V květnu letošního roku vstoupí v účinnost evropské nařízení o ochraně osobních údajů – GDPR. V souvislosti s ním vyvstává řada dotazů, jak toto nařízení zavést do podnikatelské praxe. V dnešním článku si můžete přečíst nejčastěji kladené dotazy jak v obecné rovině, tak dotazy týkající se přímo programu POHODA či PAMICA.

Obecné dotazy k GDPR

Jakým způsobem je nejvhodnější získat souhlas ve vztahu k osobním údajům dle zákona č. 101/2001 Sb.? Stačí e-mailem?

Souhlas je nutné především prokázat. Musí být tedy zaznamenán prokazatelně a musí být v případě potřeby doložitelný, v tomto ohledu není problém ho mít e-mailem.

Dále souhlas musí být dobrovolný, nelze jím podmínit čerpání nějaké služby. Musí být také jednoznačný v účelu a rozsahu, musí být oddělený například od obchodních podmínek, nesmí být schovaný ve smlouvách apod.

Také musí být stanoveno, za jakým účelem je poskytnut, například za účelem zasílání obchodních sdělení. A v neposlední řadě musí být souhlas informovaný, tj. musí být jasné, komu je souhlas udělen, že se nepředává mimo EU a jak je možné jej odvolat.
 

Bude vhodné souhlas se zpracováním osobních údajů promítnout v obchodních podmínkách?

U souhlasu je důležitý jednoznačný projev vůle subjektu údajů (souhlas tedy musí být udělen jednoznačným projevem vůle osoby).

Z tohoto projevu musí být zjevné, že osoba skutečně chtěla udělit souhlas se zpracováním osobních údajů, nikoliv, že pouze vyjadřovala souhlas s obchodními podmínkami uzavřením smlouvy, popř. že pouze nevyjádřila nesouhlas.

Proto by takovýto souhlas neměl být součástí všeobecných obchodních podmínek, měl by být naopak oddělený.
 

Osobní údaj je dle GDPR i evidence o docházce zaměstnance. V práci na chodbě máme docházkové hodiny a vedle nich jsou v kastlíku karty zaměstnanců s evidencí docházky v aktuálním měsíci, jak to lze ošetřit vzhledem k GDPR?

Osobními údaji jsou veškeré informace o fyzické osobě (subjektu údajů), kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor. Je to například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Z tohoto pohledu karty zaměstnanců obsahují osobní údaje a Nařízení 2016/679 se na jejich zpracování vztahuje, i když se jedná o fyzické záznamy.

Důvodem evidence docházky je na vaší straně splnění právní povinnosti a opět je na vás, jakým způsobem zajistíte ochranu těchto osobních v souladu s článkem 32 Nařízení. Je potřeba nastavit přiměřená technická i organizační opatření.
 

Jak doporučujete řešit marketingové e-maily, co se týče GDPR?

Zde je situace trochu složitější, protože marketingové e-maily můžeme rozdělit do dvou skupin:

1. E-mailing, který se jako marketingový může tvářit, ale obsahuje informace například o skutečnosti, že objednaná služba již končí, a vy příjemce informujete o službě nové či lepší. To může být chápáno jako oprávněný zájem správce, kdy uplatníte legitimní titul – smluvní vztah a nepotřebujete tedy žádný další souhlas subjektu.
2. E-mailingová sdělení, typicky obsahující nějaký produkt či službu nesouvisející s již poskytovanou službou či dodaným produktem, postrádá oprávněný zájem správce. Proto je potřeba na takovýto e-mailing mít již předem souhlas subjektu se zasíláním obchodních sdělení.

Konkrétní dotazy k programům POHODA a PAMICA

Plánuje POHODA rozšířit své funkce s ohledem na nařízení GDPR?

Ano, zaměřujeme se zejména na snazší správu osobních údajů, jejich vkládaní, třídění a následné zpracování. Primárně se tato rozšíření budou týkat agendy Adresář. O novinkách v oblasti ochrany osobních údajů v programu POHODA zákazníky budeme průběžně informovat standardními komunikačními kanály (e-mailové zpravodaje, časopis Moje POHODA, internetové stránky aj.).
 

Co musím připravit, aby bylo vše podle nařízení GDPR splněno? Jak je ekonomický systém POHODA připravený na zákon GDPR?

Uvedení organizace do souladu s GDPR by mělo primárně vycházet z analýzy práce s osobními údaji, se kterými pracujete, tj. jejich kategorizace a typizace, legitimita jejich získání, minimalizace jejich vlastnictví z hlediska účelu a doby držení, jejich zabezpečení apod.

Následně by mělo dojít k přijetí vnitřní koncepce, provedení procesních změn a zavedení opatření, která odpovídají zásadám ochrany osobních údajů tak, jak nařízení vyžaduje. Problematiku vcelku srozumitelně popisuje web Obecné nařízení o ochraně osobních údajů prakticky. K těmto činnostem vám může být software nápomocný, nicméně dokáže pokrýt pouze část požadavků GDPR.

Naše produkty, zejména ekonomický systém POHODA a personální a mzdový systém PAMICA, mají již nyní integrované některé funkcionality směřující k naplnění mnoha dílčích požadavků nařízení GDPR, na dalších rozšířeních pracujeme.

Zaměřujeme se zejména na snazší správu osobních údajů, jejich vkládaní, třídění a následné zpracování. Primárně se tato rozšíření budou týkat agendy Adresář. O novinkách v oblasti ochrany osobních údajů v našich programech zákazníky průběžně informujeme, viz např. novinky v produktu POHODA a článek na straně 18 časopisu Moje POHODA Leden 2018 nebo článek na straně 14 časopisu Moje POHODA Říjen 2017. (Informace uvedené v obou vydáních se vztahují vždy k aktuálním verzím programu.)
 

Budeme si muset koupit novou verzi programu POHODA s kompletní podporou GDPR, nebo potřebné aktualizace poskytnete zdarma?

Uživatelé aktuálních verzí programu POHODA budou mít funkcionality související s plněním nařízení 2016/679 součástí aktualizací. Speciálně byste si tak nic nepřipláceli.

Samozřejmě záleží také na vámi použité řadě produktu, protože např. POHODA E1 již nyní umožňuje evidovat historii uživatelských úprav v agendě Adresář, vytváření volitelných parametrů apod. Případné nové funkce související s GDPR, které se budou týkat právě možností, které nabízí až řada POHODA E1, nebudou tedy z principu dostupné uživatelům nižších řad programu POHODA.
 

Poskytnete mi jako zákazníkovi společnosti STORMWARE nějaký dokument, že je ekonomický systém POHODA v souladu s GDPR?

V souvislosti s přijetím GDPR byl do právního řádu z hlediska ochrany osobních údajů zaveden nový institut, a to vydávání osvědčení o ochraně osobních údajů (certifikát), který se uplatní v případě operací zpracování prováděných správcem nebo zpracovatelem a který má osvědčit soulad s nařízením.

Vydání osvědčení (certifikátu) má subjektům údajů zajistit, aby rychle mohly u příslušných produktů a služeb posoudit úroveň ochrany osobních údajů. Z toho plyne, že by se vydávání osvědčení (certifikátů) mělo týkat i produktů (software a hardware) a služeb.

V nařízení jsou definovány tři možnosti, jak vybrat subjekt pro vydávání osvědčení (certifikační orgán), jedná se jednak o postup, kdy za stanovených podmínek akredituje subjekty pro vydávání osvědčení (certifikační orgány) přímo příslušný dozorový úřad (v případě České republiky je to Úřad pro ochranu osobních údajů) nebo subjekty pro vydávání osvědčení (certifikační orgány) akredituje vnitrostátní akreditační orgán, kterým je Český institut pro akreditaci.

Úřad pro ochranu osobních údajů vybral jako nejvhodnější variantu akreditaci subjektů pro vydávání osvědčení (certifikačních orgánů) prováděné Českým institutem pro akreditaci, o.p.s. (ČIA).

V současné době ještě ČIA neuděluje shora zmíněné certifikáty, a to z důvodu přípravy procesu certifikace. Jakmile bude možné si o certifikaci zažádat, pravděpodobně tak učiníme, co nejdříve to bude možné, abychom mohli doložit soulad požadavků, které GDPR klade na naše programy.

V současné době také připravujeme řadu materiálů mapujících zpracování osobních údajů v rámci našich firemních procesů. Ty, které budou určeny subjektům údajů, budeme postupně zveřejňovat.

Budete si tak moci udělat do doby udělení certifikace obrázek, že ochranu osobních údajů bereme vážně a stejně tak i přistupujeme k zapracování úprav, které vyplývají z GDPR v našich programech.

V současné době tedy není možné doložit oficiální certifikaci souladu s GDPR s jakýmkoliv programem.

Aktuální k 15. 2. 2018
 

Naše firma má zakoupenou licenci programu POHODA od společnosti STORMWARE. Kdo je z pohledu GDPR zpracovatel a kdo správce osobních údajů?

STORMWARE bude vystupovat jako zpracovatel pouze v případech, kdy nám pošlete zákaznická data (vaše nebo vašich zákazníků), resp. kdy bude možné s vašimi daty nebo daty vašich zákazníků pracovat (např. při vzdálené správě, školeních s použitím těchto dat apod.).

V takovém případě jste správce osobních údajů a se společností STORMWARE bude nutné uzavřít zpracovatelskou smlouvu, která bude zpřístupněna nejdéle do doby účinnosti Nařízení 2016/679.

V roli správce bude STORMWARE vystupovat také v ostatních případech, konkrétně v souvislosti s e-mailovými dotazy, zákaznickou podporou a v rámci obchodního vztahu.
 

V naší firmě pracujeme s účetním systémem POHODA. Kde najdu zpracovatelskou smlouvu?

Zpracovatelskou smlouvu zpřístupníme do doby účinnosti Nařízení 2016/679, naše zákazníky o tom budeme informovat standardními komunikačními kanály.
 

Platí nařízení GDPR i na kontakty od dodavatelů (fyzických osob), které máme v programu POHODA?

Ano, GDPR se týká i vašich dodavatelů – v případě, že pracujete s osobními údaji fyzických osob těchto firem (zaměstnanců, jednatelů, apod.). Pro správu takovýchto údajů doporučujeme využít agendu Adresář a vše potřebné evidovat na záložce GDPR.
 

Provozujeme e-shop. Objednávky od zákazníků se do programu POHODA přenáší včetně osobních údajů, které zákazníci uvedou v objednávce. Jejich osobní údaje jsou pak automaticky přenášeny a uvedeny na všech dokladech – prodejky, faktury, opravné daňové doklady. Objednávky účtujeme buď:

• Prostřednictvím agendy Prodejky, pak je prodejka odesílána prostřednictvím EET.
• Prostřednictvím agendy Vydané faktury, pak je faktura předávána v rámci kontrolního hlášení.

Jak máme v tomto případě řešit nařízení GDPR?

Předávání osobních dat mimo vaši společnost na základě zákonných důvodů není v rozporu s Nařízením EU 2016/679. Je třeba vzít v potaz, že toto nařízení se týká pouze zpracování osobních údajů fyzických osob (nikoliv korporací) a obsah datových vět, které v rámci EET a kontrolního hlášení odesíláte servery Finanční správy, obsahují osobní údaje pouze v případě, že je uvedeno DIČ poplatníka (fyzické osoby), jehož součástí je rodné číslo.

Avšak i na to již zareagovala legislativa – ústavní soud zrušil od 28. února některé části zákona o EET, mj. právě povinnost uvádět DIČ na účtenkách.

Soulad vašeho postupu s nařízením GDPR dále potvrzuje i to, že se jedná o vaši zákonnou povinnost – osobní údaje (pokud by v kontrolním hlášení a EET byly obsaženy) předáváte na základě zvláštních zákonů státním institucím.

Stejné platí i u jiných případů, ve kterých figurují údaje fyzických osob, například zaměstnanecká data předávaná České správě sociálního zabezpečení, zdravotní pojišťovně, Policii ČR apod.
 

Co bude nabízet personální a mzdový systém PAMICA v oblasti GDPR?

Od účinnosti GDPR bude software PAMICA zpracovávat veškerá osobní data v souladu s principy tohoto nařízení. Veškeré požadavky, které GDPR na správce klade, tak budou naplněny.

Je ovšem nutné brát v potaz skutečnost, že software PAMICA je jen nástroj, který zpracování dat umožňuje, přičemž GDPR je především o procesech a nastavení nakládání s osobními údaji v rámci vaší firmy. Ani sebelepší software za vás proto nevyřeší veškeré povinnosti, které GDPR ukládá.
 

Jak bude program POHODA zabezpečovat šifrování údajů databáze?

Dle článku 32 odst. 1 písm. b) nařízení GDPR by mělo být dostačující definování rolí, resp. přístupových práv v programu POHODA (např. k jednotlivým agendám programu). Uživatelé také mohou využít další funkce programu:

1. Částečné zabezpečení databáze – tj. databáze budou zabezpečené interním heslem programu a budou tak chráněné proti přístupu jiných programů.
2. Úplné zabezpečení – tj. zvolené databáze budou zabezpečené interním heslem programu a svázané se systémovou databází. Heslem, které si sami zvolíte, je chráněný neoprávněný převod databází do jiné instalace programu POHODA. Bez hesla tak není vůbec možné databázi převést do jiné instalace programu.

Jako další stupeň ochrany údajů je případně možný přechod na vyšší řadu programu – POHODA SQL nebo POHODA E1 – kde použitá technologie klient–server a databáze SQL poskytuje ještě vyšší stupeň ochrany dat.

S ohledem na samotné nařízení GDPR a na výše uvedené důvody se data v databázích ekonomického systému POHODA nešifrují. Pro úplnost uvádíme i citaci příslušné části nařízení GDPR:

Článek 32 – Zabezpečení zpracování

„S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

• pseudonymizace a šifrování osobních údajů,
• schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování,
• schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů,
• procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.“

Uvedené odpovědi jsou poskytovány pouze jako obecné informace, nepředstavují právní poradenství a nejsou zamýšleny jako právně závazná vyjádření.

Související článek:
GDPR v programu POHODA