S blížícím se 25. květnem, kdy vstoupí v platnost evropské nařízení o ochraně osobních údajů (dále jen „GDPR“), se stále objevují nové otázky, jak je program POHODA připravený na specifické situace, které GDPR přináší. Dnes si opět můžete přečíst několik častých dotazů z této oblasti.

Do adresáře programu POHODA ukládáme také kontakty zaměstnanců našich zákazníků (telefonní čísla, e-mailové adresy), musíme v souvislosti s GDPR žádat o jejich souhlas?

Od zaměstnanců vašeho zákazníka či klienta není potřeba vyžadovat souhlasy. Jde o vztah správce, vás jako uživatele programu POHODA, a subjektu údajů, jako vašeho obchodního partnera, resp. jeho zaměstnance.

Je tedy povinností vašeho klienta informovat své zaměstnance, že jejich e-mailové adresy budou zveřejněné. Jde totiž o správu údajů buď v rámci nějakého oprávněného zájmu, anebo na základě podepsané obchodní smlouvy s vaším klientem (ke spravování údajů tak dochází za nějakým účelem, který je podepřený z jiných právních titulů, než je samotný souhlas).

Pokud byste o souhlas zaměstnanců vašeho klienta museli žádat, vystavovali byste se riziku, že dotyčný může souhlas kdykoliv odvolat, ale také, že dle GDPR nemůžete podmiňovat zpracování osobních údajů, které lze primárně zpracovávat na základě zákonného důvodu souhlasem.

Nicméně je pravda, že by údaje o zaměstnancích vašich klientů měly být podle GDPR aktuální. Tj. v momentu, kdy dotyčná osoba už není zaměstnancem dané firmy, je povinností vašeho klienta vám to oznámit.
 

Vztahuje se GDPR i na kontakty, které jsme získali před platností nařízení GDPR?

GDPR klade důraz na to, že souhlas musí být konkrétní, nesmí být ničím podmíněný a musí být jednoznačný.

Pokud byly souhlasy umístěné do smluv, obchodních podmínek nebo bylo na internetu dopředu zatrhnuté políčko se souhlasem, tak to není správně a o souhlasy bude potřeba zažádat znovu.

Pokud původní souhlasy byly jednoznačné a tedy ničím nepodmíněné, stačí je pouze zrevidovat.
 

Jsme jako firma povinní dle nařízení GDPR zabezpečit i údaje v programu POHODA, když využíváme cloudové služby?

Mělo by jít o tzv. sdílenou zodpovědnost za zpracování osobních údajů. Podle nařízení GDPR platí, že za ochranu osobních údajů není zodpovědný jen správce (jak tomu bylo doposud), ale povinnosti zabezpečení dat má i zpracovatel – třetí strana.

Práva a povinnosti s takovými společnostmi je proto dobré zabezpečit ve smlouvách, protože pokud dojde k úniku dat, bude se zjišťovat, na které straně došlo k porušení/incidentu.

Když je primární zodpovědnost na správci a byla by mu uložena například pokuta, tak by ji částečně mohl vymáhat od provozovatele (v případě, že by nedostatečné zabezpečení cloudu bylo prokazatelné). Je tak nutné zrevidovat smlouvy a upravit podmínky s dodavateli takovýchto služeb.
 

Může mi dát někdo souhlas se zpracováním osobních údajů přes telefon?

Podle nařízení GDPR nemusí být souhlas daný písemně či elektronicky. Může být získaný různými formami, ale musí být zdokumentovaný, ať už pro účely kontroly ze strany úřadů, anebo pro samotnou firmu/společnost, aby věděla, kdo přesně je ten, kdo souhlas po telefonu udělil.

V momentu, kdy se dotyčná osoba rozhodne souhlas odvolat, tak by měla mít možnost tak učinit stejnou formou (pokud souhlas udělila telefonicky, telefonicky měla smět i odvolat). Záznam o odvolání musí být taktéž zabezpečený. K takto získaným souhlasům musí být tedy zabezpečená dostatečná archivace a dokumentace.
 

V rámci GDPR existuje právo na výmaz / právo být zapomenut. Co to pro firmu znamená, když toto právo bude chtít nějaký subjekt údajů uplatnit?

Bude to znamenat, že veškeré údaje, které firma zpracovává a pro které už pominuly všechny důvody pro to, aby byly zpracovávané, musí být vymazány. V této souvislosti rozeznáváme:

• Právo na přístup – fyzická osoba může vyžadovat od kterékoliv instituce přístup k informacím, jaké osobní údaje o něm zpracovává, s kým jsou sdíleny, kde jsou zpracované, jak dlouho se zpracovávají, kdo k nim má přístup apod.
• Právo na výmaz – nastává až tehdy, když pominuly zákonné důvody zpracování údajů (např. v pracovněprávní agendě).

Pokud jsou osobní údaje zpracovávané na základě souhlasu a fyzická osoba jej odvolá, tak není důvod, aby se tyto údaje dále zpracovávaly a nevymazaly.

Kromě situací, kdy jde například o prodej výrobku, na který se vztahuje záruční doba – odbavením objednávky pominul důvod zpracování osobních údajů (výrobek byl objednaný, zaplacený apod.), ale začíná běžet ještě záruční doba výrobku a po celou tuto dobu má dodavatel výrobku právo osobní údaje zpracovávat.

Když uplyne doba záruky, tak už není důvod, aby si dodavatel (kterým může být například i e-shop) osobní údaje zákazníka nechal, pokud k tomu přímo zákazník (fyzická osoba) nedal souhlas. Musí tak být vymazány nejen z hlavní databáze, ale i ze všech záloh.
 

Podléhá městský kamerový systém také nařízení GDPR?

Ve většině případů jsou kamery instalované za účelem ochrany majetku, což je oprávněný a legitimní zájem provozovatelů či správců.

Pokud jsou kamery umístěné ve výrobních podnicích nebo kancelářích, provozovatel či správce nepotřebuje souhlas zaměstnanců. Ti by ale měli být informovaní, že jsou kamery v daných prostorech nainstalované (případně by měl být monitorovaný prostor označený viditelnými cedulkami).

Je důležité také určit dobu, po kterou se budou záznamy z kamery uchovávat – vše souvisí s účelem zpracování údajů, tj. důležité je určit, za jakým účelem kamerový systém funguje. Většina kamerových systémů provozovaných ve veřejných prostranstvích je provozována ve veřejném zájmu a podléhá zpracování osobních údajů podle GDPR.

Pokud se však správně nadefinuje účel zpracování údajů, ve většině případů by pravděpodobně nemělo být potřebné vyžadovat souhlas fyzických osob. Povinností subjektu však bude určitě vést záznamy o činnosti.
 

Bude posílání zaheslovaných výplatních pásek z programu POHODA e-mailem v souladu s GDPR?

Podle nařízení GDPR by společnost měla přijmout přiměřené technické a organizační opatření, které blíže či podrobněji nařízení nespecifikuje.

Pokud tedy výplatní pásky, zaslané zaměstnancem přímo z programu POHODA či PAMICA, budou zaheslované, tak i v případě doručení nesprávnému příjemci není možné výplatní pásku otevřít. Je tedy zabezpečené, že se neoprávněná osoba k osobním údajům jiného zaměstnance nedostane.

Uvedené odpovědi jsou poskytovány pouze jako obecné informace, nepředstavují právní poradenství a nejsou zamýšleny jako právně závazná vyjádření.

Související článek:
Nejčastější otázky z oblasti GDPR – 1. díl