Vlákno názorů k článku Chybějící zpracovatelské smlouvy. Dlouhodobý prohřešek firem má napravit GDPR od klap - Pořád řešíte jen firmy a společnosti, ale co...

V praxi je to jenom nástroj na to, aby se na úkor produktivních lidí, kteří dělají něco užitečného, nabalili budižkničemu jako jsi ty, kteří nejsou užiteční nikomu a potřebují nějakou státní represi, aby z někoho vyrazili peníze za činnost, kterou nikdo nepotřebuje..

Ohromně vtipný! Jen jste potvrdil, že jako někteří další diskutující, nemáte snahu o problému diskutovat a hledat odpovědi na otázky (někdo dokonce přiznal, že se k problematice nemůže vyjadřovat), ale pouze prudit. A nedej bože, když někdo, kdo o problému trochu něco ví, se snaží na dotaz, někoho, kdo hledá odpověď, což byl začátek této diskuse, mu ji poskytnout. To nejen vás rozohní, neboť ono se může ukázat, že vaše zcela odmítavé stanovisko nepramení ze znalosti stavu věcí, ale ze zcela nesmyslného postoje mě se to nelíbí, tak to musí být špatné (tím netvrdím, že GDPR je v pořádku; princip, na kterém je postaveno znám z praxe více než dvacet let, takže poměrně dobře znám jeho slabiny a dokážu si představit budoucí vývoj GDPR). Přece nemůžete být na vině vy, že máte o problému málo nebo nepřesné informace (např. o další možnosti umožňující nevyžadovat souhlas), ale na vině je určitě GDPR (minimálně tím, že vůbec existuje).

Já jsem narušil řád této diskuse, jež měla být vzájemným utvrzením diskutujících ve svých zcela odmítavých stanoviscích k GDPR. Svými názory jsem je popudil, včetně vás, když jsem vaši informaci doplnil o další možnou cestu řešení. Avšak tím, že jste zde napsal, jaký jsem budižkničemu vaše ego povyrostlo, takže jste újmu neutrpěl. Vlastně to splnilo váše očekávání, neboť věcně jste disktuvat asi nechtěl, že (věcnou připomínku jste neuvedl)?

Na závěr jen pro vaši informaci, GDPR se nijak neživím. Je to záležitost, která mne osobně zajímá. Ve svém volném čase jsem jej prostudoval, navštívil několik seminářů o něm a pročetl několik dalších materiálů, jež se jej týkaly. Prostě mě to zájímá, ale pověřencem se stát nechci. Bude to nevděčná a přitom vysoce odpovědná funkce. To, že mě problematika zájímá, je důvod, proč se účastním této diskuse. Přináší mi zajímavé poznatky o problému (např. jaké nesmysli mezi lidmi kolují, které informace jsou známi a které nikoliv). Prakticky provádím vytěžování a následný sběr informací.

Smlouva je vzájemná dohoda a je jedno, která ze stran zpracuje její návrh. Já jsem jen chtěl zdůraznit, připouštím, že nevhodně, že mzdová účetní nebude tím, kdo bude určovat požadavky na zajištění ochrany osobních údajů. Podle GDPR jsou cloudy v podřízeném postavení. Je zcela chybné domnívat se, že řemeslníci by si měli pohlídat, aby smlouva s účetní byla v souladu s požadavky GDPR. To by bylo zcela nedostatečné, neboť oni jsou tím, kdo má právo, ale i povinnost ty požadavky stanovit. V GDPR uvedeny nejsou.

Takže jen další zbytečné papírování a buzerace.

Pokud je podnikatel a není pouhý melouchář (rozdíl není v tom, že má na to ŽL), tak ano.

Samozřejmě, takže melouchář mu přebere kšefty, zatímco podnikatel bude mastit nesmyslnou hromadu papírů pro účetní, kterou 20 let nepotřeboval a která bude i nadále dobrá jedině k vytření prdele.

Váš styl vyjadřování je jasným dokladem o vaši úrovni. Nicméně vám odpovím alespoň na část. Ano, máte pravdu, že melouchář mu přebere kšeft, protože své služby nabízí za dumpigové ceny, které si může dovolit díky neoprávněnému snižování nákladů. Jedná se o nekalou soutěž, za kterou může být melouchář hnán k zodpovědnosti a pak se bude divit. Vy však preferujete to špatné před dobrým, neboť na to dělat to dobře asi nemáte (on ne každý melouchář může být podnikatelem).

No, já se vyjadřuju, jak mi huba narostla, ale jak tak koukám na vás, tak žvanění o BOZP už asi tolik nenese, protože vás všude prokoukli a ženou vás koštětem rovnou u dveří, takže je třeba nějaká nová agenda, jak hejly podojit, nějaká pořádná bruselovina je k tomu účelu ideální, viďte, hlavně o tom "odborně" pokrafat, co?

Díky za reklamu. Ale já se přednášením neživím. Nabídky na lektorskou činnost dostávám, takže občas nějaký seminář udělám. Na letošní rok již něco mám. Také publikuji a poskytuji konzultace (to vše mimo své povolání). Za své reakce a komentáře v diskusích jsem obdržel nabídku ke spolupráci i od serveru Podnikatel.cz.

Mou práci hodnotí skuteční odborníci, nikoliv hulváti, takže jí mám opravdu dost a opravdu si vybírám.

To, že se umíte vyjadřovat, z vás odborníka na danou problematiku nedělá - znám pár lidí, kteří umí hezky popsat fyzikální zákony, aniž by jim rozuměli...
Někdy má hulvát realističtější pohled na věc, než poplatný člověk vašeho druhu.

Tomáš Neugebauer -> Ochrana osobních údajů je důležitá, to určitě, hlavně při zneužití databází institucí anebo velkých internetových společností. Ale proč by každý obyčejný člověk, jako např. živnostník anebo mzdová/ý účetní, kteří musí dle zákona použít identifikační údaje zaměstnanců museli ovládat právnické vzdělání, sepisovat nějaké smlouvy a dělat nesmyslné analýzy, rozbory a popisování kde jak uklidí který údaj, papír, nebo soubor?
V případě zákonem předepsané povinnosti použít osobní údaje MUSÍ již samotný zákon stanovit jak s těmito údaji zacházet, ne že se veškeré povinnosti zase hodí na poplatníky pod pohrůžkou pokut a dalších restrikcí.
U společností, které evidují osobní údaje za účelem obchodu, je třeba zajistit ochranu jejich zneužití podle jasně stanovených podmínek zákonem.
Pokud bude v zákoně jasně stanoveno, jakým způsobem se MUSÍ údaje ochránit, není třeba vymýšlet nesmysly.
Takže jako vždy, mnoho povyků pro nic a státní aparát bují, bují a bují. A český národ zase vymýšlí spousty pitomostí.
Je třeba požít zdravý rozum, nic jiného. Od zákonodárců a od státu se to čekat nedá.
Já, jako mzdový účetní udělám jedinou věc. Počítač, na kterém zpracovávám mzdy odpojím od internetu, zabezpečím dostatečným heslem, nikoho k němu nepustím, zamknu na deset západů za mříže v kanceláři. Zaměstnanci musí podepsat souhlas se zpracováním jejich údajů (i když to je nesmysl) a veškeré papírové dokumenty zamknu do trezoru a klíč od něj si uložím nejlépe na řetěz na krku. A je to. Žádný cloud, datové zprávy, e-maily, datové schránky a podobné nesmysly ke kterým nás nutí stát. Hezky zpět ke klasickému zpracování dokumentů, k přírodě a zdravému rozumu. Velký krok zpět, ale odstraní to veškeré pochybnosti.
GDPR by mělo také obsahovat, že v případě, kdy stát zákonem povinně stanoví použití osobních údajů a přinutí poplatníka posílat prostřednictvím elektronické komunikace, ručí stát za jejich nezneužití a zabezpečení.

Váš příspěvek je značně podnětný. Navíc, jako mnohé příspěvky prokazuje neznalost požadavků GDPR. Proč je, podle vás, tak zásadní rozdíl mezi možností zneužití databází velkých společností a malých živnostníků? Snad jen v objemu dat, jinak je to stejné. Po živnostníkovi není požadováno, aby ovládal právnické vzdělání.

Na váš dotaz, proč je ochrana osobních údajů, resp. požadavky na ni, na základě GDPR taková, jaká je, vám mohu jen uvést, že byl zvolen systém, který Evropské společenství zvolilo v 80. letech pro oblast bezpečnosti práce. Je to systém postavený na principu analýz rizik. Předností tohoto systému je to, že umožňuje stanovit potřebná opatření na zcela konkrétní podmínky u jednotlivého subjektu. Tedy přesně vyhovuje konkrétní situaci v místě a času. Na druhou stranu, díky tomu, vyžaduje zvýšenou časovou a administrativní zátěž na koncový článek, neboť ten je tím, kdo stanovuje podmínky. Proto tyto podmínky nejsou a, vzhledem k principu, ani být nemohou v právním předpise. Jedná se tedy o vysoce efektivní princip, který však pro více než 90 % firem v ČR (mikrofirmy) je nevyhovující. Čím je firma větší, je pro ni výhodnější. Není to však z důvodu, že má větší kapacity, ale z důvodu, že má sofistikovanější systém řízení společnosti. Celý problém je založen na systému řízení, které u živnostníka je velice jednoduché, a to i v případě, že zaměstnává dva, tři zaměstnance.

Nevím, zda z uvedeného je vám jasné o co jde, ale to je podstata problému. Stále méně a méně právních předpisů stanovuje vámi požadované MUSÍ. Vrátím-li se k GDPR, tak ono si opravdu ukouslo obrovské sousto. Rozhodlo se stanovit pravidla pro ochranu osobních údajů téměř bez jakýchkoliv omezení (časových, dislokačních, objemu zpracovávaných dat atd.). Za této podmínky je prakticky nemožné stanovit jednotlivá konkrétní opatření. Uvědomte si, že GDPR je vytvořen tak, aby byl použitelný na Microsoft, jako i OSVČ bez zaměstnanců, jedno, zda data zpracovávají v EU nebo mimo ni.

Nemáte pravdu v tom, že státní aparát bují, neboť ÚOOÚ zůstává nezměněn (alespoň zatím má mít i nadále jen sedm inspektorů), jakož i, že český národ vymýšlí pitomosti, neboť se jedná o přímo použitelný předpis EU. ČR se na jeho tvorbě podílela, ale není to její předpis.

Co se týče vámi uváděných opatření, tak zásadní připomínka je ta, zda budou vyhovovat vašim zákazníkům. To je určující. Například neuvádíte, jak budete mít zabezpečen transport dat obsahujících osobní údaje mezi nimi a vámi. Dále, proč by zaměstnanci museli podepsat souhlas se zpracováním jejich osobních údajů. To by bylo porušení systému nastaveného GDPR (naopak nemají podepsat!). Vámi navrhovaný návrat ke klasickému zpracování dokumentů zas toho tak moc nevyřeší, neboť i na něj se vztahuje GDPR, pokud dokumenty obsahují osobní údaje! Je jednot, zda je máte uložené v počítači nebo v šanonu.

Děkuji Vám, pane Neugebauere, že jste to tak pěkně shrnul. Uštřil jste mi čas, právě jsem se chystala napsat podrobnou odpověď s vysvětlením. Už jsem nemohla déle vydržet poměrně vysokou míru ignoranství a nesmyslného nepochopení zásad ochrany osobních údajů.
Pěkně jste to shrnul, snad už to teď pochopí i účastníci diskuse, kteří o ochraně osobních údajů nemají dostatek povědomí.

Zapomněl jsem dodat, že to vaše MUSÍ by do jisté míry měly řešit kodexy chování, které mohou vypracovat sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů. Lze zcela oprávněně předpokládat, že kodex chování pro mzdové účetní vznikne.

Mám jedinou otázku - podnikáte? Je jedno jako "co" .

Již ne, ale podnikal jsem.

To je nebetyčná hloupost.

Ano, takhle vznikají zkreslující informace! Nikde jsem nepsal, že se dvacet let zajímám o ochranu osobních údajů. Pouze jsem uvedl, že více než dvacet let znám princip, na kterém je v současné době postaveno GDPR. To je podstatný rozdíl!

Řemeslník, který je podnikatel, si nemůže vystačit s tím, že hlavně zná své řemeslo. Žijeme v 21. století, kdy práce je vysoce sofistikovanou činností. Pokud chce, nebo je nucen, podnikat, musí se tomu podřídit. Být dobrý řemeslník neznamená být dobrý podnikatel (mnohdy je tomu právě naopak, což je pochopitelné).

"GDPR je hlavně příležitost pro různé vykladače a zpracovatele dokumentace." - GDPR je postaveno na stejném principu jako BOZP. Podívejte se, kde je dnes BOZP, oproti druhé polovině devadesátých let, a máte odpověď na to, jakým pravděpodobným směrem se bude vytváření souladu s GDPR vyvíjet. Tenkrát to byla též půda pro různé vykladače a zpracovatele dokumentů, a to jak na středně odborné, tak vysoce odborné úrovni. Ono to dost dobře jinak nejde. Neočekávejme upřesnění pravidel od ÚOOÚ, ale od různých oborových sdružení (např. účetních). Ty můžou vydat kodexy chování, stanovujících podrobnější pravidla pro ochranu osobních údajů při výkonu oborové činnosti (dokonce mohou platit pro oborovou činnost v celé EU).

"Kdo tvrdí, že to nepřinese náklady pro podnikatele, je lhář." - Je nutné rozlišit jaké náklady a v jaké výši. Zavedení souladu s GDPR zcela logicky nějaké náklady přinese každému subjektu. Není však pravda, že se bude jednat o nějaké značné náklady, neboť mnoho věcí podnikatelé musí dnes již plnit podle současného platného zákona. Kdo to neplní, tak pro něj vytvoření souladu s GDPR přestavuje značené zvýšení nákladů! A to je dobře, neboť zatím šetřil na nákladech tak ať to nyní "dorovná". Mnohdy tvrzení o značně zvýšených nákladech pramení z neznalosti požadavků na zavedení souladu s GDPR - např. každý si musí zajistit pověřence, data musí být šifrována, musí být ukládána do cloudu, smí být pouze v elektronické podobě (musí být zrušeny šanony), na nakládání se všemi osobními údaji musím mít souhlas atd. Naplnění těchto nesmyslů pochopitelně náklady významně zvyšuje.

Já nejsem anonym, já používám své jméno. Vy hvězdičku.

Už v úvodu jste se dopustil jedné chyby požadavek na zpracovatele zformulovaný, jak vy uvádíte "udělejte to tak, aby to bylo správně a nehrozily mi pokuty" je možný jen v některých vámi uvedených případech. V bezpečnosti práce je to stejně nedostatečné jako v GDPR, neboť GDPR je vytvořeno právě na stejných principech, na kterých byla v roce 1989 vytvořena BOZP, a jak je požadováno její plnění v ČR od 1. 1. 2001. Tedy platí stejná zásada, že zaměstnavatel si stanovuje pravidla zajištění BOZP, nikoliv dodavatel slůžeb (pro příklad zaměstnavatel určuje obsah tzv. školení BOZP, nikoliv dodavatel služeb).

Nyní k tématu. Správce by měl vybrat důvěryhodného zpracovatele, poskytujícího dostatečné záruhy. Zpracovatel může zpracovávat osobní údaje jen na základě pokynů správce (na základě ujednání).

Smlouva mezi nimi musí být uzavřena písemně a stanovit, že zpracovatel zpracovává osobní údaje pouze doložených pokynů správce, zajišťuje, aby se osoby oprávněné zpracovat osobní údaj zavázaly k mlčenlivosti, příjme opatření k zabezpečení osobních údajů, dodržuje podmínky pro zapojení dalšího zpracovatele, zohledňuje povahu zpracování, je zprávci nápomocen v technických a organizačních opatřeních, vymaže nebo vrátí správci osobní údaje po ukončení poskytování služeb a poskytne správci informace potřebné k doložení toho, že byly splněny povinnosti podle čl. 28, včetně inspekcí.

Hm, zřejmě jste právník, a to, co tady píšete beru jako fakta. Nechápu, jak s tak zjevnou buzerací může inteligentní člověk souhlasit...viz internet a tzv. ochrana dat. Toto celé je jen "mnoho povyku pro nic"...

Omlouvám se - moje reakce patří Tomášovi.

Hm, zřejmě jste právník

Ale kdepak.

Nechápu, jak s tak zjevnou buzerací může inteligentní člověk souhlasit...

Viz výše, dotyčný je tzv. buserant z povolání. :-P

Díky za info - ono je to vlastně jedno - tito lidé jsou na jedné lodi. Je to buzerace, nikdo mě nepřesvědčí o jiném. Já to vnímám jako snahu zničit postupně drobné podnikání, aby všechny prachy mohly jít za velkými firmami. Jak můžu já, jako zaměstnavatel pár lidí (doslova) zneužít jejich data? Do čerta, to je jak za socíku, tzv. vojenské tajemství - což bylo třeba jméno velitele útvaru - ale to jaksi ještě dávalo smysl - mohli by ho chytit a mučit...ale toto zde - čistokrevná pakárna a seru jim na to!

Právník nejsem. Pouze mám z pracovního práva zkoušku.

Ono se nejedná o takovou buzeraci, jak se o tom píše a hovoří. Tím méně z toho bude buzerace po 25. květnu a ještě méně v ČR, kde se prakticky téměř nic nezmění.

Zda je to mnoho povyku pro nic ukáže budoucnost. Pravdou jsou dva fakty, a to že se jedná o zcela nové pojetí ochrany v celosvětovém měřítku (EU se podařilo, aby na to nějakým způsobem reagovaly USA a další země mimo EU), a že údaje o jednotlivých fyzických osobách budou stále více a častěji zneužívány. Zda GDPR nastavený systém napomůže tomu zabránit ukáže čas. Jak již jsem zde v diskusi uvedl jedná se o model, který byl použit pro zajištění BOZP. Po téměř třiceti letech jeho existence nepotvrdil své jednoznačné kvality. To však neznamená, že je zcela zavrženihodný. Ve svém základě je vysoce kvalitní. Bohužel má však jednu zásadní nevýhodu - je velice těžce uplatnitelný u mikrofirem. A v ČR se k tomu připojuje ještě jeden problém. My chceme, aby nás vše co možná nejméně zatěžovalo (stanovte mi, co mám udělat za 1., za 2. atd. ať to udělám a mám od toho pokoj) a tento systém je založen právě na tom, že koncový článek na základě stanovených kritérií si sám stanovuje co má udělat a jakým způsobem a pak to provede. Iniciativa je na něm.

GDPR není žádnou velkou novinkou. Drtivá většina povinností měla být již dávno plněna. Praxe je však jiná, a proto se jeví tak hrozným - viz téma tohoto článku.

"... My chceme, aby nás vše co možná nejméně zatěžovalo (stanovte mi, co mám udělat za 1., za 2. atd. ať to udělám a mám od toho pokoj) ..."

- Jestli to nebude tím, že lidé by přece jen raději dělali svou práci (a vydělávali peníze), namísto zjevně zbytečného papírování (a utrácení za vnucené blbosti), víte? Spousta lidí svou práci miluje a dokáže se do ní ponořit a nadchnout se pro ni, jenomže tisíce povinností, zákazů, regulací atd., které mu ubírají čas a sílu, člověka jaksi demotivují. Takže se nedivte. Já jsem jen v posledních letech tvrdě řešil tyto záležitosti: nechtěný pád do skupiny plátců DPH (poté, co jsem poskytl službu do jiného státu EU), když jsem se z toho po několika letech pracně vymotal, přišlo MOSS (a s velkým údivem jsem zjistil, že když prodám soubor, neprodávám zboží, ale poskytuji službu, takže jsem mezi plátce málem spadl zase), pak EET, kvůli kterému jsem musel zbourat pracně vlastnoručně vyrobený e-shop, nyní GDPR, ... Naštěstí tedy aspoň nejsem kuřák. Co si vymyslí příště? Co dalšího nám zakážou?!

Veškerá legislativa navíc zjevně vzniká tak, že se nejprve stanoví drakonické pokuty, a až pak se domýšlí ten zbytek. A domýšlejí ho lidé, kteří o dané věci asi mnoho nevědí. Vy si nepamatujete, co se dělo na podzim 2016 kolem EET? Oni zřídili speciální telefonickou linku, kde měli proškolení odborníci odpovídat na dotazy - jenomže se ukázalo, že oni vůbec netuší, jak funguje e-shop, jak probíhá platba, že já asi těžko přinutím PayPal, aby do procesu platby implementoval odeslání zprávy finanční správě a přijetí FIK, atd. atd. Měli portál, kam mohl člověk vkládat dotazy - takže já jsem v polovině října 2016 vložil dotaz - a odpověď mi prosím pěkně přišla na konci února 2017, přičemž od 1. 3. startovala další vlna. Skandál! A tohle si platíme, že...

Pokud jde o GDPR, tak vážně nechápu, proč bych měl anonymizovat nebo šifrovat jména a adresy svých zákazníků, která vidím jen já sám (plus moje účetní), když jsem na druhou stranu nucen tisknout své RODNÉ ČÍSLO, tedy osobní údaj z nejcitlivějších, na každou hloupou účtenku!!! Když o sobě jakožto majitel IČ najdu na internetu veškeré kontaktní údaje včetně fotografie domu, ve kterém bydlím (a zároveň podnikám) a včetně ročního obratu já nevím kolik let zpátky!!! Údajně zcela legálně! Tak co tady jako chceme chránit?!?

Chápu vaše rozhořčení. Vím, že podnikat není legrace. Na druhou stranu je nutné uvést, že podnikání není jen pouhý výkon práce. To si bohužel mnozí začínající podnikatelé neuvědomují.

Mnoho problémů vzniká z neiformovanosti. Uvádíte: "vážně nechápu, proč bych měl anonymizovat nebo šifrovat jména a adresy svých zákazníků". Já to také nechápu, neboť to nic nepožaduje. Je to nejen zbytečné, ale i nesmyslné. GDPR nic takového nepožaduje. Jak již jsem mnohokrát zmínil, způsob ochrany si stanovujete sám.

Problém RČ u podnikatelů je kapitola sama pro sebe. Osobně nevěřím, že bude v nějaké dohledné době vyřešena.

Souhlasím s Vámi, celkem nechápu v čem mě chce EU ochraňovat. Jsem OSVČ a plátce DPH. Dle registrů si každý najde moje rodné číslo a číslo mého účtu, které jsem byla povinna zveřejnit včetně mé adresy a mapky, kde sídlím. Tyto údaje spravuje stát, OSSZ a VZP. Pokud si objednávám internetem např. knihy,
tak kromě adresy, která je veřejně dostupná nic jiného neuvádím-nepotřebuji aby mě chránil stát u objednávek zboží, by stačilo kdyby DIČ nebylo rodné číslo, které si mám chránit jak mi radí stát. A chránit by je měly např. zdravotní pojišťovna a firmy, které k registraci požadují např. datum nar. jako třeba FCB. A když je ŽL přes 2 mil., i když píší, že cca 1 mil. je neaktivních-z toho bude většina plátců DPH(soudím dle 25 let praxe a skladby klientů) to se nám to válí nechráněných rodných čísel na webu a nelze se proti tomu nijak bránit.
A názory jako že si živnostník sám napíše smlouvu pro účetní-když bude mít účetní od 10 pravidelných zákazníků 10 smluv s různými pravidly? A ještě ti co chodí 1x za rok, podnikají při práci a má třeba 3 faktury a 1 zaměstnance na dohodu(také při práci), ten si bude vymýšlet svá další pravidla. Takže když děláme cca 50 přiznání tak 50 různých smluv dle jednotlivých požadavků správců-na to museli určitě v EU dlouho studovat. A co se týká cen za služby - ono je rozdíl v Praze a v např. Ústeckém kraji

Rodné číslo v DIČ je opravdu průšvih. Domnívám se však, bohužel, že řešení tohoto problému nepomůže ani GDPR. Pokud se budu mýlit, budu jen rád. Avšak mé zkušenosti z jiné oblasti, kde stát také není zcela v souladu s evropským postojem, mne nutí ke skeptickému postoji.

GDPR nebude řešit jen ochranu osobních údajů, když si objednáte knihu, ale i vámi požadovanou ochranu u zdravotní pojišťovny apod.

Co se týče smluv s účetními, je nutné na to nahlížet z pohledu, že Nařízení je právní předpis a právní předpis se neřídí logickými a praktickými postupy, ale právními zásadami. Je nutné si uvědomit, že právní vztah je mezi subjektem údajů (fyzická osoba) a správcem údajů (zaměstnavatel), nikoliv mezi subjektem údajů a zpracovatelem údajů (externí účetní). Proto odpovědnost za zajištění ochrany osobních údajů vůči subjektů údajů nemůže mít zpracovatel, ale správce. Z tohoto důvodu musí být za zajištění ochrany osobních údajů u zpracovatele odpovědný správce, a proto správce musí být tím, kdo stanovuje požadavky na jejich ochranu a kdo u zpracovatele kontroluje jejich dodržování. Sám se osobně domnívám, že v praxi to bude fungovat tak, že účetní bude mít zpracován jeden papír, který dá každému správci podepsat a hotovo. To však je zcela chybný postup odporující nejen smyslu práva, ale i smyslu ochrany osobních údajů. Díky tomu se pak GDPR v této části stane formálním a do jisté míry přestane plnit svou funkci.

Tedy jestli jste přesvědčen, že tohle bude nějaký zedník, elektrikář, instalatér...scho­pen a ochoten řešit tak asi žijete v nějakém jiném vesmíru. Pokud je za to začne někdo buzerovat a pokutovat může to pro mnohé být ta poslední kapka po které se přesunou na pracák a do šedé zóny. Rozhodně to ale ve všech opět posílí oprávněný pocit, že tento stát a EU je jejich největší nepřítel.

Konečně rozumná reakce!!! Celá diskuse se rozvinula kolem příkladu řemeslníků zaměstnávajících zaměstnance. Řemeslník, který zaměstnává zaměstnance, již není jen řemeslníkem, ale též zaměsntavatelem a z tohoto důvodu musí plnit celou řadu povinností, a to nejen, co se týče ochrany osobních údajů. On prakticky přestává být řemeslníkem. Na to mu zbývá jen málo času.

Vrátím-li se k vašemu příspěvku, zda zedník, elektrikář, instalatér, tedy OSVČ bez zaměstnanců, bude schopen a ochoten řešit smlouvu, je nutné si nejprve odpovědět na otázku: A bude to potřebovat řešit? Já se domnívám, že nikoliv? Neboť s jakými osobními údaji a za jakým účelem s nimi nakládá? Nelze vyloučit, že v některých případech ano, ale domnívám se, že to bude minimálně.

Jediné riziko, které zde vidím je nakládání s dokumenty. Řemeslníci obecně nemají k tomu příliš vstřícný vztah a může se stát, že někde zapomenou, ztratí, vyhodí apod. dokument obsahující osobní údaje (fakturu soukromé osobě). Pak může vzniknout problém.

Prosím vás, nestrašme se pokutami. Není to tak hrozné, jak se píše. Ono se záměrně o nich píše jen část pravdy, a to ta nejhorší.

Prosím vás, nestrašme se pokutami. Není to tak hrozné, jak se píše.

Jednal jste někdy s "odborníky" z ÚOOÚ? Asi ne, že... Ono totiž od úřadu, kde místo inspektorů je přeplacenou trafikou pro zkrachovalé politiky a jejich kamarády, nic dobrého očekávat nelze. Naopak se jedná o jeden z nejškodlivějších úřadů v této zemi. Počínaje "přínosem" v oblasti likvidace transparentnosti komunální politiky a konče například takovými perlami, jako je pokutování okradených za zásah do soukromí zlodějů kradoucích za bílého dne před kamerou.

Promiňte, ale vy jste snad cvok! Zaměstnavatel je povinen uchovat doklad o délce zaměstnání zaměstnance 20 let. Účetní uzávěrka a výroční zpráva 10 let. Takhle vám to řeknou na sociální správě - říká se tomu poučení a dostane ho každý zaměstnavatel. Mám si snad na ty dokumenty pořídit trezor, protože uchování v šanonu není dost COOL?
Faktura soukromé osobě = zákazníkovi. To je super - zákazník fakturu vyhodí do smetí a já se z toho mám zodpovídat - protože tu danou fakturu nemusí vyhodit ten řemeslník - navíc ten ji asi těžko vyhodí, když ji musí mít v účetnictví. Asi chápu, proč už nepodnikáte...

Kdo vám řekl, že uchování v šanonu není dost COOL? Kdo vám řekl, že se budete zodpovídat za to, že zákazník vyhodí fakturu do smetí? To jsou nesmysli. Vaší povinností je uchovávat dokumentu obsahující osobní údaje po nutnou dobu a po tu dobu zajišťovat jejich ochranu. A je na vás jakým způsobem to neplníte. Stanovení skartační lhůty je jedním z dalších problémů souvisejících s GDPR. Neboť některé subjekty mají nastavenu lhůty příliš dlouhou, čímž může vzniknout problém. Myslím si však, že živnostníků se to netýká.

Pokud je živnostník zaměstnavatelem, tak se ho to asi týká. Právnické mluvě nerozumím, takže k omylu dojde snadno. Když se chyby dopustí tvůrce zákona, nějak se to vysvětlí - když se chyby dopustí ten, kdo zákon nepochopí - platí pokutu. Jednoznačné formulace nejsou předností zákonů - kdyby to tak bylo, právníci by zdechli hlady.

Tím, že se to živnostníků netýká bylo myšleno nastavení dlouhých skartačních lhůt. Živnostníci většinou nemají zpracován skartační řád.

S tím placením pokut je to diskutabilní. Nicméně jste to nakousl. Takže vrátím-li se k GDPR, tak je pravdou, že budou moci být uloženy, jak Nařízení uvádí, podle okolností každého případu. Sankce, tedy nejen pokuty, mají mít především preventivní, odstrašující a donucující účinek, nikoliv likvidační.

Nařízení nepožaduje, že v případě zjištění musí být pokuta uložena. Při rozhodování zda správní pokutu uložit či nikoliv a případně v jaké výši bude zohledňována například povaha, závažnost, délka porušení s přihlédnutím k povaze, rozsahu a účelu zpracování, jakož i k počtu dotčených subjektů údajů a jejich kategorie. Též bude brán zřetel na to, zda se jednalo o úmysl nebo nedbalost, na kroky podniknuté správcem ke zmírnění škod, předchozí porušení správce atd.

Stanovená pokuta do výše 20 000 000 EUR nebo do 4 % celosvětového obratu za předchozí finanční rok (podle toho, která hodnota je vyšší) se vztahuje pouze na závažnější porušení (porušení práv subjektu údajů, předávání osobních údajů atd.). Pro ta méně závažná (nenahlášení nebo neoznámení případu porušení zabezpečení osobních údajů atd.) jsou stanoveny poloviční hodnoty.

V souvislosti s výší pokut je nutné si uvědomit dva aspekty, a to že pokuta má být odstrašující i pro největší společnosti světa (proto tak vysoké částky), a že se budou ukládat podle okolností každého jednotlivého případu.

Takže zestručněno a přeloženo do srozumitelného jazyka - stačí jeden blb na úřadě, který se rozhodne k výkladu zákona striktně podle jeho znění a můžeme se těšit na problémy.
Kde je tedy uvedena ta výjimka, která odlišuje živnostníka - zaměstnavatele od jiných druhů zaměstnavatelů? Není snad zaměstnavatel jako zaměstnavatel? Nemají snad všichni zaměstnavatelé stejné povinnosti?

Všichni zaměstnavatelé opravdu nemají stejné povinnosti. Jak již jsem uvedl, jedná se o povinosti v oblasti spisové služby. Ta je řešena zákonem o archivnictví a spisové službě. Ten definuje na koho se které povinnosti vztahují. Mimo jiné z něj vyplývá, že životnostník nemusí mít zpracován skartační řád, tedy stanoveny skartační lhůty pro jednotlivé dokumenty, o kterých jsem psal. Proto předpokládám, že problém stanovení příliš dlouhých skartačních lhůt v souvislosti s plněním požadavků GDPR se živnostníků netýká (problémem může být například u státních organizací).

Ještě doplňuji, že přímo GDPR nestanovuje pro všechny zaměstnavatele stejné povinnosti. Záznamy o činnosti zpracování nemusí mít zaměstnavatelé, kteří mají méně než 250 zaměstnanců (z této úlevy jsou výjimky). Opravdu neznamená, že když je někdo zaměstnavatelem, že má stejné povinnosti jako jiný zaměstnavatel.

Dobry den, pane Neugebauere,

Vam pokuta do výše 20 000 000 EUR nebo do 4 % celosvětového obratu za předchozí finanční rok (podle toho, která hodnota je vyšší) pripada v pohode? Vyssi bude pro vetsinu lidi tech 20 mil EUR. Vzdyt tim muzete cloveka naprosto zlikvidovat. Nebo mate pocit, ze je to pokuta zaplatitelna?
Co kdyz se nebudete libit nejakemu urednikovi? Zaplatite v podstate zivotem. Jestli jsem tu pokutu nepochopila, budu moc rada :)

Tady je snad anonym každý, tak se do nikoho nanavážejte. A k vaší důvěře, že podepsaný papír může něco zaručit, není co dodat.

To je jednoduché - zaplatíš si 2-3 školení, pak zjistíš, že to stejně nepochopíš, tak zaplatíš pár desítek tisíc právníkovi za kupu zbytečných papírů, no a pak tě někdo práskne, přijde odborník na ochranu osobních údajů, například zkrachovalý veterinář, ten ti řekne, že ty i právník jste blbci, všechno je špatně a napaří ti pár desítek tisíc korun flastr. No, a pak zrušíš živnost.

No to jsou vyhlídky...

Přesně, jak píšu výše - spousta lidí, kteří se k ničemu nehodí, musí z něčeho žít - tak školí...za těžké prachy. Ne nadarmo se říká - kdo neumí, učí :D

V žádném případě se nenechte strašit lidmi, kteří o problému nic nevědí a snaží se sobě dokázat, že oni to ví nejlépe. GDPR není až tak velký problém, za jaký je vydáván. Pokusím se na vaše dotazy najít odpovědi, a to takovým způsobem, aby jste to pochopil.

Na úvod objasnění některých pojmů. Je opravdu pravdou, že nemůžete být zároveň správcem osobních údajů a jejich zpracovatelem. Pokud spravujete, tedy nějakým způsobem nakládáte, s něčími osobními údajů, které jste jako OSVČ od lidí za nějakým účelem získal, jste správcem údajů. Pokud získané osobní údaje za nějakým účelem zpracování předáte jiné firmě, ta je zpracuje podle vašich pokynů a výsledek zpracování vám předá, tak ta firma je zpracovatelem. Tedy zpracovatelem je jiná firma, která podle vašich pokynů nakládá s osobními údaji. A s ní musíte uzavřít smlouvu o ochraně osobních údajů.

Ochran osobních údajů se týká fyzických osob. Netýká se tedy údajů o agentůře.

Co se týče e-mailových adres zaměstnanců agentury a firemních telefonních čísel, která máte spojena s konkrétními fyzickými osobami, tak se jedná o osobní údaje. Též jméno, příjmení, adresa a e-mailová adresa fyzických osob, kterým prodáváte jistý produkt jsou osobní údaje. Platí to i o číslech účtu atd. Vzhledem k tomu, že všechny tyto údaje potřebujete k plnění smlouvy nebo pro přijetí opatření před uzavřením smlouvy, nepotřebujete k nakládání s těmito osobními údaji souhlas. Využívat je však smíte je k účelům pro naplnění uzavřeného smluvního ujednání nebo pro uzavření smlouvy. Pro použití e-mailových adres k marketingovým účelům již potřebujete souhlas (doporučuji jej k tomu účelu si vyžádat již při poskytnutí adres).

Máte zcela pravdu, že jedním ze způsobů ochrany osobních údajů je, aby se s nimi seznamoval pouze nutný počet osob. Co se týče listinných dokumentů stačí, že je máte uzamčené v nějakém prostoru, do kterého má přístup omezený okruh lidí. Co se týče ztráty dat obsahujících osobní údaje, tak máte mít jejich zálohu, aby bylo možné je obnovit v aktuální podobě.

Tolik jen ve stručnosti k vašim dotazům. Ještě jednou uvádím, že není nutné si z toho dělat těžkou hlavu. Spíše se chce zamyslet nad tím, kde a jakým způsobem nakládáte s osobními údaji a zda je jejich uložení bezpečné.

Někde nahoře jste se povýšeně navezl do jednoho diskutéra a nazval ho hulvátem - já vám něco doporučím - přečtěte si po sobě to, co jste tady napsal a opravte si gramatické chyby - když už se chcete prezentovat jako někdo kdo má nárok se vyvyšovat, musíte na to taky nejdřív mít...o faktické stránce vašeho příspěvku nediskutuji - nemám dost informací.

Aha, takže kdo do veřejné diskuse napíše, cituji "k vytření prdele", není u vás hulvát.

Jestli za povyšování se považujete chovat se slušně, tak ano v tom případě se a dokonce rád povyšuji, neboť s hulváty nechci být v jedné úrovni.

Takže v mém případě je zpracovatelem asi opravdu jen ta účetní, s tou tedy budu muset cosi podepsat, abych mohl doložit, že jsme tu věc řešili a ošetřili.

Od osob, jejichž e-mailové adresy uchovávám kvůli možnému marketingovému použití, si tedy zpětně vyžádám souhlas, u nově získaných kontaktů budu ten souhlas žádat předem. Ten souhlas budu formulovat konkrétně - že se jedná o údaje určené k marketingovému využití, tj. že na danou e-mailovou adresu mohu sem tam poslat propagační e-mail. A že mohou jeho odebírání kdykoliv zrušit, a tím se vymazat z mého seznamu.

Papíry i data budu doma = na svém pracovišti uchovávat i nadále tak, abych minimalizoval riziko jejich úniku (omezím jejich množství, vymažu vše, co už skladovat nemusím, data uložím na jedno místo v počítači, do zamknuté složky, papíry skartuji nebo spálím).

Tyto body ještě rozvinu, zkonkretizuji a zachytím písemně, podepíšu - a mám tedy hotovo? Musím ten podepsaný dokument někde vystavovat nebo někam posílat/předá­vat/přikládat?

Dokument nemusíte nijak zveřejńovat nebo někam posílát.

Jen bych doplnil, že souhlas musí být dobrovolný (nelze na něj vázat prodej zboží apod.), odlišený od jiného textu, doložitelný a odvolatelný.

Na vás je pak jen drobnost - zformulovat neprůstřelný postup, co ten zpracovatel (účetní) může s každým údajem činit a prověřit si, že na to má technické a organizační zázemí. To je vaše zodpovědnost.

Hlavně si dej pozor, aby ten souhlas byl vrstevnatý!!! :-P

"Od osob, jejichž e-mailové adresy uchovávám kvůli možnému marketingovému použití, si tedy zpětně vyžádám souhlas, u nově získaných kontaktů budu ten souhlas žádat předem."

Ještě doplním k tomuto, protže kolega Neugebauer neupřesnil/nez­důraznil jeden podle mě podstatný detail. Pokud se jedná o marketing přímý nepotřebujete souhlasy a můžete jej realizovat na oprávněný zájem (viz recitál 47.). Přímý marketing je rozesílání oznámení o obdobných produktech (které již v minulosti nakoupili) stávajícím (nedávným) zákazníkům.

K souhlasu je navíc důležité zdůraznit, že má určité náležitosti (dle GDPR), a že Vám jej subjekt nemusí vůbec udělit (nesmí být povinný). A navíc jej může kdykoliv odvolat. V zásadě souhlas je poslední cesta k legalizaci zpracování, a to především takových, které mohou obtěžovat nebo jinak poškozovat subjkety údajů (viz např. ostatní formy marketingu).

Děkuji za doplnění. Máte samozřejmě pravdu. Ono je toho mnoho a takhle v diskusi pod článkem není jednoduché vše uhlídat. Může se například jednat o nabídku nové vylepšené verze zákazníkem již zakoupeného produktu.

Též máte pravdu, co se týká souhlasu. Doplnil bych ještě, že nemá být použit v těch případech, kdy to není nutné, neboť tím je subjekt údajů (fyzická osoba, ke které se údaje vztahují) uváděn v omyl, že může nakládání s údaji zamítnout, tedy neudělit souhlas nebo jej odvolat. Jedná se například o nakládání s osobními údaji zaměstnanců v rámci personální agendy (v právními předpisy stanoveném rozsahu a účelu nakládání).