Vlákno názorů k článku Nejasnosti kolem výjimky z GDPR pro malé firmy. Nakonec ji využije jen málokdo od Jig - GDPR je hovadina jako "odškrtávání disclaimeru cookies" ......

GDPR je hovadina jako "odškrtávání disclaimeru cookies" ... otravuje naprosto všechny, aniž by to reálnému úniku dat zabránilo. Největší úniky jsou těch, která tato data hromadí - tedy velké korporace a státy. Ti kteří s osobními údaji obchodují, s nimi budou obchodovat i nadále, jen se přizpůsobí. Avšak implementace bude velkou zátěží pro všechny - zvláště když panuje mnoho nejasností a v důsledku i absurdit (např. když si zajdete do copy centra s tím, že chcete ofotit svou vlastní lékařskou zprávu / smlouvu ... z hlediska GDPR by se musel mezi vámi a společností sepsat dokument kde dáváte souhlas s tím, že obsluha přijde do styku s těmito osobními údaji. A to nemluvím o tom, když to dotyčný navíc bude chtít naskenovat a přeposlat emailem

Tak ta "hovadina" se vyvíjí přes 20 let a je to způsob jakým se subjekty údajů můžou konečně bránit korporacím, které si jejich soukromí vesele "mažou na chleba". Jinak ten případ s copy centrem je samozřejmě nesmysl. I pokud by se to scanovalo a posílalo emailem tak to spadá pod titul "plnění smlouvy" a pokud to copy centrum vzápětí smaže tak je to naprosto cajk. Zákazník by měl jen dostat nějaké poučení v rámci práva na informace, podle mého soudu by stačilo aby bylo vyvěšené v provozovně a na internetové stránce provozovatele. Jinak mi to nepřijde jako buzerace, ale normální slušnost. To, že si někde nechám naskenovat lékařskou zprávu přece neznamená, že dotyčný má právo si ji trvale někde uložit.

Jasně GDPR je všespásné a odteď nebude již nikdy žádný únik a zneužití dat. A teď ještě tu o Karkulce.

ad copy centrum - samozřejmě nesmysl to rozhodně není, protože jsem byl u toho když se to řešilo. Nejde jen o to zda to uchovávají či neuchovávají, ale o to, že s tím přijdou do styku. Samozřejmě nelobuji za to, aby se podobné údaje ukládali bez souhlasu, nicméně způsob který se zde volí je ten nejhorší z možných.
ad "podle mého soudu by stačilo" ... právě že nestačilo, a tady je další point - není nic o co se právně opřít, protože vše je tak vágní a nejasné, že erár evidentně spoléhá na to, že se to "vyřeší za pochodu" podle výkladu soudů. Resp. na jednotlivé případy jsou zcela odlišné právní posudky.

Tak to, že to je všespásné a nebude žádný únik dat si samozřejmě nemyslím a ani jsem to nenapsal. A tímto způsobem naivní není ani GDPR viz. jeho významná část se týká povinnosti správců právě při úniku dat (viz např https://iapp.org/media/pdf/resource_center/WP29-Breach-notification_02-2018.pdf) Koneckonců všespásná není žádná právní norma. A GDPR pokrývá obrovský "oceán" různorodých činností a vždycky bude něco co není úplně black/white.

K tomu copy centru. Když pominu, že zaměstnanci, kteří nakládají s osobními údaji musí být proškolení o jednotlivých postupech, tom co můžou a nemůžou, bezpečnostních opatřeních (a měla by to být samozřejmost bez ohledu na GDPR) tak je zásadní určující faktor do jaké míry má obsluha povinnost zkoumat obsah toho co kopíruje ve vztahu k GDPR. Pokud platí, že vztah copy centrum k zákazníkovi je v vztahem zpracovatel/správce (a jinak tomu ani být nemůže, protože účel a prostředky zpracování stanoví zákazník/správce) tak má copy centrum povinnost především neprovádět nic mimo rámec zadání (např. si to někam dlouhodobě uložit, protože tím už by provádělo vlastní zpracování a přešlo do role správce), zabezpečit data proti úniku či nesprávné manipulaci (tj. v tomhle konkrétním případě je buď vůbec neukládat nebo co nejdříve vymazat) a v tomto smyslu proškolit obsluhu. To jestli kopíruje zdravotní zprávu (tedy zvláštní kategorii údajů) a s tím související právní titul je plně odpovědnost zákazníka (správce). Navíc tedy riziko negativních důsledků pro subjekt údajů při kopírování něčeho co má dotyčný zákazník stejně v ruce (a v kapse telefon kterým si to může vyfotit) se limitně blíží nule.

Zpracovatelská smlouva může být v tomhle případě vzhledem k jednoznačnosti a trivialitě zadání uzavřena ústně (GDPR ani NOZ formu nenařizuje a písemná forma a s ní spojená archivace by bylo další zpracování OU tentokrát v roli správce) s tím, že o tom jak zpracování při jednotlivých úkonech (kopírování, sken atd.) probíhá informovat viditelně v provozovně a na webovkách.

Vodítka přímo ke copy centrům sice nejsou (resp. nenašel jsem), ale je to zcela analogická služba s cloudovým úložištěm typu dropbox. Tam také poskytovatel dost dobře nemůže zjišťovat charakter ukládaných dat.

Jinak pokud existuje nějaký svaz copy center tak si můžou vypracovat kodex chování a nechat si ho schválit UOOU. Tím se předejme riziku nepředvídatelných výkladů úplně.

Dobrý den, že se něco vyvíjí přes 20 let ještě neznamená, že to není hovadina :)