Vlákno názorů k článku Nejasnosti kolem výjimky z GDPR pro malé firmy. Nakonec ji využije jen málokdo od imi - Jsem OSVČ, zaměstnanců 0, adresář jen zákazníků ,...

Závazné stanovisko dá vždy až judikatura s tím souhlasím. Ačkoliv je můj názor vnímán jako "extrémní" považuji já opačný názor taktéž za extrémní, zejména z důvodu, že fakticky by neexistovala skoro žádná organizace na, kterou by daná výjimka šla použít. Můžeme se tady společně zamyslet, zdali dokážeme reálně popsat společnost, která by splňovala danou podmínku.

K poznámce důvodová zpráva, si dovolím jen upozornit, že Ústavní soud při výkladu zákona vždy vychází i z důvodové zprávy a zkoumá v případě nejasnosti smysl právního ustanovení i z důvodové zprávy a v mnoha svých rozhodnutích varuje před pouhým gramatickým výkladem.

Dále je nutno vnímat i pravidlo viz citace: "Na úvod považuje soud za nezbytné zdůraznit, že normy veřejného práva nelze užívat v neprospěch daňového subjektu"

Zaměstnavatel, který splní uvedené podmínky, je splní pro nakládání s osobními údaji v jiné oblasti, než je nakládání s osobními údaji svých zaměstnanců, například s osobními údaji týkajícími se výročního večírku založení firmy. Bude-li se jednat o firmu do 250 zaměstnanců, může úlevu využít, bude-li zaměstnávat 251 zaměstnance, nemůže.

Co se týče druhé části vašeho příspěvku, tak vy předjímáte. Nevylučuji, že tak bude postupováno, avšak zároveň vy nemůže předpokládat, že bude tak postupováno. Proto již mé předcházející vyjádření, že v současné době není možné uvést jednoznačné stanovisko.

Bohužel jste zavedl, podmínku rozdělení u společnosti do oblastí (GDPR nerozděluje), avšak nařízení GDPR hovoří:

Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob....

Tedy ne, že pro určité oblasti ano nebo ne. Hovoří o tom, že při splnění definované podmínky se na něj odstavce 1 a 2 článku 30 vůbec nepoužijí tedy pro něj neplatí.
Tady mi jde zejména o diskuzi zda zpracování např. zaměstnaneckých údajů v souladu s předpisy u vlastních zaměstnanců je v souladu s podmínkou "zpracování není příležitostné", kde zastávám názor, že ano v jiném případě je výjimka svým obsahem prázdná.

Souhlasím s Vámi, že předjímám. Dokud nerozhodne soud, přičemž soud se nemusí ztotožnit s výkladem pracovním skupiny WP29, nebo dá výklad dříve. Dokud však nebude rozhodnutí v dané věci, které nemůže být před 25.5.2018, tak musíme zaujmout určitý postoj k dané věci. Zde osobně zastávám názor, který jsem stručně odůvodnil. V jiném případě by jsme museli totiž celé GDPR vykládat v co nejabsurdnějším smyslu a zde se domnívám, že to není účelem.

Ve vámi prezentovaném postoji jak jej vnímám, by jsme se měli chovat jako by výjimka vůbec neexistovala (pro jistotu), protože k ní nemáme výklad. Ad absurdum pak chování statutára, kdy za tímto účelem najme jinou společnost, aby mu pomohla naplnit vedení záznamů o zpracovaní, by mohlo být kvalifikováno v rozporu s péčí řádného hospodáře.

V čl. 30 GDPR je to uvedeno: "Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá". Tedy vede jednotlivé záznamy o jednotlivých činnostech, resp. jeden záznam o jedné činnosti, nikoliv jeden záznam o všech činnostech (já jsem uvedl souhrně oblasti). Z povinnosti vést záznamy mohou být vyloučena pouze některá zpracování, přičemž pro jiná zpracování prováděná tímtéž správcem se může povinnost vést záznamy uplatňovat.

Omlouvám se, ale Vaše tvrzení: " Z povinnosti vést záznamy mohou být vyloučena pouze některá zpracování, přičemž pro jiná zpracování prováděná tímtéž správcem se může povinnost vést záznamy uplatňovat." tam opravdu nemohu nalézt.

Naopak odst. 5 článku 30 "Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob..." Anuluje kompletní povinnosti těchto 2 článků při splnění podmínky.

Mimochodem GDPR ani u velkých firem nikdy v záznamech o činnostech zpracování nikdy nepostihne Adhoc výjimečné situace.

No vzhledem k nesnižujícímu se rozdílu v chápání. Je tady opět namístě otázka: Čo si predstavujete pod takým pojmom: Vést záznamy o činnostech zpracování?

Na vaši závěrečnou otázku jsem již odpověděl. Citované ustanovení není uvedeno přímo v GDPR, ale je uvedeno v komentáři k čl. 30 v publikaci "GDPR/Obecné nařízení o ochraně osobních údajů" (praktický komentář), a co je podstatnější, lze jej dovodit z ustanovení čl. 30 - ustanovení se nepoužijí v případě, že jsou splněny stanovené podmínky, tzn., že se nepoužijí v těch případech, kdy jsou splněny stanovené podmínky, v ostatních případech, u téhož správce údajů se použijí!

Promiňte, ale jakýkoliv komentář jakékoliv publikace mimo snad komentář WP29 s mírně vyšší váhou je v současné době pouhý názorový výklad.

Mimo výjimky 250 zaměstnanců však článek 30 neobsahuje žádné ustanovení o "se nepoužijí v případě, že jsou splněny stanovené podmínky, tzn., že se nepoužijí v těch případech, kdy jsou splněny stanovené podmínky, v ostatních případech, u téhož správce údajů se použijí!"

Vše je pouze jen názor, neboť výklad může učinit jen soud (později, pokud se nepletu, též "superúřád"). Vše je o chápání právního textu! Vy to chápete příliš technicky. GDPR je právní předpis, který ochranu osobních údajů ve své podstatě pojímá jako abstraktní oblast, nikoliv přísně materialisticky, jak se jej snažíte uchopit vy. Chápu, že by to řešilo mnohé problémy, avšak tak to není.

GDPR je o "hraní si" a o vytváření vlastních modelů řešení, u kterých však je nutné být schopen prokázat soulad s GDPR. Není to o tom, co se smí a co se musí, ale o tom co jsem a co nejsem schopen si obhájit (na základě vyhodnocení rizik a podmínek), a to nejen vůči kontrolním orgánům(!), jako soulad [nikoliv splnění(!)] s GDPR (to je velice podstatný rozdíl). Praxe toto v průběhu času upraví (vytvoří se modely, jež budou obecně akceptovány), ale v podstatě toto zůstane jako princip GDPR (GDPR je postaveno na stejném základě jako BOZP, tedy je tam, kde byla BOZP na konci devadesátých let; lze podle toho dovodit, kde bude GDPR za dvacet let). I v budoucnu, když již budou přijaty obecně akceptované modely, nejenže bude možné, ale jistě se i najde někdo, kdo bude tohoto principu využívat a lidé budou zase nadávat, jak je to možné, když já musím dodržovat to co je "stanovené".

My se ve svých stanoviscích neshodneme, neboť každý k GDPR přistupujeme pod jiným úhlem jeho vnímání. Stanovisko k čl. 30 GDPR nejenže není, ale ani nemůže být jednotné, neboť nabízí více možností aplikace, než je pro praxi únosné. To praxe upraví, ale chce to čas.

S právníky se obvykle neshodnu, bohužel mám jednoho doma v rodině, s velkým doktorátem v SRN, vedli jsme mnoho diskuzí a byl jsem poučen ať opravdu se nepokouším vyvinout super byrokracii, ale jít i selským rozumem. GDPR není o tom aby sabotovalo běžnou činnost firmy.

Zejména nezapomeňme na hlavní větu : S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob....

A nepokoušejme se o superřešení pro většinu společností kterých 99% je do 250 zaměstnanců; dle ČSU.

Banky, Telco ,Pojišťovny, Ministerstva a jimi podobní je oříšek pro jiné.

To je přesně to, co tvrdím já, ale vy se zde stále snažíte vytvořit to super řešení pro, jak uvádíte, 99 % společností (já mám pocit, že se to pohybuje někde mezi 92 až 94 %, ale to neřešme, neboť mohu mít zastaralou informaci). A ještě jedno upozornění - GDPR je pro všechny stejné, nevyčleňujte velké společnosti. Ty malé mají jen jednu velmi drobnou výjimku. I pro ně však platí, že GDPR JE PŘEDEVŠÍM O DOKUMENTACI, jež stanovuje požadavky k dosažení souladu a potvrzuje jeho dosažení. Jedná se o vytvoření, zajištění fungování a kontrolu systému, nikoliv o plnění požadavků.

Poznámka pod čarou: Na selský rozum už mnoho lidí doplatilo (žijeme ve značně sofistikované společnosti).

GDPR je rozdílné pro malé a velké společnosti (nezapomeňme na množství zpracovávaných dat).
Uvedu příklad co mě učil jeden ekonoma to jsou zákony velkých čísel.
Jsou dva bačové, jeden má 10 ovcí a druhý má 10 000 ovcí, jednoho dne přijdou a zjistí, že oběma umřelo 10 % ovcí.
Jaké jsou konsekvence?

Ona diskuze o GDPR musí být dělena na různé skupiny společností mající společné vlastnosti v případě snahy nalézat řešení. Obecný popis pro všechny už je hotový to je samotné GDPR nařízení.

Výrobní společnosti vyrábějící pro jiné společnosti budou určitě mít menší stupeň složitosti řešení GDPR než banky, pojišťovny.

Společnosti mající vysoký stupeň složitosti mají celé týmy na řešení GDPR a mají určitě více problémů, než ostatní jednodušší či menší, kterých je určitě většina co do počtu a nemající tým GDPR lidí či vyhrazené lidi řešící pouze GDPR a ty se snaží hledat pomoc.

A nyní jste podtrhl to, co jsem psal v minulém příspěvku. Podstata je v našem rozdílném přístupu (náhledu) k GDPR. Z hlediska práva je GDPR stejné, až na drobnou vyjímku, pro všechny firmy, neboť je o tvorbě a udržování systému řízení ochrany osobních údajů - množství zpracovávaných dat v tom nehraje zásadní rozdíl - jde o systém (GDPR po každém spravci požaduje, aby si vytvořil svůj systém ochrany osobních údajů, který bude v souladu s GDPR a přitom bude optimální pro potřeby řízení jednotlivého správce - jiný správce bude mít trochu jiný, neboť pro něj bude optimální trochu jiný systém). Jak již jsem psal, GDPR není o plnění požadavků (1., 2. atd.), ale o vytváření systémů zajišťujících shodu s GDPR, což je něco jiného.

Vy na GDPR nahlížíte "technicky", podle vás selským rozumem (logicky), tak však ten zákon není postaven (praxe se však v průběhu let tomu přiblíží). Vedemi-li však diskusi nad právním předpisem, který na řešenou oblast nahlíží víceméně abstraktně, není možné to neakceptovat.

Nyní dále. Ten ekonom nebyl dobrým ekonomem, neboť by vám neprve vysvětlil, že existují fixní a proměnné náklady. Takže z hlediska ekonomického ten příklad není dobrý. Ale dobrý je pro objasnění našich stanovisek. Vy na GDPR pohlížíte "optikou" odpovídající vašemu příkladu, tedy zjednodušeným způsobem přibližujícímu se laickému pohledu (s matematickou logikou). Já na něj pohlížím sofistikovanějším pohledem, jenž zohledňuje například vliv fixních a proměných nákladů na výši vzniklých ztrát (ztráta není 100 x užitná hodnota zvířete).

Nemohu s vámi souhlasit s tím, že "diskuze o GDPR musí být dělena na různé skupiny společností mající společné vlastnosti v případě snahy nalézat řešení". Diskuse o GDPR musí být diskusí obecnou - je to diskuse o obecném nařízení! Proto různé články, přednášky atd. o GDPR jsou málo konkrétní.

Má-li být diskuse o nalezení řešení shody s GDPR, je možné ji vést na úrovni jednotlivého správce osobních údajů (ta by měla být "nejkvalitnější", ale bude mít nízkou efektivitu), nebo na úrovni kategorie správců (například účetních). V tomto případě však nelze vést diskusi o GDPR, jako ji vedeme mi dva, ale o shodě s GDPR. To však předpokládá, že se v dané kategorii budeme orientovat, tedy bude nám jasno s kterými osobními údajů, k jakému účelu a jakým způsobem je nakládáno atd. Ale o tom diskusi nevedem a dost dobře to není ani možné.

Ten ekonom byl sakra dobrý ekonom. Pracoval až do důchodu jako hlavní ekonom ve firmě zaměstnávající více než 700 lidí. Firma funguje úspěšně doposud.

Promiňte, ale Vaše přidaná hodnota je akademická. Lidská přirozenost je konkretizovat. Abstrakce je akademická cnotnost sic nezbytná, ale komplikující a vzdálená praktickému životu.

A teď praktická odpověď k ovcím. Ten s 10 ovcemi zakope 1 ovci a život jde dál. Ten s 10000 ovcemi bude mít ztrátu celé stádo, neboť nikdo od něj žádnou ze zbývajících 9000 ovcí nekoupí. Dále určitě ztratí zaměstnání x lidí atd.... A na počátku jsou prý na tom stejně oboum chcíplo 10% ovcí. Každý sedlák i negramotný zná tuto odpověď mnoho akademiků selže, oveřoval jsem po dobu studií na VŠ.

Těch 10% je problém, řekněme GDPR a ejhle dopad na různou velikost je diametrálně odlišný.

Jistě jste velmi šťastný člověk, neboť máte velmi zjednodušený pohled na život a problémy, které přináší.

Děkuji :-) Neboť jen šťastný člověk přináší štěstí i ostatním. Ale opravdu vyzkoušejte se zamyslet jak pomoci lidem konkrétními příklady než jen zůstat u obecných definicí. Říká se tomu mít konstruktivní přístup.