GDPR - Obecné nařízení o ochraně osobních údajů

Stručně několik bodů

Více naleznete na https://www.uoou.cz/gdpr%2Dobecne%2Dnarizeni/ds-3938/p1=3938

Je zjednodušeně postaveno na těchto zásadách:

• zákonnost, korektnost, transparentnost - správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně, právo subjektu údajů na přístup k osobním údajům, na opravu, resp. doplnění, na výmaz, na omezení zpracování, na přenositelnost údajů, vznést námitku, právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování
• omezení účelu - osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely
• minimalizace údajů - osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány, přesnost - osobní údaje musí být přesné
• omezení uložení - osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány
• integrita a důvěrnost - technické a organizační zabezpečení osobních údajů.

Právní důvody zpracování osobních údajů subjektu údajů:

• subjekt údajů udělil souhlas pro jeden či více konkrétních účelů
• zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů
• zpracování je nezbytné pro splnění právní (zákonné) povinnosti, která se na správce vztahuje
• zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
• zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
• zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů

Zvláštní kategorie osobních údajů (citlivé údaje) má svá další omezení, za kterých je lze zpracovávat.

Osobní údaje může správce zpracovávat pro různé účely, přičemž pro každý účel potřebuje právní důvod zpracování. Většinou jedny a tytéž osobní údaje bude zpracovávat pro různé účely, přičemž tyto účely mohou v čase vznikat či zanikat, aniž by to představovalo povinnost osobní údaje likvidovat. Ta nastane, až zanikne poslední právní důvod ke zpracování osobních údajů.

Souhlas se zpracováním osobních údajů:

• je svobodný, konkrétní, informovaný a jednoznačný projev vůle
• se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát, a na dobu omezenou
• musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje, tj. musí být oddělený např. od smlouvy či obchodních podmínek - nesmí být jejich nedílnou součástí
• uzavření smlouvy (např. na poskytnutí služby) nesmí být podmiňováno poskytnutím souhlasu se zpracováním osobních údajů
• je odvolatelný - správce je povinen přestat zpracovávat osobní údaje pro účely definované v souhlasu - pokud byl souhlas jediným právním důvodem jejich zpracování, musí je zlikvidovat
• požadovat jej pouze pro účely, kde není jiný právní ani oprávněný důvod (dle některých vykladačů GDPR ani nesmí být vyžadován, protože by to mohlo být pro subjekt údajů zavádějící - vyvolat klamný dojem použití i pro jiný než právní či oprávněný důvod). Souhlas nemusí být vyžadován je-li důvod například:
  • smluvní - vztahuje se i na dobu sjednání a uzavření kupní smlouvy a následně na záruky nebo služby ze smlouvy vyplývající. Pokud nedojde k uzavření smlouvy, měly by být osobní údaje vymazány, doklady (i elektronické) zničeny nebo anonymizovány.
  • splnění právní (zákonné) povinnosti, která se na správce vztahuje - zákon o účetnictví, zákon o DPH - v těchto případech pozor, které údaje jsou těmito zákony požadovány - telefonní číslo, e-mail adresa apod. by měly být vymazány nebo k jejich zpracování mít souhlas.

Záznamy o činnostech zpracování

Jeden ze základních dokumentů, které umožní správci prokázat soulad s GDPR. Nejde o záznamy každodenní činnosti s osobními údaji, ale skutečně o obecné záznamy zpracování, které správce nebo zpracovatel provádějí. Není stanovena forma těchto záznamů. Nezbytné minimum, co by měly obsahovat, je uvedeno v článku 30 odst. 1:

• jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů
• účely zpracování
• popis kategorií subjektů údajů a kategorií osobních údajů
• kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích
• informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk
• je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů
• je-li to možné, obecný popis technických a organizačních bezpečnostních opatření

Povinnost vést tyto záznamy se nepoužije pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Toto je formulace, která budí značné rozpaky. Náš dozorový úřad doporučuje jejich vedení všem pro prokázání souladu s GDPR.

Dokládání souladu zpracování je komplexní činnost zahrnující dílčí činnosti, mezi které lze zařadit nejen záznamy o činnostech zpracování, kodexy a osvědčení, ale například i zveřejňování informací, které obecné nařízení ukládá správci zveřejňovat, vyhotovením vnitřních předpisů až po řádnou spolupráci s příslušným dozorovým úřadem.

Zabezpečení osobních údajů

S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů nebo neoprávněný přístup k nim.

Není žádný návod co přesně dělat.

Záleží na činnostech, které s osobními údaji provádíte. Je rozdíl mezi malým živnostníkem, který se vede osobní údaje klientů, obchodní firmou, která obtelefonovává nebo obesílá potenciální zákazníky, nebo účetní firmou nebo hotelem či ubytovnou. Stavební firmy nebo autoservisy mají také jiné účely zpracování osobních údajů.

Pro malé firmy, živnostníky, OSVČ lze jen doporučit

Dodržujte hlavní zásady:

• Osobní údaje shromažďujte za jasně definovaným účelem a nepoužívejte je k ničemu jinému (pokud svým klientům řeknete, aby vám poskytli svůj e-mail, na který mohou dostávat vaše nové nabídky či reklamy, nemůžete tento e-mail použít k jinému účelu ani jej poskytnout někomu jinému).
• Neshromažďujte více údajů, než je nezbytně nutné (pokud máte kadeřnictví, potřebujete např. jméno, příjmení a tel.č., ale už nemusíte vědět, zda je svobodná či vdaná) – uvědomte si, jaké osobní údaje máte, jaké by jejich zneužití představovalo pro dotyčnou osobu riziko i vaši vlastní odpovědnost za jejich zneužití.

Jednotlivé kroky, které vám mohou pomoci připravit se na GDPR:

1. Ověřte si, jaké osobní údaje shromažďujete a zpracováváte, za jakým účelem a na jakém právním základě to děláte.
   • Máte zaměstnance; jejich osobní údaje zpracováváte na základě pracovní smlouvy a na základě zákonné povinnosti (např. vůči FÚ, ČSSZ, zdravotním pojišťovnám).
   • Vedete-li seznam dodavatelů nebo obchodních klientů, činíte tak na základě smlouvy (většinou kupní), kterou jste s nimi uzavřeli.
   • Vedete-li seznam jednotlivých zákazníků, kterým například zasíláte oznámení o mimořádných nabídkách / reklamních akcích, pokud jste k tomu od nich dostali souhlas.
   • Ne vždy potřebujete souhlas. Existují případy, kdy fyzické osoby samy očekávají, že jejich údaje budete zpracovávat. Například jako prodejce možná zpracováváte dodací adresy, na nichž pak objednané zasíláte ale také občas inzerujete některý ze svých nových produktů. Tomu se říká oprávněný zájem. Vaší povinností je informovat fyzické osoby o svém zamýšleném použití jejich údajů a přestat takové údaje zpracovávat, pokud vás k tomu vyzvou.
   • Pokud při tomto ověřování naleznete osobní údaje, ke kterým již nemáte žádný účel ani právní základ (zákazník vámi předloženou nabídku jím vyžádanou nakonec nepřijal, objednané nepřevzal a nezaplatil, pominuly zákonné doby uchování účetních dokladů) pak je vymažte.
2. Informujte své zákazníky, zaměstnance a další osoby o tom, že jejich údaje shromažďujete.
   Fyzické osoby musí vědět, že jejich osobní údaje zpracováváte a za jakým účelem to děláte. Informovat je však nemusíte v případě, že už vědí, jak jejich údaje budete používat. Jedná se například o situaci, kdy vás zákazník požádá, abyste mu něco doručili. Fyzickým osobám musíte na vyžádání poskytnout informace o osobních údajích, které o nich vedete, a vyhovět jejich dalším právům - právo na opravu nepřesných údajů, právo vznést námitku, např. proti dalšímu zasílání marketingových nabídek, a také právo na výmaz údajů, ale pouze pokud není jiný důvod pro jejich další uchovávání.
3. Osobní údaje uchovávejte pouze po dobu nezbytně nutnou.
   • Údaje o vašich zaměstnancích: po dobu zaměstnaneckého vztahu a souvisejících zákonných povinností.
   • Údaje o vašich zákaznících: po dobu trvání zákaznického vztahu a souvisejících zákonných povinností (například pro daňové účely).
   • Jakmile pominou všechny účely, pro nějž jste údaje shromažďovali, odstraňte je.
4. Osobní údaje, které zpracováváte, zabezpečte
   • V systému AdmWin/HotelWin, omezte přístup heslem. Může-li do systému více lidí, nastavte jim přístupové údaje (přihlašovací jméno a heslo) a definujte, k jakým evidencím a funkcím mají přístup.
   • Zpracování osobních údajů centralizujte - neudržujte si je v různých jiných evidencích (např. excel tabulkách) mimo systém.
   • Pravidelně aktualizujte nastavení zabezpečení svého systému windows a antivirového programu.
   • Uchováváte-li fyzické dokumenty s osobními údaji, pak zajistěte, aby k nim neměly přístup nepovolané osoby – zamkněte je v trezoru nebo ve skříni nebo uzamykatelné místnosti, kam nemá nikdo nepovolaný přístup.
   • Máte-li zaměstnance, kteří mají přístup k evidovaným osobním údajům, musíte je zaškolit v oblasti ochrany a zabezpečení osobních údajů.
5. Veďte si dokumentaci - záznamy o činnostech zpracování
   Připravte si krátký dokument s objasněním, jaké osobní údaje máte v držení a z jakých důvodů je vedete. Může se stát, že tuto dokumentaci budete muset předložit Úřadu pro ochranu osobních údajů, pokud vás k tomu vyzve.
6. Ujistěte se, že pravidla dodržují i ti, jimž osobní údaje předáváte - zpracovatelé
   Pokud zadáváte zpracovávání osobních údajů jiné firmě (účetní), uzavřete s ní zpracovatelskou smlouvu dle GDPR, ve které se zaváže k dodržování GDPR.
7. Zjistěte si, zda se vás týkají následující ustanovení:
   • Určit pověřence pro ochranu osobních údajů, aby zajistili jejich lepší ochranu. Pověřence však nemusíte jmenovat, jestliže zpracování osobních údajů není hlavní součástí vašeho podnikání, nejedná se o rizikové zpracování údajů a vaše činnost není rozsáhlá.
   • Posouzení vlivu na ochranu osobních údajů - je vyhrazeno pro ty, kdo vystavují osobní údaje většímu riziku, například provádějí velkokapacitní monitorování veřejného prostoru (videodohled). Jste-li malá firma, která spravuje mzdy zaměstnanců a vede seznam klientů, nemusíte posouzení vlivu na ochranu osobních údajů v případě tohoto zpracování provádět.

Z výše uvedeného je zřejmé, že jen software sám, bez vaší uvědomnělé činnosti v oblasti ochrany osobních údajů dle GDPR, soulad s GDPR zajistit nemůže.

GDPR v ekonomickém systému AdmWin a hotelovém systému HotelWin

Data jsou uložena na discích vašich PC, serverů. My k nim nemáme žádný přístup.

Přístup k nim si zabezpečte pod volbou "Soubor" - "Kontrola přístupu" alespoň heslem. Pokud má v systému pracovat více lidí, nastavte jim přístupové údaje (přihlašovací jméno a heslo) a definujte, k jakým evidencím a funkcím mají přístup. Přihlašovací údaje jsou na úrovni souboru šifrovány. Všechna přihlášení a odhlášení do systému jsou logována.

Při zvýšeném riziku úniku dat si aktivujte logování exportů dat a výpisů. V prohlížení těchto logů naleznete kdo, kdy a jaká data exportoval, tiskl.

Zálohy jsou šifrované včetně ochrany přístupu - bez znalosti přístupového hesla, popřípadě přihlašovacích údajů se po jejich obnově v jiné instalaci AdmWin/HotelWin snad nikdo nedostane. Provádění záloh a přenos dat je logováno - je přehled kdy a kdo je prováděl.

Výpisy obsahující údaje o subjektu údajů jsou v adresáři firem, kontaktech a v evidenci pracovníků. K zjištění, co je vše na fyzickou osobu evidováno (kromě zaměstnanců) použijte v adresáři firem funkce:

• Evidované akce - přehled všech dokladů (včetně záznamů v evidenci korespondence), které jsou na osobu evidovány
• Prodeje - přehled, co bylo osobě prodáno
• Nákupy - přehled, co bylo od osoby nakoupeno
• Nesplněné objednávky - přehled objednaných dosud nesplněných položek
• Požadavky - nesplněné požadavky této osoby (na skladové položky, práce, služby)
• Nabídnuto, poptáno - přehled, co kdy bylo této osobě nabídnuto nebo co u ní bylo poptáváno, co tato osoba nabízí

Výmazem této firmy - fyzické osoby v adresáři firem, vazby mezi těmito informacemi zaniknou, kromě vlastních dokladů, které jsou odstraněny ve vlastním jetí roční uzávěrky.

Oprava údajů v adresáři firem se volitelně promítne i na evidované doklady. Volitelně proto, že pokud došlo ke změně adresy přestěhováním či se osoba přejmenovala, musí na dokladech zůstat původní údaje platné k datu vystavení dokladu.

Výmaz osoby v adresáři firem volitelně neúčetní doklady (zakázky, objednávky, nabídky, poptávky) anonymizuje (účetní zaniknou v jetí roční uzávěrky) nebo převede záznamy evidované na tuto osobu na jinou v adresáři firem v případě odstranění nechtěných duplicit.

Přenositelnost osobních údajů v strojově čitelném kódu je zajišťována standardními exporty dat ve formátech xls, csv, txt.

V souvislosti s náběhem GDPR prověřte jednotlivé fyzické osoby v adresáři firem a kontaktech, zda existují právní důvody pro jejich evidování, zda mají ještě nějaký právní účel. Pokud již ne, pak je vymažte. Pokud ano, tento účel jim z vlastního nastavení účelů zpracování osobních údajů přiřaďte, popřípadě doplňte datum, do kdy platí souhlas s jejich zpracováním. Tím následně umožníte systému hromadnou automatickou kontrolu a popřípadě výmaz údajů, k nimž již žádný účel není nebo doba jejich zpracování prošla.

Doklady, na nichž jsou také evidovány, pravidelně nechávejte vymazat v rámci vlastního jetí roční uzávěrky. Prodejky (vystavené účtenky) mají svůj hromadný výmaz.

Jinak také popsáno v postupech zajištění souladu s GDPR.

hotelový systém HotelWin

Účetní program