpracování apod. Za osobní údaje jsou přitom chápány nejen rodná čísla, jména apod., ale také IP adresy, cookies, e-maily, genetické i biometrické údaje a vše, co je s nimi propojeno. Státní instituce a větší firmy (orgány veřejné moci, společnosti, jejichž hlavní činností je zpracování informací) musejí nyní mít svého pověřence pro ochranu osobních údajů (DPO z anglického Data Protection Officer). Ten napomáhá s realizací všech postupů a také kontroluje, zda vše probíhá tak, jak by mělo. Velkou změnou je rovněž oznamovací povinnost. Pokud bude narušena bezpečnost, musí subjekt tento únik či ohrožení do 72 hodin ohlásit Úřadu pro ochranu osobních údajů. V určitých situací budou informovány i subjekty, o jejichž údaje se jednalo. EU si od toho slibuje, že se vyhneme případům, kdy se lidé o úniku jejich osobních dat dozvídali až po několika letech.
Jak se ke GDPR jako firma postavit?
Nejdůležitější je detailně se informovat, co je GDPR a co pro vás vlastně znamená. Pravděpodobně si pak najmete odborníka, který vám se vším pomůže, nicméně je dobré mít aspoň trochu tušení, o čem se mluví. Je možné, že se vás nařízení třeba ani týkat nebude. Odvíjí se to od činnosti i velikosti společnosti. Opět je dobré obrátit se na profesionály a nechat je, ať vaši situaci zhodnotí. Podcenit GDPR nařízení se nevyplácí, sankce nejsou zrovna nízké. V případě porušení může pokuta dosáhnout až 20 000 000 eur nebo 4 % z ročního obratu (vyšší z těchto možností). Závisí ovšem na spoustě faktorů, takže se nebojte, že by pro vás nějaká drobná chyba v implementaci nařízení byla likvidační.
Je potřeba mít z GDPR strach?
Rozhodně ne. GDPR je nařízení jako každé jiné, s nímž se bez problémů vyrovnáte. Nebude vás stát spoustu peněz ani úsilí. Vyhledejte si na internetu informace, navštivte nějaké školení či konferenci, kde se o problému mluví, a vyhledejte odbornou pomoc. Začněte třeba tím, že si přečtete český text GDPR směrnice i s komentářem zde: https://lepsi-reseni.cz/ochrana-osobnich-udaju-gdpr/.
Pokud se příliš neorientujete v oblasti práva, je dost možné, že ani po přečtení celého nařízení nebudete o moc moudřejší. Mějte ale na paměti, že nejste jediní, kdo musí řešit GDPR. Lidí jako vy je jenom v České republice spousta. A také je tady dost takových, kteří vám pomohou. Nechte si zpracovat GDPR audit, získejte certifikaci a ukažte, že splňujete veškeré požadavky. Pravděpodobně na to uslyší i zákazníci, hlavně pokud se jedná o významnější osoby či firmy. Všichni budou chtít, aby jejich údaje byly v bezpečí.
Vyžadování souhlasu se zpracováním osobních údajů
Mnozí správci osobních údajů požadují souhlas se zpracováním osobních údajů i v případě, kdy tento souhlas vůbec nepotřebují.
Špatné pochopení či nedbalé prostudování obecného nařízení o ochraně osobních údajů (GDPR) vede k nadbytečnému vyžadování souhlasu se zpracováním osobních údajů. Mnozí správci a zpracovatelé požadují po svých zaměstnancích či klientech souhlas se zpracováním osobních údajů, přestože k tomuto zpracování mají jiný právní důvod. Právním důvodem je zpracování na základě zákona, smlouvy a dalších právních důvodů. V těchto případech je žádost o souhlas se zpracováním osobních údajů nejen zbytečná, ale může být pro subjekt údajů také obtěžující a je v rozporu s obecným nařízením. Zejména kvůli zbytečně vyžadovaným souhlasům se zpracováním osobních se plní e-mailové schránky lidí.
I v případě souhlasu se zpracováním osobních údajů musí správce i zpracovatel dodržovat veškerá stanovená pravidla. Osobní údaje lze i v tomto případě zpracovávat pouze za účelem, pro který byl souhlas udělen. V žádném případě není možné se souhlasy obchodovat.
Přesně porozumět textu obecného nařízení o ochraně osobních údajů (GDPR) může být pro lajka složité. Menším a středním firmám a organizacím se určitě vyplatí využít zkušeností odborných firem nabízejících pomoc při zavádění GDPR. Jednou z takovýchto firem je společnost ANERI s.r.o. z Liberce. Odborně proškolení a certifikovaní pracovníci společnosti ANERI pomohou se zavedením potřebných opatření a zajistí průběžnou kontrolu plnění nařízení GDPR.
http://dataosobni.cz/2018/09/20/vyzadovani-souhlasu-se-zpracovanim-osobnich-udaju/
Každá firma zpracovávající osobní údaje by měla mít interní směrnice pro GDPR
Pokud hledáte na internetu vzorové interní směrnice pro GDPR, těžko najdete takovou, která bude odpovídat přesně vašim potřebám. Každá firma je jiná a jinak nakládá s osobními údaji.
Základem je udělat si jasno (nejlépe sepsat), jaká data jsou shromažďována, jak jsou chráněna a kdo k nim má přístup a kdo odpovídá za veškeré související procesy. Až budete směrnici sepisovat, nezapomeňte uvést: Podle jakého zákona (nařízení) je tvořena, od kdy je směrnice platná, jak se nakládá s daty s osobními údaji ve vaší firmě (jak jsou data pořizována, zpracovávána a ukládána). Důležité je uvést způsob ochrany a zabezpečení dat jak elektronických, tak tištěných. Směrnice by také měla obsahovat zásady bezpečnostních principů pro práci s daty. Určitě nesmíte zapomenout určit odpovědné osoby, osoby, které s daty nakládají a zpracovávají je včetně osob i firem externích, které na základě smlouvy pro vás data s osobními údaji zpracovávají. Každá směrnice také musí obsahovat ustanovení, kdo směrnici vydává a schvaluje.
Je pochopitelné, že pro mnohé menší a středně velké firmy je časově náročné podrobně studovat veškeré náležitosti související s GDPR. Takovýmto firmám se určitě vyplatí poradit se s odborníky a vyřešit otázku GDPR bez zbytečných starostí. Mezi společnosti, které nabízej pomoc nejen s vytvořením vnitrofiremních směrnic, ale i s kompletním zavedením GDPR ve firmách patří společnost ANERI s.r.o. z Liberce.
25. května tohoto roku již začalo platit nové GDPR nařízení
Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation, zkratka GDPR) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů je nařízení Evropské unie zvyšující ochranu osobních dat občanů EU, ale také nároky na firemní postupy a informační systémy. Evropské GDPR nařízení o ochraně osobních údajů nabylo účinnosti 25. května 2018. GDPR nařízení se vztahuje na všechny subjekty zpracovávající osobní údaje občanů EU. Části nařízení GDPR se nevztahují na organizace s méně než 250 zaměstnanci.
Odpovědnost a zavádění nových kodexů
Z principu věci je patrné, že GDPR nařízení zasáhlo nejenom veřejný sektor, ale také firmy pracující s osobními údaji fyzických osob. V tomto směru to může být nejrůznějších nakládání s takovými informacemi:
-
behaviorální reklamy,
-
sledování polohy,
-
kamerové systémy,
-
poskytování telekomunikačních služeb,
-
monitoring subjektů, apod.
Konkrétní právnické osobě či podnikateli vznikla povinnost zavést ve své společnosti adekvátní kodexy OOÚ, souhlasy, procesy a nová systémová řešení týkající se nového GDPR nařízení. Za tohle všechno je zodpovědný pověřenec. Tím nemusí být za každou cenu někdo z firmy. Tyto povinnosti lze delegovat na ty správné dodavatele zmiňovaných služeb.
Jaké jsou chráněné osobní údaje?
GDPR nařízení se totiž týká nejenom jména, příjmení, rodného čísla či data narození. Dále je to také číslo občanského průkazu, pasu, řidičského průkazu, IP adresa, cookie a lokalizační údaje. Pakliže v odpovídající míře pracujete s takovými údaji, GDPR povinnosti vás rozhodně neminou.
Jak získat e-mail na zasílání newsletterů podle GDPR?
Abychom mohli zasílat prostřednictvím e-mailu newslettery, potřebujeme mít právní důvod ke zpracování e-mailu jako osobního údaje.
Jestliže zasíláme newsletter našemu zákazníkovi, se kterým máme obchodní vztah, a nabízíme mu související produkty, jedná se o zákonný důvod k zasílání newsletterů. Pokud ale jiný zákonný důvod nemáme, musíme mít souhlas.
Je důležité si uvědomit, že souhlas musí být dobrovolný a musí obsahovat informace, které osobní údaje jsou shromažďovány, kdo je zpracovává a za jakým účelem a po jak dlouhou dobu. Subjekt údajů (člověk, jehož osobní údaje jsou zpracovávány) musí být také informován o svých právech.
Dobrovolný souhlas znamená, že poskytnutí služby nesmí být podmíněno souhlasem se zasíláním newsletterů. Stejně platí, že za neposkytnutí souhlasu nesmí být subjekt údajů trestán. Ale platí, že za poskytnutí souhlasu může být subjekt údajů odměněn. Právě toho lze v marketingové praxi využít. Například: nabízím e-book za peníze, ale při poskytnutí e-mailu pro zasílání newsletterů je e-book zdarma. Nebo: nabízím slevu na příští nákup, pokud bude poskytnut e-mail pro zasílání newsletterů. Způsobů, jak získat dobrovolný souhlas za odměnu, je určitě mnoho. Pozor ale na tenkou hranici mezi odměnou a podmíněním souhlasu.
Pokud si nevíte rady, jakým způsobem získat souhlas k zasílání newsletterů, poraďte ve společnosti ANERI s.r.o. Marketingoví odborníci agentury ANERI jsou proškoleni v otázkách GDPR, a tak i vám určitě pomohou najít zákonný způsob, jak získat souhlas k zasílání newsletterů.
http://dataosobni.cz/povinnosti/
http://dataosobni.cz/zakladni-pojmy/
http://dataosobni.cz/2018/07/18/jak-ziskat-e-mail-na-zasilani-newsletteru-podle-gdpr/
Konzultace v oblasti GDPR
Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation čili GDPR) vstoupilo v platnost už během května tohoto roku. Občanům EU přináší lepší kontrolu nad daty, která o nich různé společnosti shromažďují. Firmy GDPR však vidí spíše negativně. Mají z něj totiž strach. Pokuty, které EU vyhlásila za nedodržování nových předpisů, jsou poměrně přísné. Za porušování či nedodržování GDPR nařízení hrozí firmám vysoké sankce. Maximální výše pokuty může dosáhnout až 20 000 000 EUR či 4 % ročního obratu. Samozřejmě bude záležet na tom, jak dlouho je daný předpis porušován, zda je porušení příliš závažné, kolik občanů bylo poškozených atd. Pokutu mohou dostat malé i velké korporace, navíc po nich může být vyžadována náhrada škody za hmotnou nebo nehmotnou újmu občany z celé EU. Je tedy pochopitelné, že by taková situace spoustu firem zlikvidovala. Nepanikařte ale, nic není tak horké, jak se o tom píše v bulváru. Přistoupíte-li ke GDPR nařízení zodpovědně, je smutný konec velmi nepravděpodobný.
Co jsou osobní údaje z hlediska GDPR nařízení?
Za osobní údaje se považují údaje, které lze přiřadit konkrétní osobě prostřednictvím: jména, bydliště, r.č. či data narození, čísla dokladů: OP, pas, ŘP, elektronických údajů (IP adresa, cookie, lokalizační údaje). Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se k právnické osobě tak nejsou osobními údaji. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě.
Správcem je subjekt, nerozhoduje jaké právní formy, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob.
Kde najdu kompletní znění GDPR nařízení v češtině?
Kompletní znění GDPR česky najdete i s vysvětlivkami na webu Asociace ICT. Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, velké nebo střední firmy či domácí e-shopy, všichni se budou v dohledné době potýkat s nutností upravit způsob zpracování osobních údajů. V případě závažného porušení pak budou firmám hrozit vysoké pokuty, které pro ně mohou být až likvidační. Vzhledem k vysokým postihům za nedodržení směrnice GDPR nařízení doporučujeme společnostem bez vlastního specializovaného právníka odbornou konzultaci a GDPR audit, audit kodexu ochrany osobních údajů či kompletní GDPR audit od certifikované autority.
Jak je to s osobními údaji vedenými ve veřejných rejstřících přístupných na internetu?
Na internetu lze v dostupných veřejných rejstřících najít řadu osobních údajů. Každé zpracování osobních údajů však musí mít podle nařízení GDPR určitý právní základ. Osobní údaje uvedené na internetu například v obchodním rejstříku nebo v katastru nemovitostí jsou zveřejněné ze zákonných důvodů – plnění právní povinnosti.
Zákonem stanovená veřejnost určitého rejstříku však neznamená, že v takovémto rejstříku zveřejněné osobní údaje lze dále neomezeně zpracovávat či distribuovat.
Pro každé zpracování osobních údajů musí mít správce podle nařízení GDPR určitý právní důvod. S osobními údaji povinně zveřejněnými ve veřejně přístupných rejstřících nelze jen tak nakládat. Veřejnost osobních údajů sama o sobě totiž neznamená možnost jejich dalšího neomezeného zpracovávání.
Problematika GDPR je velmi obsáhlá a implementace všech nových nařízení do firemních pravidel je pro řadu firem složitý proces. V případě nejasností se určitě vyplatí poradit s odborníky.
Rozesílání newsletterů a GDPR
Tak jako pro všechna zpracování osobních údajů je potřeba mít pro zpracování osobních údajů nějaké zákonné oprávnění, je takovéto zákonné oprávnění nutné i při zpracování osobních údajů za účelem hromadného rozesílání newsletterů prostřednictvím e-mailů.
Oprávněný důvod pro zasílání obchodních sdělení je v případě, že jsou zákazníkovi, který již nakoupil nějaké zboží či služby, nabízeny doplňkové služby či výrobky související s předcházející transakcí a lze předpokládat, že zákazník může takovouto komunikace očekávat. V ostatních případech je pro zasílání newsletterů potřeba nejprve souhlas subjektu údajů za účelem zpracování jeho osobních údajů pro tyto účely.
Aby byl udělený souhlas platný, musí splňovat podmínky, které GDPR stanovuje. Souhlas musí být výslovný, prokazatelný, informovaný a nesmí být ničím podmíněný. Žádost o takovýto souhlas musí být srozumitelný a musí obsahovat popis účelu zpracování, způsob zpracování a informací, kdo a po jakou dobu osobní údaje zpracovává a jak jsou tyto údaje chráněny. Každý subjekt údajů musí být ještě informován o svých právech, zejména pak že souhlas lze kdykoliv odvolat a jakým způsobem.
http://dataosobni.cz/2018/05/28/rozesilani-newsletteru-a-gdpr/