Názory k článku GDPR: Nový strašák pro firmy. Nařízení shrnuje právník

Prostudujte si Kybernetický zákon resp. jeho prováděcí vyhlášky, vynásobte 5x a tím si uděláte velice hrubou představu co GDPR obnáší :-)

Budu vycházet z toho, že si nějaké e-shopové řešení pronajímáte. Začněte lehce bombardovat svého dodavatele e-shopového řešení, co k GDPR má, jen ať se snaží. Tím bych začal. :-)

Především by si měl ujasnit, jaké osobní údaje zpracovává, jakým způsobem a k jakému účelu to dělá.

Moc pěkné shrnutí.

jak je to vše zde popsané v článku, tak pokud tomu tak opravdu je, že není nic přesně uvedeno v nařízení, tak není důvod obav z pokut, protože kde není něcio přesně uvedeno, jak se má co dělat, tak není možno pokutovat za porušení či nesplnění nařízení či zákona, který je nepřesný a neurčitý. každý právník jakoukoliv pokutu smete hladce ze stolu a soud neuzná takovou pokutu laicky řečeno pro neurčitost či pseudonázorovou fikci udělitele pokuty, protože není dáno přesně co se má jak dělat a kdo , jak to je vidět tedy je to vše sepsáno a uvedeno v praxi jen jako snaha někoho chtít zlikvidovat pokutou za neplnění pseudozákona či pseudonařízení EU, které jasně neříká, co se má a musí dělat a má v sobě díry jako z ementálu nebo v análu, kde to taky vše skončí, až se začnou řešit pseudopokuty..

To máte sice pravdu, ale já v té neurčitosti vidím jeden velký průser... A tím jsou metodické pokyny které budou velmi rychle měnit podle toho jak se ouřada vyspí a jak mu vrchnost přidá peníze

No nechci Vás mentorovat, spíš vyvést z omylu, ale tato vize se již mnoho let v právu neuznává. To že není něco jasně stanoveno v zákoně neznamená, že nemůže být sankcionizováno!!!! Může a děje se. tzv. ZAMĚSTNAVATELI PORAĎ SI JAK UMÍŠ. Soud přihlíží pak k tomu, jestli bylo dosaženo maximální snahy k provedení opatření a dodržení zákona v daném znění a soudy pak rozhodnou o směru a dostatečnosti provádění. Zářným příkladem je toho u nás Zákoník práce vydaný 2006 a dodnes neexistuje jediná prováděcí vyhláška, která by určovala/konkre­tizovala nejasné paragrafy. A při provádění v praxi se dnes již dá opřít právě o judikáty. To znamená, že naopak, dokud neproběhnou soudní pře, bude zde nejasné prostředí sice panovat, ale bez pardonu kontrolovat a sankcionizovat. Na počátku možná s trošku přivřenýma očima, ale bude!!! Pan doktor to sám píše v článku, že stanoviska budou přijata na základě soudních kauz.

a ted jaka je realita (z hlediska "chranenych" uzivatelu):
- zakony jsou nejednoznacne, spousta dir, spousta 'napriklad'
- nase urady co se timhle zabyvaji nemaji poneti o realnem vykladu, neumeji poradit, treba neurcite se odvolaji na neurcitou cast zakona, nepriznaji Vam ani kousek naroku na soukromi
- fakticky si zejmena zahranicni spolecnosti delaji co chteji, nechavaji si vsechna data po "smazani" uctu, spory s nima jsou krute. Cesti poskytovatele vyhovi. Ale zas, kdo zaruci kde data konci? V budoucnu u hackeru, a taky u vlad
Vysledek je, ze nejlepsi je si nezakladat internetove ucty, udelat si PO Box, pouzivat docasne email adresy. Jo chtelo by to jeste prejit na hotovost, ale to je moc. Psani co nejvic fiktivnich dat do uzivatelskych profilu je samozrejmost.
"Je tak snadne a rychle si zalozit nejaky ucet, ale tak tezke jej zrusit"

Budu citovat z GDPR nařízení. Článek 30 odst.5 záznam o činnostech zpracování:

Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.

Další skutečností je, že 99,9% společností je o velikosti do 250 osob.

Proboha uvědomte si, že GDPR se vytahuje na všechny společnosti ať má 2 zaměstnance nebo jich je 100. Ty komplikované zvláštnosti se týkají státní správy, velkých organizací, a u malých organizací těch co chtějí za každou cenu sbírat údaje, které nepotřebují, nebo mají specifický obor podnikání.

Ještě doplním stanovisko Belgického úřadu.
https://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_06_2017_0.pdf

(it being noted that, according to the Privacy Commission, general customers, suppliers and HR management data processing activities are considered ‘not occasional’),

Tedy, že běžné zpracování údajů zákazníků, zaměstnanců, dodavatelů atp. je považováno za příležitostné zpracování.

Bude centrální EU dozorový úřad, kde bude zástupce z každého národního ÚOOÚ, takže ostatní to těm našim vysvětlí.... :-)

To belgické stanovisko definuje příležitostné zpracováí tak, že tam naopak většina SME spadá: Ne sont par exemple pas des traitements occasionnels, les traitements de données liés à la gestion de la clientèle, à la gestion du personnel (ressources humaines) ou encore à la gestion des fournisseurs.

Musíte si to přečíst ještě jednou je tam obrácená logika v textu. Něco jako v němčině kdy je zápor na konci, tady ale vycházející z komplikovaného slovního spojení "zpracování není příležitostné", kde následně vysvětlení "není příležitostné" je složité.

Lidsky v GDPR se říká, že něco neplatí pro společnosti do 250 osob. Základní operativou všech společností je Nákup, Prodej, Zaměstnanci. Tedy základní zpracování osobních údajů min. v těchto oblastech jest z podstaty příležitostné. ( Stále mám na paměti, že zákony se mnohdy příčí základní logice).

Dále se tedy můžeme například opozitem slova příležitostní v rámci terminologie GDPR nařízení, tady by se mohlo nabízet systematické....Kde pro takovéto zpracování jsou přísnější pravidla.

To, co píšete je pravda, ale to se týká pouze toho, že podnik, který má méně než 250 zaměstnanců nemusí vést záznamy o zpracování osobních údajů. Vše ostatní ohledně GDPR zůstává samozřejmě v platnosti.

Prosím nepleťte si záznamy o zpracování s GDPR jako takovým. Záznam o zpracování je prostě jen jednou z věcí, které obsahuje GDPR.

Ano, máte pravdu. Každý musí chránit údaje bez ohledu na velikost. Jen malé a střední podniky mají úlevu v byrokracii. ( pokud tedy na ně neplatí jiná přísnější podmínka). To co má každý dělat je v principu jednoduché a zejména to popisuje článek 25. Samotná jádro pro samostatné malé společnosti bez specialit se dá říct, že končí článkem 34. (Dávám bokem rizikové zpracování a další speciality). Musíme si prostě uvědomit, že malá firma si musí dát pozor, aby zejména zpracovávala jen to co nezbytně potřebuje a nevymýšlela jak získávat údaje co nepotřebuje. Pak si totiž jen komplikuje situaci. Vyjdeme-li ze skutečnosti, že GDPR neřeší formu uložení, je pro uvažování vhodné vyjít z příkladu papírové dokumentace. Tu prostě nesmím nechat válet se volně přístupnou a musím zajistit k ní přístup jen povolaným osobám a po skončení skartačních lhůt ji bezpečně zlikvidovat. Zabezpečení, tedy mnohdy bude zámek a na konci skartovačka. U digitální formy (IT) musím zajistit obdobné, tj. aby se to chovalo obdobně. Což u IT v závislosti na rozsahu může být složité. Prosím, berte to jako max. zjednodušené přirovnání. To kolem, čeho se vedou diskuze je co jsou osobní data (mnohdy si to neuvědomujeme, neboť je to i závislé na situaci.) Další otázkou bude správné vyhodnocení oprávněného zajmu. Jedním z dalších problémů bude zajistit soulad dat mezi papírovou dokumentací a el. formou. Toto se bude týkat většiny subjektů. Vyšší dívčí bude v rámci DPO, ale to řeší stát a pak ti co se rozhodli postavit svůj obchodní model na práci s osobními daty, případně jsou dost velký na to aby se tím zabývalo celé jedno oddělení. Jako jsou mob. operátoři, ČEZ atp. U běžného živnostníka a malé firmy, bych doporučil aby si GDPR přečetli. Možná vyjde i knížka GDPR pro malé a střední podnikatele, která se bude fokusovat jen na ně, a ne řešit GDPR globálně, což je pro ně matoucí. Zákon o dani z příjmu je také rozsáhlý a každý podnikatel si z toho umí vybrat jen ty paragrafy, které se ho týkají. Pokud jsem opravář něčeho, tak asi nemusím řešit oblast spotřebních daní.

Krásná rada !!!! Četla jsem několik článků. Ví bůh, že jsem nerozuměla skoro ničemu. Co slovo, to nějaký mně naprosto neznámý termín. Takže přečíst si zákon, vyhlášku týkající se GDPR je z mého hlediska ztráta času. Nejsem úplně blbá, ale když jsem četla ty články, připadala jsem si, že mám IQ "houpací židle". Vůbec tomu nerozumím, neumím si pod tím nic představit. Příručka pro malé živnostníky by byla skvělá, ale jen tehdy, bude-li napsaná "česky".

Dobrý den, reaguji na "příručka pro malé živnostníky by byla skvělá" - pořádali jsme praktický seminář pro montážní a servisní firmy na veletrhu Aquatherm (opakujeme 4.4. v Praze) a byla jsem hodně mile překvapená, jak byly účastníci nadšeni z praktických rad udělejte za prvé, za druhé za třetí.. Podstatou je, že tam jsou dva lidi (jeden na ochranu údajů a druhý IT), kteří mluví lidskou řečí :) Nyní pořádáme i pro projektanty (tj. hodící se pro všechny malé firmy takové ty kancelářské profese) 18.4 Praha, 19.4. Brno. Jsou ještě místa.
Omlouvám se administrátorovi, vím, že komerční nabídky sem nepatří, proto nedávám odkaz, ale není to náš byznys, začalo to tím, že jsme si pomohli sobě, pár kolegům a když čtu tuto diskusi, třeba by se hodilo i někomu dalšímu. Když legislativa na nás tuto past nachystala, třeba někdo praktické rady ocení.

Lidé u pro rostoucí adm. zátěž a sankce nechtějí podnikat a tohle je další hřebíček do rakve živnostníkům a drobným podnikatelům.­..Tohle je už opravdu na revoluci,.....celé GDPR je jen dalším důkazem zbytečnosti celé EU v této byrokraticko-totalitní formaci .....

Vetsina z nas zatim vi prdlacku jak to nakonec bude vypadat. Ale verte mi, ze tahle opatreni do budoucna budou potreba. Svet kybernetiky a umele inteligence nas pomalu valcuje a my nevime, jak se prizpusobit a reagovat. Me uz ted desi fakt, ze me zene se zobrazuji reklamy na to, co jsem ji hledal jako darek na svem telefonu. A lido vubec mezajima, co se deje s jejich os. daty. Svet a spolecnost ve ktere zijeme uz davno neni tak jednoducha. Big Brother o nas vi vse. Vim, ze bychom chteli podnikat bez potizi, ale to nejsou ty dulezite problemy. Za par let mozna si mozna uz neskrtneme vubec... Nadavat na EU je otrepane klise. Nadavame jen na to co nam nevoni ale co dobreho nam EU prinesla bereme jako samozrejmost.

Obávám se, že celá logika je, že není příležitostné je veškerá běžná agenda typu HR, klientská db apod. Dále se v belgickém textu doporučuje záznamy o činnostech zpracování u 99 procent správců...A není to v němčině, ale ve francouzštině a je to celkem jasné. Dává to i smysl, protože výjimka je rozsahem malá. Jedná se o formulář, který vyplnit je jednoduché dokladování.

Pak se dostáváme dedukcí k tvrzení, že kdokoliv kdo má zaměstnance (HR Data) a to je každý zaměstnavatel min. v pozici správce ( může využívat pro zajištění agendy zpracovatele) nemůže využít tuto úlevu, která je zaměřena i dle příslušného recitálu na malé a střední podniky dle EU směrnice. Pak by toto ustanovení bylo zbytečné z podstaty věci. Protože ten, kdo ty data nemá by do záznamů o zpracování napsal žádné údaje nezpracovávám a měl by splněno. Důležité je vnímat tu větu, kde "není příležitostné" je terminus technikus a ne dvě slova. Pak to získává opačný význam.

Ještě k pojmům doporučení a povinnost.
Doporučení není povinné, samozřejmě jakékoliv větší organizaci zejména blížící se rozhodné hranici bych i já doporučil vést záznamy o zpracování min. interně jako příprava na situaci, kdy dosažením hranice nastane povinnost tyto záznamy vést.
Stejně tak u firem, jenž jsou větší nad 250 osob a nemají povinnost DPO, neformálně DPO zřídit, protože jinak je složité udržet pořádek.

Děkuji za vaše osvětlení. Pro větší míru jistoty jsem ohledně not occasional poslal dotaz na belgický dozorový úřad. Doufám, že odpovědí lidským a nikoliv dřevitým jazykem...tak jak to GDPR chce)

Ono to objasňování a jejich vyjadřování (úřadů) dokáže zamotat hlavu. Ale pokud Vám odepíší a potvrdí jeden nebo druhý jazykový výklad určitě se tady podělte.

Belgičani mlčí. Nicméně není příležitostné je dle Igora Němce není nahodilé a to znamená vést záznamy. Takže SME a i OSVC si ten excel jednou za čas uělají...

Jak jinak....zase z řady dalších buzerací.....

Je čas podat stiznost k EU na nakladani s rodnym cislem ze strany MF na uctenkach. Podle me je to v rozporu.

Tak jako nás v minulosti nutili do naprosté zhovadilosti jakou je ISO ve všech jeho podobách, které sloužilo vždy a jen pouze pro tahání peněz z kapes podnikatelů tak i nyní se již obdobné firmy nemohou dočkat až nás budou zásobovat tisícemi popsaných stránek papíru opět sloulžíích jen k tomu aby řady úředníků měli opodstatnění ke své existenci.

citím, se jako trubka a vůbec tomu nerozumím :-(. Přečetla jsem toho již hodně a nenašla odpověď na to, co je pro mně jako externí účetní důležité, co musím či nemusím udělat :-(. Můžete mě někdo trknout nebo nasměrovat? díky

Řešíte GDPR a cookies? U nás v Pixmanu jsme vyvinuli knihovnu gdpr4free, která cookies a GDPR efektivně vyřeší.
Knihovna vám pomůže blokovat trackovací služby třetích stran do doby, než návštěvník aktivně vyjádří souhlas s cookies v rámci consent panelu. Teprve poté monitorované služby odblokuje. Jednoduché, efektní a zadarmo. Vyhněte se pokutě až 20mil EUR v pár krocích. Více informací na: http://www.gdpr4free.com/