Názory k článku Nejasnosti kolem výjimky z GDPR pro malé firmy. Nakonec ji využije jen málokdo

Jsem OSVČ, pracuji sama bez zaměstnanců,
z "osobních údajů klientů" eviduji pouze jméno, příjmení, telefonní číslo, v ojedinělých případech e-mailovou adresu (pokud došlo k objednání termínu služby prostřednictvím e-mailu) - evidence pouze v počítači (e-mail. adresa), jméno a tel. číslo v telefonu - evidence nutná z provozních důvodů (ověření, příp. změna termínu ošetření, apod.),
několika školám fakturuji službu pro jejich pracovníky (mám k dispozici IČO organizace)
MÁ TO VŮBEC NĚCO SPOLEČNÉHO S OCHRANOU OSOBNÍCH ÚDAJŮ
NIKDO NENÍ SCHOPEN MI VYSVĚTLIT, ZDA POSTAČÍ písemný souhlas klienta s tím, že mám jeho číslo, příp. i e-mail. adresu uloženu pouze k tomuto účelu.
ŽÁDNÉ OBCHODNÍ NABÍDKY ATD. NEROZESÍLÁM.
Císařová

Jen drobné doplnění, osobní údaje nezbytné k plnění smlouvy či poskytnutí služby nezískávám na základě souhlasu. Jejich další zpracování po skončení plnění smlouvy mohu uchovávat pokud jsou nezbytné i např. z důvodu oprávněného zájmu (reklamace, soudní spor atp.)

Jsem OSVČ, zaměstnanců 0, adresář jen zákazníků , pro fakturační údaje.
Vysvětluji si to správně :
Záznamy o činnostech zpracování musí obsahovat tyto informace:
a) jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;
........ Jsem to já , nebo ten co chce peníze za nic?

b) účely zpracování; ....... fakturační údaje

c) popis kategorií subjektů údajů a kategorií osobních údajů; .............­............ zákazník. Jméno adresa telefon.

d) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích; .............­.......nikomu,­... co to je za kategorii?
Proč to je ochrana osobních údajů , když se počítá s tím že je prodám každému kdo půjde okolo!!

e) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk;
.....Už se opět počítá z vyzrazením osobních údajů. Nikomu do toho nic není, kdo je mým zákazníkem.

f) je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů; .......... určuje přeci FÚ , jak dlouho mám uschovat faktury s adresou odběratele.

g) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.

.........Obecný popis? Faktury ve skříni, adresář v počítači s účetním programem. Technické zabezpečení? Skříň zamčená, počítač pod heslem. Organizační opatření? nikomu o tom neřeknu, slibuji. Složil jsem bobříka mlčení u Skautů. Stačí?

Nemusite vest zadne zaznamy o zpracovani OU. Jste spolecnost do 250 zamestnancu a nezivite se zpracovanim osobnich udaju a ani zadne osobni udaje nezpracovavate ci nezpracovavate udaje zvlastni kategorie.

Mám dojem, že výklad pojmu "zpracování není příležitostné" již jeden úřad vyložil na ochranu osobních údajů vyložil.

A určitě to není tak, jak se vykládá, že zpracování mezd je systematické zpracování OU a tedy i firma o 1 zaměstnanci tedy nesplňuje výjimku.

Prosím používejme selský rozum. Zjednodušeně pokud záměrně zpracovávám OU na základě své vůle systematicky, tak to není příležitostné zpracování. Mzdy a další návazné věci zpracovávám na základě smlouvy a daňových a jiných zákonů a pouze v rozsahu daném právními předpisy. Je to velmi a opravdu velmi zjednodušené, proto bude existovat x příkladů na, které to nebude platit. Avšak běžná firma opravdu nezpracovává osobní údaje mimo zákonné povinnosti. A pokud se o své vůli rozhodla vést zákaznický systém a profilovat zákazníky, pak již systematicky OU zpracovává a zpracování není příležitostné. OVM a prozatím nedefinovaný veřejný subjekt nechme stranou, ty mají povinnosti dané.

Proto pro malé firmy, nemá význam vést záznamy o zpracování, neboť by pouze deklarovala v uvozovkách jednou větou, že zpracovává údaje na základě zákonných předpisů a v jimi daném rozsahu. (stále budou firmy pro, které to neplatí, neboť se rozhodli buď podnikat v oblasti zpracování OU a nebo se z různých důvodů rozhodli další OU zpracovávat a mají k tomu souhlas.)

A nebo po Švejkovsku ať všichni napíšou, že zpracovávají údaje dle Mzdových, Daňových, účetních atp. předpisů v nezbytném rozsahu pro účely specifikované zákonem a uchovávají je po dobu danou zákonem a mají svojí povinnost splněnou, co se týče vedení záznamů.

Nutno si uvědomit, jednu základní podstatnou věc. Proč by výjimka byla do 250 zaměstnanců, když ji může čistě teoreticky splnit pouze společnost bez zaměstnanců (neboť nevede mzdovou a personální agendu)? I když logiku v zákonech nemáme hledat platí, že pokud se dostáváme do takto zamotané situace je potřeba jít za účelem. Účel je v recitálech popsán a zájmem zákonodárce bylo ulehčit společnostem do 250 zaměstnanců. Tedy snaha o Švejkovský max. restriktivní výklad ( výklad právníků, pro jistotu to raději udělejte) je iracionální a není v souladu s deklarovaným zájmem zákonodárce vyjádřeným v recitálu (13) "Aby byla zohledněna specifická situace mikropodniků a malých a středních podniků, obsahuje toto nařízení odchylku pro organizace s méně než 250 zaměstnanci týkající se uchovávání údajů. "

Nutno si povšimnou, že zákonodárce popisuje obecně většinu společností do 250 zaměstnanců.

Problematika opravdu není jednoduchá tak, jak vy ji vykládáte. Pominu-li fakt, že způsob vašeho výkladu je značně nestandardní, musím vás upozornit, že recitál je jakási důvodová zpráva, tedy právně nezávazná část. Lze tedy s ním argumentovat (nikoliv však způsobem jako vy), avšak nelze na něm budovat jednoznačné stanovisko. Nejsem si jist, zda k tomu pracovní skupina WP 29 již vydala své stanovisko, a proto se nevyjádřím, zda je to tak či jinak.

GDPR je hovadina jako "odškrtávání disclaimeru cookies" ... otravuje naprosto všechny, aniž by to reálnému úniku dat zabránilo. Největší úniky jsou těch, která tato data hromadí - tedy velké korporace a státy. Ti kteří s osobními údaji obchodují, s nimi budou obchodovat i nadále, jen se přizpůsobí. Avšak implementace bude velkou zátěží pro všechny - zvláště když panuje mnoho nejasností a v důsledku i absurdit (např. když si zajdete do copy centra s tím, že chcete ofotit svou vlastní lékařskou zprávu / smlouvu ... z hlediska GDPR by se musel mezi vámi a společností sepsat dokument kde dáváte souhlas s tím, že obsluha přijde do styku s těmito osobními údaji. A to nemluvím o tom, když to dotyčný navíc bude chtít naskenovat a přeposlat emailem

Tak ta "hovadina" se vyvíjí přes 20 let a je to způsob jakým se subjekty údajů můžou konečně bránit korporacím, které si jejich soukromí vesele "mažou na chleba". Jinak ten případ s copy centrem je samozřejmě nesmysl. I pokud by se to scanovalo a posílalo emailem tak to spadá pod titul "plnění smlouvy" a pokud to copy centrum vzápětí smaže tak je to naprosto cajk. Zákazník by měl jen dostat nějaké poučení v rámci práva na informace, podle mého soudu by stačilo aby bylo vyvěšené v provozovně a na internetové stránce provozovatele. Jinak mi to nepřijde jako buzerace, ale normální slušnost. To, že si někde nechám naskenovat lékařskou zprávu přece neznamená, že dotyčný má právo si ji trvale někde uložit.

Jasně GDPR je všespásné a odteď nebude již nikdy žádný únik a zneužití dat. A teď ještě tu o Karkulce.

ad copy centrum - samozřejmě nesmysl to rozhodně není, protože jsem byl u toho když se to řešilo. Nejde jen o to zda to uchovávají či neuchovávají, ale o to, že s tím přijdou do styku. Samozřejmě nelobuji za to, aby se podobné údaje ukládali bez souhlasu, nicméně způsob který se zde volí je ten nejhorší z možných.
ad "podle mého soudu by stačilo" ... právě že nestačilo, a tady je další point - není nic o co se právně opřít, protože vše je tak vágní a nejasné, že erár evidentně spoléhá na to, že se to "vyřeší za pochodu" podle výkladu soudů. Resp. na jednotlivé případy jsou zcela odlišné právní posudky.

Tak to, že to je všespásné a nebude žádný únik dat si samozřejmě nemyslím a ani jsem to nenapsal. A tímto způsobem naivní není ani GDPR viz. jeho významná část se týká povinnosti správců právě při úniku dat (viz např https://iapp.org/media/pdf/resource_center/WP29-Breach-notification_02-2018.pdf) Koneckonců všespásná není žádná právní norma. A GDPR pokrývá obrovský "oceán" různorodých činností a vždycky bude něco co není úplně black/white.

K tomu copy centru. Když pominu, že zaměstnanci, kteří nakládají s osobními údaji musí být proškolení o jednotlivých postupech, tom co můžou a nemůžou, bezpečnostních opatřeních (a měla by to být samozřejmost bez ohledu na GDPR) tak je zásadní určující faktor do jaké míry má obsluha povinnost zkoumat obsah toho co kopíruje ve vztahu k GDPR. Pokud platí, že vztah copy centrum k zákazníkovi je v vztahem zpracovatel/správce (a jinak tomu ani být nemůže, protože účel a prostředky zpracování stanoví zákazník/správce) tak má copy centrum povinnost především neprovádět nic mimo rámec zadání (např. si to někam dlouhodobě uložit, protože tím už by provádělo vlastní zpracování a přešlo do role správce), zabezpečit data proti úniku či nesprávné manipulaci (tj. v tomhle konkrétním případě je buď vůbec neukládat nebo co nejdříve vymazat) a v tomto smyslu proškolit obsluhu. To jestli kopíruje zdravotní zprávu (tedy zvláštní kategorii údajů) a s tím související právní titul je plně odpovědnost zákazníka (správce). Navíc tedy riziko negativních důsledků pro subjekt údajů při kopírování něčeho co má dotyčný zákazník stejně v ruce (a v kapse telefon kterým si to může vyfotit) se limitně blíží nule.

Zpracovatelská smlouva může být v tomhle případě vzhledem k jednoznačnosti a trivialitě zadání uzavřena ústně (GDPR ani NOZ formu nenařizuje a písemná forma a s ní spojená archivace by bylo další zpracování OU tentokrát v roli správce) s tím, že o tom jak zpracování při jednotlivých úkonech (kopírování, sken atd.) probíhá informovat viditelně v provozovně a na webovkách.

Vodítka přímo ke copy centrům sice nejsou (resp. nenašel jsem), ale je to zcela analogická služba s cloudovým úložištěm typu dropbox. Tam také poskytovatel dost dobře nemůže zjišťovat charakter ukládaných dat.

Jinak pokud existuje nějaký svaz copy center tak si můžou vypracovat kodex chování a nechat si ho schválit UOOU. Tím se předejme riziku nepředvídatelných výkladů úplně.

Dobrý den, že se něco vyvíjí přes 20 let ještě neznamená, že to není hovadina :)

Výjimka je definovaná jasně. Jen právnici v tom hledají nesmysl. Bohužel jen kalí vodu, ale už neřeknou co a jak.

99% firem je do 250 zaměstnaců dle ČSU. Teoreticky 99 % firem spadá do výjimky, to však není pravda neboť mnoho z nich se např. živý zpracováním osobních údajů atp.

Mýtus uváděný v ČR je, že když mám zaměstnance tak systematicky zpracovávám osobní údaje. To však dělám i pro jediného zaměstnace a tedy výjimka do 250 zaměstnanců by pak byl nesmysl.

A proč v tom není nejasnost? Protože jednotlivé články nařízení je nutno vykládat v souvislosti s jejich recitály. Tedy pokud recitál hovoří o ulehčení firmám do 250 zaměstnanců tak, určitě nebudu počítat jako systematické zpracovávaní osobních údajů jejich personální a mzdovou agendu.

Já se bojím, že to trochu mícháte s kritérii pro pověřence pro ochranu osobních údajů. Tam se posuzuje "core" aktivita atd. Jinak ale je fakt, že aktuální výklady této povinnosti resp. vyjímek jsou dosti extenzivní včetně onoho zpracování dat zaměstnanců v rámci běžné agendy. Vyjímkou je výklad viz Praktický průvodce GDPR od JUDr. Žůrka z UOOU říkající, že tyto dva faktory je nutné chápat propojeně tj. nepříležitostné A SOUČASNĚ představující riziko. S tím ovšem moc nekoresponduje spojka "nebo" která je v té větě použitá.

Problém je ale úplně jinde tj. JAK je tato povinnost prezentována či chápána tj. jako něco "navíc" ve stylu DPO a DPIA. Přitom je to spíš jen návod jak dosáhnout "accountability" (což české znění GDPR hoodně nepřesně překládá jako "odpovědnost", přitom to znamená "schopnost prokázat"). A pokud mám nějakou databázi kontaktů (typicky CRM) tak bez nějakého rozškatulkování a popisků "co, proč, jakým právem, jak dlouho, kdo k tomu má přístup a případné předání dalšímu subjektu" stejně compliance nedosáhnu. To, že to článek 30 taxativně vyjmenovává je v podstatě podaná ruka, bohužel jak je tam zmíněna ta vyjímka (s poměrně absurdním počtem 250 zaměstnanců) tak se do ní každý zkouší vejít. Ale i když má firma jen jednoho zaměstnance tak u něj všechny v rámci principů lawfulness/fa­irness/transpa­rency a souvisejícím výkonem práv musí všechno z čl. 30 nějakým způsobem evidovat.

Ta core aktivita není míchání jablek s hruškami, ale upozornění nato, že když jsem malá firma a bavím se zpracováním OU (např. obchod s malým počtem zaměstnanců, provozující věrnostní systém), tak určitě ta výjimka na mě neplatí. Mám možnost konzultovat tyto věci i s právníkem ze SRN, kde je jejich pohled na věc již dávno přísnější. To co se v ČR bohužel děje, je dle pravidla, že v německu vynalezli byrokracii, ale v ČR jsme ji dovedli k dokonalosti. Ten " absurdní" limit 250 zaměstnanců vychází z definice EU viz. https://www.czechinvest.org/cz/Sluzby-pro-male-a-stredni-podnikatele/Chcete-dotace/OPPI/Radce/Definice-maleho-a-stredniho-podnikatele

Samozřejmě každý malý podnik může zpracování OU přehánět a dělat voloviny a pak musí vést záznamy. Pokud se však věnuje své hlavní aktivitě a nějaký manažer se místo práce nesnaží zavádět šmírovací a jiné systémy a věnuje se výrobě a obchodu a dejme tomu, že hlavně s jinými podnikajícími subjekty, pak opravdu, žádná rizika nemá a zpracování provádí jen ze zákona.

Jiný problém v Č je ten, že státní úředník někdy vymýšlí blbosti. Konkrétní příklad: Zaměstnanci zaměstnavateli podepisují PROHLÁŠENÍ poplatníka daně z příjmů fyzických osob ze závislé činnosti, zde se vyplňují údaje o dětech. A někteří úředníci některých FÚ požadují po firmách aby kopírovali rodné listy dětí k tomuto prohlášení. Což zákon nevyžaduje a úředník tedy nesmí požadovat. No a společnosti to kopírovali aby měli klid, a teď zpracovávají údaje i o osobách, které nemají mít. Např. druhý rodič či prarodič.

Můžu se zeptat jakým způsobem chcete zajistit právo na přístup subjektu údajů na přístup se VŠEMU náležitostmi a nevést žádné záznamy? Vezmu-li jako příklad úplně "obyčejnou" firmu co má nějakou CRM databázi a v ní "naházené" zákazníky, dodavatele, partnery a uchazeče o zaměstnání v řádu stovek až tisíců záznamů (za pár let činnosti nasbírá i celkem malá firma "lehce patkou").

Jinak tím "absurdní" jsem mířil na to, že si nedokážu představit firmu ani s 50 zaměstnanci, která by do toho nespadla. Fakt nevím co by musela dělat za aktivitu (možná někde v horách kácet stromy).

Tady je spíše otázka co si představujete pod tím vést záznamy o zpracování ? Tedy co je výstupem.

Co si pod tím představuje Anglický UOOU viz. https://ico.org.uk/media/for-organisations/documents/2172937/gdpr-documentation-controller-template.xlsx

Představuju si to poměrně dost podobně resp. stejně jen přetavené do podoby šítků nebo kategorií v IT systému (a v reálu tam asi většina firem bude mít těch sloupců poněkud méně). Ale i kdyby článek 30 vůbec neexistoval tak ty informace by takhle nějak musely být nějak dostupné. Pokud tedy nechci tvrdit, že si pamatuju všechno z hlavy. Včetně toho, že pan X je současný uchazeč, pan Y je neúspěšný kandidát, ale dal mi souhlas (a jeho znění a forma) a pan Z (kterého třeba ženu před soud) podal námitku, kterou vyhodnocuju. Článek 30 přece není o tom, že když se vejdu do vyjímky tak se mě práva subjektů nebo zásada transparentnosti netýkají.

Spousta malých podnikatelů se nemusí trápit. Viz mám 5 THP , 240 manuálně pracujících na dílně. Tady asi zejména pokud dodávám dalším podnikatelům nemám skoro co řešit a vytvářet dokumentaci je zbytečné. V jiném složení a jiné činnosti i pokud bych nemusel, tak už bude lepší být na to připraven a dokumentaci si pro pořádek udělat.

Spíš bych řekl, že vytvořit dokumentaci je jednoduché než zbytečné. Stačí xls tabulka(y) uchazeči/zaměs­tnanci/bývalí zaměstnanci. Ale GDPR nejsou jen záznamy o zaměstnancích a osobní data zaměstnanců nejsou jen o záznamech (docházka, průkazka, benefity, předávání dat s personálkama, používání internetu, focení firemních akcí, kamery atd.). Ale stejně moc nevěřím tomu, že takhle velká firma nemá další specifika, stovky osobních dat "z venku" atd. Ale to bychom asi museli řešit konkrétní příklad.

Docházka, internet, kamerový systém. ... obvykle provádíme na základě oprávněného zájmu a data mažeme po nezbytně nutné době. V případě kamer určitě dříve než za měsíc...tedy nemám co poskytnout za data.
Personálky si zajišťují svůj souhlas a po ukončení výběru data mažu. Ona personálka taky nechce abych si z jejich dat tvořil svoji DB.
Ono si musíte nejdříve zjistit jaký je právní základ zpracování OU. Následně zjistíte, že když na tom není závislé Vaše podnikání tak se vzdáte SOUHLASU a pak je vše jednoduché.

Tak otázka je kde ty kamery jsou a co hlídají, plošné sledování internetu je hodně polemická záležitost a ačkoliv stanovisko UOOU je k tomu poměrně velkorysý (a doufám, že ho po GDPR změní, protože existuje dost legitimních důvodů proč může zaměstnanec potřebovat internet a šmírovat apriori celou historii mi přijde za (GDPR i etickou) hranou bez ohledu na dosavadní judikaturu, která je v tomto zbytečně benevolentní). Ale data z kamer samozřejmě poskytnout na vyžádání musíte resp. tu část kde je subjekt zaznamenaný. Jak to uděláte technicky (resp. zda to lze) není podstatné. Personálka - no tak on to není nějaký oříšek není, ale zase musí to být podchycené smluvně, procesně, záznamy atd. A zrovna souhlas bych tady jako titul (právní základ) nepovažoval za vhodný. Je to klasické plnění smlouvy resp. její podmínka, pokud by s tím nesvolil tak by mu agentura nemohla tu práci sehnat. Stačí prostá informace do smlouvy a poučení o právech.

Jen prosím pozor na ten souhlas. Požadavek na souhlas je reakcí, že něco dělám nad rámec. Tam většinou vypadny z výjimky.

No hlavně, že mají všichni zase co dělat a o čem tlachat.

K článku jen tři věci: jsou to samé lži a lži. A abych nezapomněl: taky lži.

Na stránkách UOOU je v základnm textu jasně vysvětleno, co je to "zpracování osobních údajů".

(pro ty línější z Vás to jen uvedu: u termínu " "zpracování osobních údajů".
" nejde v žádném případě o JEDEN každý zásah do dat, ale o systematickou činnost, tj. JEDNO ZPRACOVÁNÍ DAT je např. "shromažďování osobních údajů" -tj. má pravdu výše diskutující, že běžná firma by si v případě, že by neplatila úleva pro malé podniky bohatě vystačila s jedním či několika záznamy po celou dobu své existence - což by bylo samozřejmě zbytečné řešit)

Prosím muže mi tady někdo poradit? Jsem OSVČ bez zaměstnanců, bez účetního programu. Faktury vystavují v Excelu. Využívám osobní údaje pro vystaveni faktury. Nemám e-shop. Účetní externí. Provozovna pod kamerovým systémem. Komunikace se zákazníky e-mailem, telefonicky či osobně.
CO MUSÍM MÍT ZPRACOVANÉ? Které dokumenty? Jsem v tom zmatená jak lesní včela . Dozvím se někde co a jak zpracovat? Nedokážu si představit ze bych oslovila asi 500 zákazníků pro souhlas. Děkuji za radu.