normal3x 8Existuje mnoho pohledů, jakými můžete na GDPR nahlížet. Právní, bezpečnostní, organizační – je jich mnoho. Jednou z firem, která se vrcholově zabývá problematikou GDPR, je Safetica Technologies. Její specialisty můžeme vídat velmi často na seminářích a konferencích, které se GDPR týkají. Není se proto čemu divit, že právě Safetica Technologies připravuje pro všechny zájemce o problematiku GDPR podrobného průvodce.

Pojďme si společně projít několik otázek, které jsou zaměřeny vyloženě prakticky a týkají se narůstajícího fenoménu této doby, jakým zcela jistě ochrana osobních údajů je.

Je možné někde získat plný seznam všech položek, které se považují za osobní údaje?

V GDPR je tato definice napsaná obecně. Konkrétní příklady a nejčastější typy osobních údajů v organizacích uvádíme v našich prezentacích, bohužel však z důvodu široké působnosti zákona, resp. nařízení není jednoduché vyjmenovat všechny možné údaje, které jsou považovány za osobní data. Jedná se o jakýkoliv údaj, týkající se určené nebo určitelné fyzické osoby.

Pokud eviduji ve webové aplikaci jméno, příjmení a e-mail člověka, jde o osobní údaje, které pod tento zákon spadají? A musí k nim takto přistupovat jak já, tak i provozovatel této webové aplikace?

Ano, pokud se jedná o kontaktní údaje fyzické osoby, půjde o osobní údaje. Tato data spadají do působnosti zákona, resp. regulace. Musíte k nim dle toho přistupovat jak vy, tak provozovatel aplikace.

Jakým způsobem je možné ověřit, kde všude jsou má data v dané organizaci uložena? Na jedné straně vidím požadavek, na druhé straně se jedná o tvrzení dané organizace, kde všude má data uloženy jsou.

Pro ověření musí proběhnout analýza ze strany vaší organizace, abyste zjistili, kde všude se s osobními daty pracuje. Jinak nebudete schopni naplnit požadavky zákona, resp. GDPR. Pokud totiž dojde k incidentu nebo porušení zákona, odpovědnost spadá na organizaci, která data zpracovávala.

Koho se tedy přesně GDPR týká? Konkrétně mi jde třeba o e-shop, který má jen třeba 2 zaměstnance, ale zpracovává údaje stovek zákazníků.

Ano, i e-shop, který zpracovává osobní údaje zákazníků, spadá do účinnosti GDPR. V podstatě jakákoliv organizace, která má alespoň 1 zaměstnance, musí zpracovávat osobní údaje zaměstnanců, takže je musí ze zákona chránit.

Je osobní údaj i služební telefon a služební e-mailová adresa a služební IP adresa zákazníka právnické osoby?

Ano, pokud je z nich možné přesně identifikovat konkrétní fyzickou osobu.

Je bráno jako osobní údaj i evidence o docházce zaměstnance?

Určitě ano. Zaměstnanec je fyzická osoba a pokud je záznam o docházce jednoznačně spojen s identifikátorem zaměstnance, jedná se o osobní údaj.

Chápu správně, že odpovědnost za získání souhlasu se zpracováním údajů má Správce nikoliv Zpracovatel. Náš klient provozuje službu CRM systému, ve kterém si jeho zákazníci mohou nastavovat i další vlastní pole a sledovat vlastní údaje, které náš klient neovlivní a pravděpodobně se může jednat i o osobní údaje dle nových definic (emaily, telefonní čísla apod.)?

Ano, tato povinnost leží primárně na správcích, aby si takové souhlasy od klientů zajistili.

Právo na přenositelnost dat je bezplatné – je banka povinna mi tyto údaje předat bezplatně?

Ano, správce je povinen vydat tyto informace bezplatně.

Tato ukázka vás mohla přesvědčit o tom, že můžete získat sofistikovanou odpověď na většinu praktických otázek z oblasti GDPR. Další otázky, celkem jich pro vás Safetica Technologies připravila 46, jsou k náhledu zde: https://www.safetica.cz/blog/46-otazek-a-odpovedi-ke-gdpr.

-LiM