INTERNET a POČÍTAČE

....... instalace a servis i vaší kanceláře

Hysterie přechází do obludných rozměrů, tak bych nazval hromadné mazání čehokoliv odkudkoliv. Takže, pokud fotíte pro radost svoje dítě jak s dalšími dětmi hraje fotbal a dáte to na svůj web, můžete to tak nechat. Odkaz na Autorský zákon 121/2000 sb. § 34 písmeno "b" - dílo ve spojitosti se zpravodajstvím týkajícím se aktuálních událostí, a to v rozsahu odpovídajícím informačnímu účelu. Důležité nejen pro školy, školky, rybáře, fotbalové kluby, motorkáře, vodácké oddíly a tak podobně: Pod obrázkem nemá být jméno osoby, která tam je. Místo "Petr Novák dává gól" napište "Takto jsme dali gól". Ovšem pokud máte souhlas můžete nechat "Petr Novák dává gól" :)

Ještě článek k tématu: "Kupte si OFFICE 365 a máte vše vyřešeno......"

Provozovatelé cloudových služeb, kteří chtějí i nadále fungovat v kontextu nové právní úpravy a nechtějí ztratit klienty, musí své služby přiměřeným způsobem zabezpečit a k zajištění takového zabezpečení se ve smlouvách, které uzavírají se svými zákazníky, zavázat. Přirozeně nejde o proces jednostranný. Také zákazníci by měli po provozovatelích cloudových služeb požadovat smluvní záruky. Měli by se zajímat o to, kde jsou data fyzicky uchovávána. V celé EU, kde je platné GDPR, nebo v tzv. bezpečných zemích je ochrana osobních údajů srovnatelná, zcela odlišná situace však může nastat v ostatních zemích.

Provozovatel cloudové služby je zodpovědný za technické zabezpečení prostředí, v němž má zákazník uloženy osobní údaje. Nese odpovědnost za to, že jeho systém je odolný vůči hrozbám, které lze rozumně předpokládat. Zákazník by měl naopak zvážit, zda nabízená míra zabezpečení je odpovídající s ohledem na množství a zejména citlivost údajů, které v takovémto prostředí zpracovává.

Obecně lze říci, že zákazník, který si do cloudového CRM ukládá osobní údaje, je jejich správcem, zatímco provozovatel, pokud data žádným dalším způsobem nepoužívá nebo neobohacuje, je zpracovatelem. Tento vztah je nutné upravit smluvně ve zpracovatelské smlouvě. Zákazníkovi coby správci tak plynou z GDPR také příslušné povinnosti. Zatímco technické zabezpečení dat a jiné technické aspekty, např. způsob zpřístupnění dat, prakticky přenesl na zpracovatele, sám zodpovídá za to, že údaje jsou shromažďovány z určitého právního titulu, že jejich rozsah je přiměřený stanovenému účelu zpracování, že jsou uchovávány po dobu nezbytně nutnou, že subjekty údajů jsou řádně informovány o zpracování a o svých právech atd.

 

Pokud má správce zákonem stanovenou povinnost, vykonává veřejnou moc nebo plní úkol ve veřejném zájmu:
    –      je oprávněn kvůli tomu zpracovávat osobní údaje – § 5 návrhu zákona, navazuje na článek 6(3) GDPR (zajišťuje se, že pokud právní předpis stanoví povinnost, v rámci které k tomu je nezbytné zpracovávat osobní údaje, tak je samozřejmě může zpracovávat, byť v příslušném zákoně není věta „lze zpracovávat osobní údaje“)
    –      může informace o zpracování poskytnout zveřejněním na internetu – § 8, navazuje na články 13 a 14 (1, 2, 4)  GDPR – informační povinnost lze splnit zveřejněním na internetu
    –      Správce zajišťující některé chráněné zájmy nemusí posuzovat slučitelnost účelů – § 6 zákona, čl 6(4)a čl 23 GDPR – možnost dalšího zpracování bez přezkoumávání slučitelnosti účelů původního a následného účelu za stanovených podmínek
    –      Povinnost jmenovat pověřence mají orgány veřejné moci a jim se blížící úzká skupina „veřejných subjektů“ –  § 14, čl. 37(1)(a) – pověřence tak nebudou muset mít např. ZUŠ, školní jídelny apod.
    –      Subsidiární výjimky z práv subjektu údajů za kvůli zajištění některých chráněných zájmů kompenzovány dozorem ÚOOÚ
    –      Oznamovat změny a výmazy lze aktualizací evidence – § 9, čl. 19
    –      Věk pro samostatný on-line souhlas dítěte na 15 let – § 7, čl. 8 – nařízení počítá s 16, snižujeme na 15
    –      Omezení zpracování nestaví zákonnou ohlašovací povinnost

Autoři:  Karel Bačkovský z Odboru bezpečnostních politik Ministerstva vnitra ČR a jeho kolegyně Kateřina Jamborová. Originál textu: najdete tady.

V souvislosti s  evropským nařízením o ochraně osobních údajů, které začíná platit od 25. května 2018, připravilo MŠMT souhrn nejčastějších otázek a odpovědí, se kterými se na ministerstvo školy obrací.

1. Na začátku školního roku bude důležité znění přihlášky ke školnímu stravování, kam strávníci zapisují své osobní údaje. Domníváte se, že na přihlášce musí být uveden souhlas strávníka (zák. zástupce) se zpracováním osobních údajů dle GDPR, když tyto informace jídelna musí evidovat ze zákona?

Podle názoru MŠMT není nutné, aby školní jídelna coby školské zařízení požadovala souhlas se zpracováním osobních údajů za účelem zabezpečení školního stravování žáků.
Podle čl. 6 nařízení GDPR účinného od 25. 5. 2018 je zpracování osobních údajů zákonné, pokud jsou zpracovávány v odpovídajícím rozsahu a zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje.
Právnická osoba, která vykonává činnost školy, má zákonem stanovenou povinnost zajistit školní stravování, a to přednostně v zařízeních školního stravování. MŠMT ale není gestorem problematiky ochrany osobních údajů a nemá pravomoc závazného výkladu právních předpisů. Výše uvedený výklad příslušných ustanovení má proto pouze informativní povahu.

2. Podle některých informací budou muset poskytovat souhlas se zpracováním informací už třináctileté děti. Co se stane v případě, že školy od nich nebo jejich rodičů tento souhlas nedostanou?

Nařízení počítá s tím, že zpracování osobních údajů na základě souhlasu dítěte je zákonné pouze v souvislosti s nabídkou služeb informační společnosti přímo dítěti, a to v případě, že je dítě ve věku nejméně 16ti let s tím, že členské státy mohou právním předpisem stanovit nižší věk, ne však nižší než 13 let. Dítě může udělit souhlas se zpracováním osobních údajů v závislosti na své rozumové a volní vyspělosti. V této souvislosti je třeba zmínit, že česká právní úprava v současně navrhovaném znění počítá právě s nejnižší možnou věkovou hranicí, tedy s věkem 13 let. Je však nezbytné uvést, že návrh zákona o zpracování osobních údajů je dosud v legislativním procesu, a není tak vyloučeno, že se věková hranice bude měnit.

Číst dál: MŠMT souhrn nejčastějších otázek a odpovědí

Povinností, kterou správci obecné nařízení ve vztahu k pověřenci pro ochranu osobních údajů ukládá, je pověřence jmenovat a učinit to na základě profesních kvalit jmenované osoby, zejména na základě jejích odborných znalostí práva a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly dále pověřenci uložené samotným obecným nařízením. Žádná specifická forma ověření nebo prokázání profesních kvalit stanovena není,

Číst dál: Pověřenec musí mít osvědčení (certifikát) = nesmysl!!

  • Základní příručka k GDPR
    Přehled základních pojmů a informací vztahujících se k obecnému nařízení.
  • Desatero zpracování pro správce
    Desatero zpracování pro správce je zestručnění základních pravidel ochrany osobních údajů, využitelné malými správci údajů, živnostníky či menšími podniky, coby základní jednoduchý návod, jak zacházet s osobními údaji.
  • Desatero omylů
    Úřad pro ochranu osobních údajů zpracoval desatero nejčastějších omylů či zavádějících tvrzení o obecném nařízení o ochraně osobních údajů (GDPR).
  • Dokumenty
    Dokumenty vztahující se k obecnému nařízení (směrnice, návrhy zákonů, brožury).
  • Jak začít - opravdu jednoduše
    Zmapujte, jak nakládáte s osobními údaji, udělejte inventuru osobních údajů, analyzujte rizika a vypracujte Záznamy o činnostech zpracování (zde je tabulka)
  • Otázky a odpovědi
    Nejčastější otázky k obecnému nařízení, na které je dotazován Úřad pro ochranu osobních údajů.
  • Pokyny Pracovní skupiny WP29
    Pracovní skupina WP29 vydává a veřejně diskutuje materiály, které mají čtenáři maximálně vysvětlit a co nejblíže ho seznámit s jednotlivými částmi a oblastmi obecného nařízení.
  • GDPR a role ÚOOÚ
    Shrnutí role Úřadu pro ochranu osobních údajů v souvislosti s obecným nařízením.
  • Důležité odkazy
    V této rubrice naleznete odkazy na metodiky a instituce, kde je oblast GDPR důležitým tématem.

Když je osobní údaj fotka, můžu vyvěsit fotku s lidmi z kanceláře na Facebooku? Moderní trend je být maximálně otevřený, ukazovat, jak to ve firmě vypadá a kdo tam pracuje…. Zaměstnanec k tomu musí dát souhlas, ten nemusí být pouze explicitní (písemný), může být i implicitní, to znamená vyplývající z kontextu.Pokud pár lidí poprosíte, že si uděláte fotku na Facebook a oni vám zapózují, je to v pořádku. Pokud na firemní akci chodí fotograf a lidé se vědomě nechávají fotit, je to také OK. Ovšem snímky by měly posloužit jako reportáž z akce. V případě, že je použijete pro náborovou reklamu, už to je jiný účel, než se kterým lidi při focení počítali.

Je problém, pokud na Facebooku zaměstnance najdu fotky a udělám z nich koláž na nástěnku? Například chci představit nováčky ve firmě a trošku ukázat, kdo jsou i v soukromém životě.V zásadě by k tomu měl zaměstnanec vždy dát souhlas, případně byste měli fotky získat od něj, ne je stahovat z internetu. To není ani tolik otázka zákona pro ochranu osobních údajů, případně GDPR, ale spíš obecná ochrana soukromí.

(Zdeněk Bajer z firmy Datacruit a Vojta Chloupek z advokátní kanceláře Bird & Bird vysvětlili, co GDPR obnáší a na co si dát pozor.)

Povinnost jmenovat pověřence pro ochranu osobních údajů je dána správci a zpracovateli pouze v případě, kdy:
a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů při výkonu jejich soudních pravomocí
b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé, pravidelné a systematické monitorování subjektů údajů
c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů
(čl. 37 odst. 1 Obecného nařízení - http://www.privacy-regulation.eu/cs/37.htm)

V rámci bežné činnosti elektronických obchodů, která nejčastěji spočívá v prodeji zboží či služby, se nebude jednat o naplnění ani jedné z výše uvedených podmínek a tudíž jmenovat pověřěnce pro ochranu osobních udajů nebude třeba.

Relevantním kritériem pro povinné jmenování pověřence u elektronických obchodů bude bod b) a c). Doporučuji nahlédnout do dokumentu pracovní skupiny WP29, který konkrétně definuje pojmy "hlavni činnosti, rozsáhlé zpracování, pravidelné a systematické monitorování" a provést interní analýzu, zda je nebo není nutné pověřence jmenovat.
(https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=23463)

1. Zpracování údajů, ať je nařízeno zákonem, prováděno z vůle správce nebo po dohodě či se souhlasem dotčených osob, musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou.

2. Každé zpracování údajů musí být založeno na některém ze základních důvodů (právních titulů pro zpracování), nejčastěji se jedná o smluvní plnění, výkon právních povinností či plnění zákonného oprávnění, výkon veřejné moci nebo zpracování na základě souhlasu dotčené osoby.

3. Každý, kdo shromažduje, dále zpracovává a uchovává osobní údaje, musí jasně vymezit (stanovit a být schopen vysvětlit) sledovaný záměr - účel zpracování údajů.

4. Všechny způsoby a formy, rozsah zpracování a doba uchovávání údajů musí být vždy přiměřené účelu zpracování.

5. Pokud detaily zpracování stanoví veřejnoprávní předpis, nelze se od nich většinou odchýlit. Každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad, takové zpracování nelze nahradit souhlasem se zpracováním údajů.

6. Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit a chránit organizačními a technickými opatřeními – v míře odpovídající rizikovosti zpracování.

7. Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci.

8. Zpracování nesmí nadměrně zasahovat do soukromí. Správci mohou volit různé přiměřené prostředky zpracování, v případě moderních technologií jsou však povinni zvážit nová rizika i dopady do soukromí jednotlivců. Zejména musí uvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.

9. Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat. Delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů (státní statistická služba, nemocenské a důchodové pojištění apod.).

10. V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů, kterou stanoví obecné nařízení (GDPR). Předávat osobní údaje mimo Evropskou unii lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů.

 

Opět klamavá a zaručená informace, převzato ze stránek Úřadu pro ochranu osobních údajů:

27. 2. 2018 - Úřad pro ochranu osobních údajů je nucen podat dementi desinformací v článku na téma likvidačních sankcí za volně dostupnou wi-fi síť, který byl publikován deníkem E15 ve čtvrtek 22. února 2018.
 
Článek „Za volně dostupnou wi-fi síť hrozí restauracím či hotelům likvidační pokuty“ obsahuje řadu nepravdivých tvrzení (odkaz na článek zde).
Zásadní informací pro veřejnost je, že ani GDPR, ani unijní regulace soukromí a elektronických komunikací nevyžaduje wi-fi síť zabezpečit, tj. zaheslovat. Ochrana soukromí totiž vychází z oprávnění na informační sebeurčení subjektu údajů. Osobní údaje patří subjektu údajů a je primárně na jeho svobodném rozhodnutí, komu je poskytne; výjimky stanoví právní předpis. Je tedy na každém člověku, zda se rozhodne používat cizí nezaheslovanou síť, je to na jeho vůli.

V této souvislosti je třeba zdůraznit, že přenos dat se řídí GDPR toliko podpůrně. Primární regulací je směrnice Evropského parlamentu a Rady 2002/58/ES, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), která byla do českého právního řádu transponována zákonem č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) a zákonem č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti).

Číst dál: Nepravdy o wi-fi v souvislosti s GDPR

Vaše a moje osobní údaje


Vážení návštěvníci tohoto webu, nesbíráme o Vás žádné údaje, nechceme od Vás nic vyplnit ani podepsat. Údaje, které zde najdete o mně slouží výhradně k tomu, aby jste mně mohli kontaktovat za účelem servisu, opravy, objednávky nebo schůzky. Neslouží k tomu, že si je zkopírujete a budete mně volat, psát a nabízet zboží, služby a tak podobně. Chováme se k sobě ohleduplně. Děkuji. Radomil Šmíd.