Info ke směrnici GDPR

Shrnutí našich informací a doporučení ke GDPR.

Směrnice GDPR vstupuje v platnost 25. 5. 2018 a týká se systematického a opakovaného využití osobních dat FYZICKÝCH OSOB.

Zpracování os. údajů na základě plnění služby nebo smlouvy je akceptovatelné (i bez informace nebo souhlasu odběratele/dodavatele FO lze uchovávat údaje Jméno, IČ, adresa + o uchování emailu raději FO informovat). Pro větší rozsah os. údajů je lépe si nechat od FO podepsat „Souhlas se zpracováním osobních údajů“ např. osoby ucházející se o zaměstnání/zaměstnance.

Odběratelsko-dodavatelskými vztahy se směrnice nezabývá a nevztahuje se na zacházení s daty právnických osob.

Praktická DOPORUČENÍ pro běžnou firmu:

1. Informovat - Uvést např. na smlouvu/objednávku, že odběratel souhlasí s uchováním jeho emailu a zasíláním informací ohledně dodávky.

2. Technické zabezpečení dat Zajistit co nejlépe data v elektronické i listinné podobě proti zneužití, ztrátě, úniku, krádeži apod. V elektronické formě dobře zabezpečit databázi a mít aktualizovaný server, omezit přístupy zvenčí a jiné rizikové činnosti. Nejlépe přesunout do cloudu. Pokud jste uživateli Info Office Online, máte tuto oblast vyřešenou. Bezpečnost a ochrana proti zneužití je zajištěna Microsoftem. Téma zpracované zde obecně, konkrétně Azure zde

3. Vytvořit interní směrnici o ochraně a zpracování osobních údajů - jak a kdo ve firmě pracuje s os. údaji (mapa zpracovatelských procesů + posouzení rizikových operací), ve směrnici odůvodnit účel zacházení s os. údaji FO a kde a jak jsou uloženy.

4. Mít nástroj na splnění požadavku FO na výmaz, opravu a výpis zpracovávaných os.údajů (Právo subjektu údajů)

Konkrétně k Bodu 4. v Info Office – Pokud nějaká FO požádá o výmaz, smažete u adresy kontakt a necháte jen hlavičku s fakturačnímu údaji, kterou potřebujete archivovat do účetnictví. Pokud adresa není na žádném dokladu použita, pak ji můžete smazat úplně.

5. Firma do 250 zaměstnanců nemusí vést záznamy o činnostech zpracování údajů (historie průběhu zadání dat, editace, výmazu, uživ.přístupech; nejedná-li se o soustavnou činnost) a nemusí zřizovat pozici pověřence pro ochranu os. údajů

PERSONÁLNÍ ÚDAJE zaměstnanců

- jejich zpracování nařizuje lokální zákon ČR (zákonná povinnost zaměstnavatele), a ten je nadřazen směrnici GDPR.

- na pracovní smlouvě NEuvádět rodné číslo (až na dotazníku), a je doporučeno např. do prac. smlouvy uvést informaci, že budou os. údaje uchovávány.

- po ukončení pracovního poměru uchovávat jen nezbytně nutné údaje pro splnění právní povinnosti zaměstnavatele (vést účetní a mzdovou agendu). Ostatní neúčelné vymazat.

MODUL Personalistika a mzdy: během června 2018 bude vytvořen formulář se všemi záznamy týkající se zaměstnance, na který bude zaměstnanec vyjadřovat souhlas se zpracováním os.údajů.

Změny budou řešit hlavně firmy, které:

- mají nad 250 zaměstnanců

- zacházení s osobními údaji FO je jejich hlavní nebo významnou činností (email marketing, sledování činnosti na internetu a cílení reklamy, zdravotnictví, obce, školy).

Zásady GDPR:

- MINIMALIZACE PŘÍSTUPU A ROZSAHU pro daný účel

– v přiměřené míře a v nezbytném rozsahu, omezit přístup k datům na nezbytně nutné pracovníky

- účelnost

- odůvodnění, proč a jaká data shromažďujete

- maximální technické zabezpečení

- transparentnost zpracování

- přesnost a aktuálnost

- časová omezenost uchování jen po dobu nezbytně nutnou

Toto jsou naše poznatky ze školení a různých veřejných zdrojů, konkrétní implementaci a opatření musí každá firma zvážit individuálně dle svého oboru podnikání, velikosti, technického vybavení atd.

Zdroj: školení Jihočeské Hospodářské komory v Prachaticích 26.10.2017 - advokátní kancelář ŠÍP KADLEC PAIKROVÁ, s.r.o.;

Příručka pro přípravu malých a středních firem na GDPR – MPO ČR https://i.iinfo.cz/files/podnikatel/631/prirucku-pro-pripravu-malych-a-strednich-firem-na-gdpr.pdf