Tag Archives: Gdpr

Uvedení jmen zaměstnanců na firemních webových stránkách a ochrana osobních údajů

Mnohé firmy, úřady i organizace na svých webových stránkách uveřejňují některé kontaktní údaje na své zaměstnance. Nemůže však být takové zveřejnění osobních údajů v rozporu s ochranou osobních údajů dle nařízení GDPR?

 

V sekci kontakty na firemních internetových stránkách mnohdy můžeme najít jméno a příjmení, služební telefon a firemní internetovou adresu nejen na statutární zástupce firmy, ale i na pracovníky na pozicích vedoucích zaměstnanců i na obchodní zástupce.

Dle názoru ÚOOÚ zveřejněném na webu úřadu plyne, že zaměstnavatel je oprávněn sdělovat ty osobní údaje zaměstnance, které se týkají výlučně jeho pracovních aktivit a zjevně nevypovídají o jeho soukromém životě. Jedná se tak o oprávněný důvod zaměstnavatele.

Nakládání s osobními údaji zaměstnanců nelze brát na lehkou váhu. Zpracovávat osobní údaje zaměstnance, které se týkají jeho osobního života a není-li pro toto zpracování dána některá ze zákonných výjimek, lze pouze s výslovným souhlasem zaměstnance.

Pokud si nevíte rady s řešením ochrany osobních údajů dle nařízení GDPR ve vaší firmě, poraďte se ve společnosti ANERI s.r.o. v Liberci.

http://dataosobni.cz/zakladni-pojmy/

http://dataosobni.cz/reseni/

http://dataosobni.cz/2019/04/17/uvedeni-jmen-zamestnancu-na-firemnich-webovych-strankach-a-ochrana-osobnich-udaju/

Ochrana osobních údajů při zajištění BOZP

Při zajišťování bezpečnosti a ochrany zdraví při práci (BOZP) dochází ke zpracování osobních údajů.

 

Zajištění BOZP zaměstnanců je zákonnou povinností každého zaměstnavatele a zpracování osobních údajů je nezbytné pro plnění právní povinnosti. Ve většině případů tak není důvod vyžadovat od zaměstnanců souhlas se zpracováním osobních údajů.

Při zajišťování BOZP dochází i ke zpracování zvláštní kategorie osobních údajů. Jedná se zejména o evidenci pracovních úrazů, o zdravotním stavu či ztíženém společenském uplatnění i evidence velikostí osobních ochranných pracovních prostředků (OOPP). I v těchto případech platí, že se jedná o plnění právní povinnosti zaměstnavatele a souhlas se zpracováním osobních údajů není požadován.

Mnohé firmy zajišťují BOZP prostřednictvím externí firmy. Tato firma v případě nakládání s osobními údaji zaměstnanců je tak zpracovatelem. Mezi správcem a zpracovatelem musí být uzavřena smlouva o zajištění ochrany osobních údajů. Odpovědnost i nadále zůstává na správci osobních údajů. Zpracovatel zpracovává osobní údaje pouze na základě písemného požadavku správce. Zpracovatel bez písemného povolení správce nesmí předávat osobní údaje ke zpracování dalšímu zpracovateli.

V případě nejasností týkajících se nakládání s osobními údaji při zajišťování BOZP ze strany správce se můžete poradit s proškolenými pracovníky v otázkách GDPR ze společnosti ANERI s.r.o.

http://dataosobni.cz/2019/03/18/ochrana-osobnich-udaju-pri-zajisteni-bozp/

http://dataosobni.cz/zakladni-pojmy/

http://dataosobni.cz/reseni/

Výmaz osobních údajů na základě požadavku subjektu údajů

Pokud jste upravili své procesy dle GDPR a máte přehled kde a jaká data zpracováváte, lehce se s požadavkem na výmaz osobních údajů vypořádáte.

 

Jestliže nezpracováváte osobní údaje na základě souhlasu subjektu údajů a dodržujete veškeré termíny na zpracování osobních údajů dané ostatními zákony a předpisy, je žádost o výmaz bezpředmětná a můžete obratem žadatele informovat, proč jeho žádosti nemůžete vyhovět.

Pokud nemáte GDPR vyřešeno, začněte se požadavkem o výmaz osobních údajů zabývat. Na vyřešení máte 1 měsíc. Nejprve si ověřte, že žadatelem je opravdu ten, jehož data mají být vymazána. Pokračujte tím, že si zmapujete, jaká data a kde zpracováváte a zda pro vás tato data zpracovávají i vaši zpracovatelé. Až budete mít přehled, jaká data zpracováváte, ujasněte si, na základě jakého důvodu je zpracováváte. Pokud osobní údaje zpracováváte na základě souhlasu a nemáte pro jejich zpracování jiný právní důvod, musíte na požádání osobní údaje vymazat. Nezapomeňte na tuto povinnost upozornit i zpracovatele, kteří na základě vašeho požadavku osobní data zpracovávají, aby také provedli výmaz.

Jestliže osobní údaje zpracováváte na základě smlouvy, objednávky, daňové povinnosti, oprávněného zájmu či jiné zákonné povinnosti, výmaz provést nemůžete a pouze o této skutečnosti žadatele informujete.

Je pochopitelné, že pro každou firmu je zavedení GDPR nemalou zátěží administrativní, časovou i finanční. Žádné organizaci nic nebrání v tom, využít služeb externích konzultantů pro úkoly související s ochranou osobních údajů. Mezi firmy nabízející pomoc, poradenství a konzultace při zavádění GDPR ve firmách patří společnost ANERI s.r.o. z Liberce.

Vyřešením ochrany osobních údajů dle GDPR a přijetím potřebných opatření firma předchází problémům, následným starostem a případným pokutám.

http://dataosobni.cz/zakladni-pojmy/

http://dataosobni.cz/reseni/

Ochranu osobních údajů stéle ještě nemají všechny firmy vyřešenu

Přestože média se nařízení o ochraně osobních údajů (GDPR) už téměř nevěnují, nařízení opravdu platí a období klidu, ve kterém ÚOOÚ slibuje toleranci k případným prohřeškům, nebude trvat věčně.

Vzhledem k riziku pokut se určitě vyplatí přijmout základní opatření a řídit se potřebnými pravidly při ochraně osobních údajů.

 

Ne všichni lidé jsou přející, a tak se každé firmě může stát, že nespokojený zákazník či zaměstnanec nebo konkurence upozorní kontrolní úřad na nedostatky při nakládání s osobními údaji. Kontrola pracovníků Úřadu na ochranu osobních údajů na sebe nenechá dlouho čekat. Připravte se na tuto kontrolu včas a dejte si alespoň základní věci do pořádku.

V případě kontroly pracovníků ÚOOÚ musíte být schopni doložit řadu dokladů, mezi kterými nemůžou chybět vnitrofiremní směrnice nakládání s osobními údaji, smlouvy se zpracovateli osobních údajů a doložitelné dokumenty o informování zaměstnanců. Důležité je také vyřešení zabezpečení elektronických dat s osobními údaji.

Pokud vám ještě nějaké kroky či případné dokumenty k zavedení GDPR ve vaší firmě chybí a chcete se poradit, neváhejte kontaktovat pracovníky společnosti ANERI s.r.o. z Liberce. V případě vašeho zájmu vám přímo pro vaši firmu vypracují potřebné dokumenty a smlouvy certifikovaní konzultanti GDPR.

http://dataosobni.cz/zakladni-pojmy/

http://dataosobni.cz/reseni/

http://dataosobni.cz/2019/01/24/ochranu-osobnich-udaju-stele-jeste-nemaji-vsechny-firmy-vyresenu/

Požadavky na získání souhlasu se zpracováním osobních údajů

Dle nařízení GDPR se mění požadavky na získání souhlasu se zpracováním osobních údajů. V případě souhlasu se musí jednat o jednoznačný projev vůle, souhlas musí být poskytnut svobodně a subjekt údajů musí být dostatečně informovaný.

 

V první řadě správce údajů musí řádně vyhodnotit, zda ke zpracování osobních údajů souhlas potřebuje nebo zda může osobní údaje zpracovávat  na základě jiných právních důvodů.

Pakliže je souhlas se zpracováním osobních údajů nutný, musí být splněna řada předepsaných náležitostí. Již jsme se zmínili, že souhlas musí být poskytnut svobodně a nesmí být ničím podmíněn. Subjekt údajů musí být informován o účelu zpracování jeho osobních údajů, o typech zpracovávaných údajů a o délce zpracovávání údajů. Správce musí poskytnout informace o totožnosti a kontaktních údajích správce a případného pověřence pro ochranu osobních údajů, je-li jmenován.

Subjekt údajů musí být také informován, kdo má k jeho osobním údajům přístup včetně všech zpracovatelů. Jestliže správce poskytuje osobní údaje do zahraničí, i o tom musí být subjekt údajů předem informován. Subjekt údajů by měl být informován i o tom, že bude docházet k automatickému rozhodování a profilování. Mezi základní práva subjektu údajů patří přístup k osobním údajům zpracovávaných správcem, právo na opravu a právo na výmaz případně právo na omezení zpracování. Subjekt údajů má také právo na přenositelnost údajů.

V případě nejasností týkajících se udělování souhlasu se zpracování osobních údajů ať už ze strany správce nebo ze strany subjektu údajů se můžete poradit s proškolenými pracovníky v otázkách GDPR ze společnosti ANERI s.r.o.

http://dataosobni.cz/reseni/

http://dataosobni.cz/nase-sluzby/

http://dataosobni.cz/

Zabezpečení elektronických dokumentů s osobními údaji

Osobní údaje v počítačích a ostatních elektronických zařízeních musí být zabezpečeny tak, aby byl k těmto datům znemožněn přístup neoprávněným osobám.

 

Přístup k osobním údajům v počítači může mít vždy pouze pracovník pověřený s danými údaji pracovat. Přístup k údajům by měl být zabezpečen na základě správně zvoleného hesla. U velkých a složitých systémů je nutné zajistit elektronické záznamy, které umožní ověřit, kdo a kdy data s osobními údaji užíval.

Zabezpečení dat s osobními údaji musí být zajištěno i při jejich převážení. Např. nenechávat počítače či datové nosiče bez dozoru v autě.

Osobní údaje je nutné chránit i při jejich zasílání elektronickou poštou. Doporučuje se soubory s větším množstvím dat s osobními údaji nebo s citlivými osobními údaji zasílat šifrované.

Posílání prostých e-mailů používaných v běžné komunikaci s obchodním partnerem není dle vyjádření ÚOOÚ porušením zákona.

Pokud si nevíte rady s řešením ochrany osobních údajů dle nařízení GDPR ve vaší firmě, poraďte se ve společnosti ANERI s.r.o. v Liberci.

http://dataosobni.cz/2018/10/19/zabezpeceni-elektronickych-dokumentu-s-osobnimi-udaji/

http://dataosobni.cz/reseni/

http://dataosobni.cz/nase-sluzby/

GDPR nařízení je již několik měsíců v platnosti

Již v květnu 2018 začalo platit nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů – zkráceně GDPR nařízení, česky potom ONOOÚ. Tato směrnice přinesla nová práva a povinnosti při práci s daty o občanech EU. Je to tím pádem žhavé téma, které se týká velkého množství subjektů – téměř všech podnikatelů, firem a organizací, včetně veřejného sektoru. Seriozní organizace museli mít do května 2018 hotovou implementaci GDPR a ideálně i nezávislý GDPR audit.

Jak se GDPR dotklo firem?

Poměrně zásadním způsobem. Ve společnostech by měl být jmenován tzv. pověřenec dohlížející na ochranu osobních údajů. To však není jediná povinnost. Důležité je také zavedení nejrůznějších kodexů souvisejících s touto tématikou, včetně nových procesů a systémů. GDPR nařízení je zkrátka nevyhnutelnou zátěží, kterou musí pod pohrůžkou poměrně vysoké finanční sankce dodržovat skutečně každý. Zanedbání ochrany osobních údajů se může stát dokonce trestným činem.

Nařízení GDPR česky a s komentářem

Asociace za lepší ICT řešení připravila pro všechny firmy a podnikatele on-line verzi nového zákona o ochraně osobních údajů GDPR česky, včetně komentářů, návodů a vodítek regulátora. Protože se jedná o celoevropské nařízení, je znění GDPR zákona finální a závazné i v České republice. Některé aspekty, např. věkovou hranici dětí či úlevy pro malé podnikatele, může v mezích GDPR nařízení ještě upřesnit český Úřad na ochranu osobních údajů. Asociace na webu www.lepsi-reseni.cz průběžně aktualizuje přehled komentářů ÚOOU a seznam dodavatelů informačních systémů, kteří jsou schopni pomoci se zavedením nových požadavků na ochranu a zpřístupnění osobních údajů.

Vyžadování souhlasu se zpracováním osobních údajů

Mnozí správci osobních údajů požadují souhlas se zpracováním osobních údajů i v případě, kdy tento souhlas vůbec nepotřebují.

 

Špatné pochopení či nedbalé prostudování obecného nařízení o ochraně osobních údajů (GDPR) vede k nadbytečnému vyžadování souhlasu se zpracováním osobních údajů. Mnozí správci a zpracovatelé požadují po svých zaměstnancích či klientech souhlas se zpracováním osobních údajů, přestože k tomuto zpracování mají jiný právní důvod. Právním důvodem je zpracování na základě zákona, smlouvy a dalších právních důvodů. V těchto případech je žádost o souhlas se zpracováním osobních údajů nejen zbytečná, ale může být pro subjekt údajů také obtěžující a je v rozporu s obecným nařízením. Zejména kvůli zbytečně vyžadovaným souhlasům se zpracováním osobních se plní e-mailové schránky lidí.

I v případě souhlasu se zpracováním osobních údajů musí správce i zpracovatel dodržovat veškerá stanovená pravidla. Osobní údaje lze i v tomto případě zpracovávat pouze za účelem, pro který byl souhlas udělen. V žádném případě není možné se souhlasy obchodovat.

Přesně porozumět textu obecného nařízení o ochraně osobních údajů (GDPR) může být pro lajka složité. Menším a středním firmám a organizacím se určitě vyplatí využít zkušeností odborných firem nabízejících pomoc při zavádění GDPR. Jednou z takovýchto firem je společnost ANERI s.r.o. z Liberce. Odborně proškolení a certifikovaní pracovníci společnosti ANERI pomohou se zavedením potřebných opatření a zajistí průběžnou kontrolu plnění nařízení GDPR.

http://dataosobni.cz/2018/09/20/vyzadovani-souhlasu-se-zpracovanim-osobnich-udaju/

http://dataosobni.cz/reseni/

http://dataosobni.cz/nase-sluzby/

Každá firma zpracovávající osobní údaje by měla mít interní směrnice pro GDPR

Pokud hledáte na internetu vzorové interní směrnice pro GDPR, těžko najdete takovou, která bude odpovídat přesně vašim potřebám. Každá firma je jiná a jinak nakládá s osobními údaji.

 

Základem je udělat si jasno (nejlépe sepsat), jaká data jsou shromažďována, jak jsou chráněna a kdo k nim má přístup a kdo odpovídá za veškeré související procesy. Až budete směrnici sepisovat, nezapomeňte uvést: Podle jakého zákona (nařízení) je tvořena, od kdy je směrnice platná, jak se nakládá s daty s osobními údaji ve vaší firmě (jak jsou data pořizována, zpracovávána a ukládána). Důležité je uvést způsob ochrany a zabezpečení dat jak elektronických, tak tištěných. Směrnice by také měla obsahovat zásady bezpečnostních principů pro práci s daty. Určitě nesmíte zapomenout určit odpovědné osoby, osoby, které s daty nakládají a zpracovávají je včetně osob i firem externích, které na základě smlouvy pro vás data s osobními údaji zpracovávají. Každá směrnice také musí obsahovat ustanovení, kdo směrnici vydává a schvaluje.

Je pochopitelné, že pro mnohé menší a středně velké firmy je časově náročné podrobně studovat veškeré náležitosti související s GDPR. Takovýmto firmám se určitě vyplatí poradit se s odborníky a vyřešit otázku GDPR bez zbytečných starostí. Mezi společnosti, které nabízej pomoc nejen s vytvořením vnitrofiremních směrnic, ale i s kompletním zavedením GDPR ve firmách patří společnost ANERI s.r.o. z Liberce.

http://dataosobni.cz/reseni/

http://dataosobni.cz/nase-sluzby/

http://dataosobni.cz/2018/08/16/kazda-firma-zpracovavajici-osobni-udaje-by-mela-mit-interni-smernice-pro-gdpr/

Jak získat e-mail na zasílání newsletterů podle GDPR?

Abychom mohli zasílat prostřednictvím e-mailu newslettery, potřebujeme mít právní důvod ke zpracování e-mailu jako osobního údaje.

 

Jestliže zasíláme newsletter našemu zákazníkovi, se kterým máme obchodní vztah, a nabízíme mu související produkty, jedná se o zákonný důvod k zasílání newsletterů. Pokud ale jiný zákonný důvod nemáme, musíme mít souhlas.

Je důležité si uvědomit, že souhlas musí být dobrovolný a musí obsahovat informace, které osobní údaje jsou shromažďovány, kdo je zpracovává a za jakým účelem a po jak dlouhou dobu. Subjekt údajů (člověk, jehož osobní údaje jsou zpracovávány) musí být také informován o svých právech.

Dobrovolný souhlas znamená, že poskytnutí služby nesmí být podmíněno souhlasem se zasíláním newsletterů. Stejně platí, že za neposkytnutí souhlasu nesmí být subjekt údajů trestán. Ale platí, že za poskytnutí souhlasu může být subjekt údajů odměněn. Právě toho lze v marketingové praxi využít. Například: nabízím e-book za peníze, ale při poskytnutí e-mailu pro zasílání newsletterů je e-book zdarma. Nebo: nabízím slevu na příští nákup, pokud bude poskytnut e-mail pro zasílání newsletterů. Způsobů, jak získat dobrovolný souhlas za odměnu, je určitě mnoho. Pozor ale na tenkou hranici mezi odměnou a podmíněním souhlasu.

Pokud si nevíte rady, jakým způsobem získat souhlas k zasílání newsletterů, poraďte ve společnosti ANERI s.r.o. Marketingoví odborníci agentury ANERI jsou proškoleni v otázkách GDPR, a tak i vám určitě pomohou najít zákonný způsob, jak získat souhlas k zasílání newsletterů.

http://dataosobni.cz/povinnosti/

http://dataosobni.cz/zakladni-pojmy/

http://dataosobni.cz/2018/07/18/jak-ziskat-e-mail-na-zasilani-newsletteru-podle-gdpr/