Hlavní navigace

Názory k článku Chybějící zpracovatelské smlouvy. Dlouhodobý prohřešek firem má napravit GDPR

Článek je starý, nové názory již nelze přidávat.

  • 3. 1. 2018 16:50

    xxw (neregistrovaný) 46.13.155.---

    Tímto klackem pod nohy všem drobným podnikatelům opět získá vedení EU hodně fanoušků...škoda...

  • 4. 1. 2018 8:53

    Tomáš Neugebauer (neregistrovaný) ---.cas.pasnet.cz

    GDPR je klackem pod nohy jen těm "podnikatelům", kteří chtějí rejžovat prachy, aniž budou dodržovat základní pravidla. Pro ostatní nikoliv.

  • 4. 1. 2018 9:49

    SB (neregistrovaný) ---.tmcz.cz

    Já takové podnikatele, kteří porušují povinnost ochrany dat, která jim nepatří, ani v ČR nechci, takže jejich zánik vlastně ocením.

  • 4. 1. 2018 10:12

    :) (neregistrovaný) ---.net.upcbroadband.cz

    Ale v ČR už nejde abyste něco neporušoval. Zákonů je tolik, že nestihnete vytřídit a přečíst, čím se máte řídit. A to ani nemusíte podnikat. Pro začátek zkuste Občanský zákoník, občani jsme skoro všichni.

  • 4. 1. 2018 7:32

    Cobol (neregistrovaný) ---.eurotel.cz

    Pro xxw: pokud jsi ten clanek opravdu precetl, tak jsi se dozvedel, ze tento klacek existuje uz 17 let a ze se snazi chranit osobni data fyzickych osob, tedy i ty tvoje, pred zneuzitim.

  • 4. 1. 2018 7:48

    klap (neregistrovaný) ---.net.upcbroadband.cz

    Pořád řešíte jen firmy a společnosti, ale co má dělat OSVČ, který je na všechno sám, nemá zaměstnance, jen poskytuje určitou službu, kterou fakturuje přibližně pěti subjektům měsíčně, a příležitostně prodá nějaký produkt v e-shopu...

    Pořád čtu jen řeči, jak si mám (nechat) zanalyzovat procesy ve firmě... a vyškolit zaměstnance... a vyhledat pověřence a já nevím co, ale abyste přinesli nějaký konkrétní návod, co tedy jako smím, a co ne, nějakou šablonu toho souhlasu se zpracováním údajů (a informaci, od koho ten souhlas musím vymámit - od firem asi ne, že?), kam tedy ta data bezpečně ukládat, co se tedy už považuje za bezpečné, a co ne, to ne, že jo. Ono to asi bude podobné jako s EET - nikdo nic neví, a hlavně, že se máme připravit předem a honem začít vrážet peníze do nějakého "řešení"... Víte co? Kvůli EET jsem pohřbil pracně vybudovaný e-shop (pro platformu, na které byl postavený, řešení EET neexistuje). Sotva jsem zadal výrobu nového, který by splnil požadavky, EET zrušili, resp. odložili (ale v mém případě šlo zejména o evidování plateb kartou, což zřejmě vážně zrušili). Zbytečně vyhozené peníze, čas, nervy... Opravdu RADOST podnikat v ČR!!!

    A co tedy mám dělat, když mi fyzická osoba ten souhlas nedá - nákup nebo poskytnutí služby tím souhlasem podmiňovat nesmím, ona mi ale údaje poskytnout musí, abych jí měl zboží kam poslat - tak já tu její adresu pak vymažu, nebo co? A co faktura? Tu přece musím schovávat 5 let. A co e-mailová korespondence? A někde asi musím mít evidované, že tato osoba mi souhlas nedala, ne? A i kdybych ty údaje vymazal, tak jak potom doložím, že jsem je vymazal? To budu mít někde seznam vymazaných údajů? Když zadokumentuju, že jsem údaje paní Anny Novákové vymazal ten a ten den - zase tam mám tu paní Annu Novákovou přece! BLBOST tohle všechno!!!

    Když už píšete chytré články, zaměřte se prosím konečně také na praktickou stránku věci. Hlavně, že se všude pořád opakuje informace o výši hrozící pokuty. To člověka vážně motivuje!

    Raději napište, co dělat, když člověku někdo ukradne mobilní telefon - jak třeba dokážu, že mi ho ukradli, a že jsem údaje v něm uložené (e-mailové adresy asi hlavně) někomu nedal/neprodal dobrovolně. Totéž s počítačem. Takže v počítači jako takovém asi abych raději vůbec žádné pracovní dokumenty neukládal, že? Doporučují se cloudová řešení - takže to mám mít všechny důležité dokumenty někde v DropBoxu nebo na Disku Google? Nebo jak teda konkrétně si to představují???? Já fakt nevím! A když teda mám účetnictví za minulé roky doma na půdě (pracuji doma) - tak je dostatečně zabezpečené tím, že klíče od bytu mají pouze členové mé rodiny a dvě sousedky, nebo není? To si mám kupovat trezor, nebo co mám dělat? KONKRÉTNÍ informaci od vás chci!

  • 4. 1. 2018 9:22

    Tomáš Neugebauer (neregistrovaný) ---.cas.pasnet.cz

    Odpovědi na vaše dotazy by vydaly na více než jeden článek. Proto jen velmi stručně k tomu hlavnímu.

    Neděste se pokut. Není to s nimi tak hrozné, jak se uvádí. Je to však nástroj umožňující vyvíjet tlak na potencionální zákazníky.

    Zcela konkrétní návod pro zavedení GDPR není možné zpracovat a poskytnout. Ten si musí udělat každý sám. Vychází to z pojetí GDPR, které je postaveno na konkrétních podmínkách u jednotlivého subjektu, resp. na vyhodnocení rizik u něj.

    V obecné rovině lze uvést, že nejprve je nutné analyzovat současný stav a zjistit s jakými osobními údaji nakládáte a jakým způsobem. Dále vyhodnotit, zda všechny osobní údaje opravdu potřebujete, nebo se bez nich obejdete. Zároveň s tím zjistíte, z jakého důvodu je potřebujete, z čehož vám vyvstane, zda pro nakládání s nimi potřebujete souhlas, či nikoliv. Tam, kde je nutný o něj požádejte podle pravidel GDPR. U těch, která nutně potřebujete, vyhodnoťte v jakých všech situacích s nimi nakládáte a jakým způsobem v jednotlivých situacích zabezpečeny. Poté vyhodnoťte, za tak vzniká riziko pro jejich ochranu či nikoliv. Na závěr si stanovte v nějakém dokumentu opatření pro ochranu osobních údajů.

    Z uvedeného vyplývá, že vám nikdo nemůže dát jednoznačnou odpověď na to co smíte a co ne, jakož i šablonu souhlasu se zpracováním údajů. Souhlas nesmí být obecný, ale konkrétní k poskytovaným osobním údajům a účelu jejich poskytnutí. Tedy definovat jej může pouze správce osobních údajů.

    Souhlas musí být poskytnut v případech, kdy není s osobními údaji nakládáno z důvodu:
    •plnění smlouvy, jejíž smluvní stranou je subjekt údajů nebo pro přijetí opatření před uzavřením smlouvy na žádost subjektu údajů,
    •plnění právní povinnosti,
    •ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
    •splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci,
    •účely oprávněných zájmů správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy subjektu údajů vyžadující ochranu osobních údajů, zejména dítěte.

  • 4. 1. 2018 19:49

    klap (neregistrovaný) ---.net.upcbroadband.cz

    Děkuji.

    Plnění právní povinnosti znamená, že mi zákazník musí poskytnout své fakturační údaje a že já tyto údaje pak musím dále poskytnout své účetní (a případně kontrole z FÚ) a mít je uložené po dobu těch 5 let?

    Plněním smlouvy, jejíž smluvní stranou je subjekt údajů (...) - to se vztahuje na smlouvy, které už mám uzavřené (např. s firmami/agenturami, které mi zadávají práci ke zpracování). Nemusím tedy tyto smlouvy nijak revidovat nebo k nim podepisovat dodatky? Doložka o mlčenlivosti je jejich součástí od samého začátku...

    Ono totiž někdy není jednoduché rozšifrovat, co se pod těmi frázemi vlastně skrývá za konkrétní situace. U těch ostatních bodů si vážně neumím představit, co by se pod nimi mohlo skrývat...

  • 4. 1. 2018 20:50

    aster (neregistrovaný) 78.108.157.---

    Je to jednoduché - pořiďte si trezor, velký jako kráva a do něj cpěte všechno, co vám nebude jasné - včetně WC papíru, který u vás použije při návštěvě zákazník...
    Je to pakárna a buzerace. Je hromada lidí, kteří musí vykazovat nějakou činnost, aby zdůvodnili, zač berou peníze...

  • 4. 1. 2018 21:01

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Uvedené odrážky znamenají, kdy není nutné pro zpracování údajů vyžadovat souhlas subjektu údajů (fyzické osoby). Příklad plnění právní povinnosti - ano. GDPR se vztahuje na smlouvy po 25. květnu 2018. Na předcházející se vztahuje současní zákon (platí obdobně). Smlouvy není nutné nijak revidovat nebo podepisovat doložky apod.

  • 6. 1. 2018 11:39

    Milan König (neregistrovaný) 109.105.49.---

    To bohužel není až tak jednoduché.

    Pokud prodáte občanovi, tak neexistuje žádný právní důvod proč schraňovat jeho osobní údaje (bez jeho souhlasu pro další zpracování).

    Pokud si občan chce koupit něco za 100 000 třeba, tak ze zákona stačí mu vystavit pouhou účtenku bez jeho osobních údajů.

    Jeho adresu potřebujete jenom pro doručení (plnění smlouvy). Pokud doručíte, tak tímto zákonný důvod skončí a pro držení jeho osobních dat potřebujete extra souhlas zákazníka. Který ho dát nemusí. K plnění smlouvy potřeba není.

    Podle zákona o dani z příjmu nepotřebujete žádné osobní údaje. Jenom celkovou tržbu. Koneckonců, jak by to pak dělaly supermarkety že..

    Podle zákona o vedení účetnictví potřebujete osobní údaje jenom pokud by vám zákazník dlužil. Pokud nedluží, jeho osobní údaje nepotřebujete.

    Podle zákona o DPH nejste povinen občanovi vystavit daňový doklad. Firmě (povinné osobě) ano, ale občanovi ne. Bez ohledu na částku. Pokud nejste povinen, tak opět nemáte zákonný důvod pro držení jeho osobních údajů.

    Kvůli záruce, nebo právu odstoupit od smlouvy je zase nepotřebujete. Zákazník prokazuje účtenkou, případně dokladem o převzetí. Supermarkety běžně v období vánoc poskytují právo na vrácení zboží (nad rámec zákonných povinností). Chtějí snad po vás nějaké osobní údaje? Nechtějí. Nepotřebujete osobní údaje.

    A tak je to se vším. Bez ohledu na to, co se píše v některých nezdravě optimistických předchozích příspěvcích, tak GDPR je strašlivý opruz.

  • 6. 1. 2018 14:59

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Opruz je to pro toho, kdo na to dosud kašlal. Kdo dodržuje požadavky současného zákona nebude mít těch starostí tolik, neboť novinek až tak moc není a ne všechny se dotýkají všech. Tolik jen na úvod.

    Ve svém příspěvku zcela opomíjíte možnost zpracování osobních údajů bez nutnosti vyžadovat souhlas od subjektu údajů pro účely oprávněných zájmů správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy subjektu údajů vyžadující ochranu osobních údajů, zejména dítěte. Tato možnost zahrnuje například zpracování osobních údajů pro účely přímého marketingu, jakož i pro účely zamezení podvodům (recitál 47 GDPR). Je pravdou, že pro správce je to možnost náročnější, než v případě plnění právních povinností, avšak nelze ji opomíjet. V praxi bude jistě využívána.

  • 6. 1. 2018 17:56

    Milan König (neregistrovaný) 109.105.49.---

    V praxi je to jenom nástroj na to, aby se na úkor produktivních lidí, kteří dělají něco užitečného, nabalili budižkničemu jako jsi ty, kteří nejsou užiteční nikomu a potřebují nějakou státní represi, aby z někoho vyrazili peníze za činnost, kterou nikdo nepotřebuje..

  • 6. 1. 2018 19:07

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Ohromně vtipný! Jen jste potvrdil, že jako někteří další diskutující, nemáte snahu o problému diskutovat a hledat odpovědi na otázky (někdo dokonce přiznal, že se k problematice nemůže vyjadřovat), ale pouze prudit. A nedej bože, když někdo, kdo o problému trochu něco ví, se snaží na dotaz, někoho, kdo hledá odpověď, což byl začátek této diskuse, mu ji poskytnout. To nejen vás rozohní, neboť ono se může ukázat, že vaše zcela odmítavé stanovisko nepramení ze znalosti stavu věcí, ale ze zcela nesmyslného postoje mě se to nelíbí, tak to musí být špatné (tím netvrdím, že GDPR je v pořádku; princip, na kterém je postaveno znám z praxe více než dvacet let, takže poměrně dobře znám jeho slabiny a dokážu si představit budoucí vývoj GDPR). Přece nemůžete být na vině vy, že máte o problému málo nebo nepřesné informace (např. o další možnosti umožňující nevyžadovat souhlas), ale na vině je určitě GDPR (minimálně tím, že vůbec existuje).

    Já jsem narušil řád této diskuse, jež měla být vzájemným utvrzením diskutujících ve svých zcela odmítavých stanoviscích k GDPR. Svými názory jsem je popudil, včetně vás, když jsem vaši informaci doplnil o další možnou cestu řešení. Avšak tím, že jste zde napsal, jaký jsem budižkničemu vaše ego povyrostlo, takže jste újmu neutrpěl. Vlastně to splnilo váše očekávání, neboť věcně jste disktuvat asi nechtěl, že (věcnou připomínku jste neuvedl)?

    Na závěr jen pro vaši informaci, GDPR se nijak neživím. Je to záležitost, která mne osobně zajímá. Ve svém volném čase jsem jej prostudoval, navštívil několik seminářů o něm a pročetl několik dalších materiálů, jež se jej týkaly. Prostě mě to zájímá, ale pověřencem se stát nechci. Bude to nevděčná a přitom vysoce odpovědná funkce. To, že mě problematika zájímá, je důvod, proč se účastním této diskuse. Přináší mi zajímavé poznatky o problému (např. jaké nesmysli mezi lidmi kolují, které informace jsou známi a které nikoliv). Prakticky provádím vytěžování a následný sběr informací.

  • 24. 2. 2018 8:55

    Mfrd (neregistrovaný) ---.ipv4.broadband.iol.cz

    Jedno doplnění. Pokud zboží doručím poštovní službou tak mi v účetních dokladech jeho osobní údaje zůstavají, jen je nesmím použít k dalšímu využití.

  • 4. 1. 2018 9:24

    JVr (neregistrovaný) 88.208.76.---

    Dobrý den,

    pokud jste OSVČ a rád byste vyřešil GDPR asi bych Vám doporučil si jej trošku prostudovat. Ta část, která se týká osob, podnikatelů a firem není tak dlouhá články 1 ~ 39 (str 32 - 56). Přiznávám, že to není lehké čtení především pro někoho bez právního vzdělání. Pravděpodobně dojdete k tomu, že žádné souhlasy nepotřebujete a jediné, co musíte vyřešit jsou právě zpracovatelské smlouvy a trochu se zamyslet nad tím, jestli os. údaje dostatečně chráníte. Možná při tom objevíte i jaká budete/máte práva jako fyzická osoba v toto ohledu.
    Pokud budete mít problém nařízení porozumět doporučil bych knihu: NULÍČEK, M., DONÁT, J., NONNEMANN, F., LICHNOVSKÝ, B.,
    TOMÍŠEK, J. GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR, 2017. (ISBN 978-80-7552-766-0), kde je poměrně detailně vyložen obsah nařízení.

    Alternativně GDPR neřešte do té doby, než bude jasnější, jak má vše v tomto ohledu fungovat (než bude nějaký ten rok platit), protože nepředpokládám, že by kontroly začaly chodit po OSVČ. Budou mít dost práce (na pár let dopředu) s velkými rybami, které si z našeho soukromí dělají business, jako je třeba Facebook :)

  • 4. 1. 2018 9:51

    Tomáš Neugebauer (neregistrovaný) ---.cas.pasnet.cz

    V žádném případě nechci nikoho podceňovat, avšak studium přímo GDPR bych doporučil osobě zběhlejší v ochraně osobních údajů, jakož i v právním předpisech. Ono to opravdu není jen o přečtení článků 1 až 39, a to i v případě vámi uvedené podařené publikace. S čím však opravdu nemohu souhlasit je stanovisko: "GDPR neřešte do té doby, než bude jasnější, jak má vše v tomto ohledu fungovat". Ono totiž nejde o kontroly ÚOOÚ a SÚIP, ale o zákazníky, kteří se pravděpodobně začnou chovat obdobně jako u EET.

  • 4. 1. 2018 9:37

    Tomáš Neugebauer (neregistrovaný) ---.cas.pasnet.cz

    Ještě jsem si uvědomil, že jsem vám neodpověděl na jednu důležitou otázku, a to na způsob ochrany osobních údajů.

    Zabezpečení osobních údajů má být provedeno s přihlédnutím ke stavu techniky, nákladům na provedení, povaze a rozsahu zpracování, jakož i jejich kategorii, kontextu a účelu zpracování a k různě pravděpodobným a různě závažným rizikům pro práva a svobody subjektů údajů. Je možné, nikoliv povinné, například provést pseudonymizaci [nahrazení identifikačních údajů kódem (databáze vazeb kód-identifikační údaj je uložena odděleně)] nebo šifrování osobních údajů. Musí být přijata taková opatření, aby osobní údaje zpracovávala pouze fyzická osoba, která je zpracovává na pokyn správce nebo zpracovatele. Jejich počet by měl být minimalizován. To však u vás není podstatné, neboť jste sám.

  • 4. 1. 2018 10:02

    * (neregistrovaný) ---.net.upcbroadband.cz

    Z toho vyplývá, že mzdová účetní pracující doma na živnost pro pár řemeslníků, co mají každý do tří zaměstnanců udělá nejlíp, když svoje mikropodnikání zabalí.
    Nebo může podepsat každému zpracovatelskou smlouvu, že má všechno zabezpečené, anonymizované, kódované a pod alarmem, ale první poslání výsledků mailem a ona i ten řemeslník jsou v průšvihu.

  • 4. 1. 2018 10:29

    Tomáš Neugebauer (neregistrovaný) ---.cas.pasnet.cz

    Vůbec ne. Vše jste zcela špatně pochopil nebo pochopila anonyme. Zpracovatelskou smlouvu zpracují jednotliví řemeslníci, neboť oni jsou správci osobních údajů svých zaměstnanců, a zároveň v ní stanoví podmínky ochrany těchto údajů při jejich zpracování mzdovou účetní (nestačí napsat, že budou dodržovány požadavky GDPR). Ta si musí rozhodnout, zda jsou pro ni přijatelné, či nikoliv. Pokud ano, smlouvu podepíše. Tím se pro ni staly závaznými. Pokud účetní odešle osobní data e-mailem v otevřené podobě a bude mít ve zpracovatelské smlouvě stanoven jiný způsob zaslání, bude to její problém. Nebude-li ho tam mít stanoven, bude to problém příslušného řemeslníka-zaměstnavatele. Ani v jednom případě to však není důvodem k zabalení podnikání, a to ani v případě, že by za to byla uložena pokuta (nevěřte na strašáky jménem pokuta). Proč by mělo být?

    Důležitá poznámka na závěr: mzdová účetní nebude ve zpracovatelské smlouvě podepisovat, že má všechno zabezpečeno, ..., ale to, že splní podmínky při zpracování, které jí správce (řemeslník) uložil. Ten má právo a povinnost toto plnění kontrolovat. Účetní mu musí doložit, že plní podmínky, které jí on pro zajištění ochrany osobních údajů, které jí poskytl stanovil. Ochrana osobních údajů není obecně stanovena, ale stanovuje si ji správce údajů, který je za ni odpovědný, a to i u zpracovatele.

  • 4. 1. 2018 14:54

    JVr (neregistrovaný) 88.208.76.---

    "Ochrana osobních údajů není obecně stanovena, ale stanovuje si ji správce údajů, který je za ni odpovědný, a to i u zpracovatele."

    Toto je určitě pravda, nicméně z toho nevyplývá, že by nutně (vždy) zpracovatelskou smlouvu připravoval správce. Prakticky to ani není realizovatelné, protože někteří zpracovtelé např. cloudových služeb mají jednu "univerzální" zpracovtelskou smlouvu pro všechny (většinu) správce a je už na správci, zda ji přijme, či si najde jiného zpracovatele, jehož smlouva mu bude lépe vyhovovat. Z toho tedy plyne, že scénář bude pravděpodobně takový, že mzdová účetní dá svým zákazníkům návrh smlouvy a ti ji s ní podepíší. Případně si vyžádají nějaké změny pokud se jim bude zdát "nevhodná" nedostatečná. Je už na účetní, zda jejich požadavky začlení do zvláštní smlouvy s nimi, nebo se rozhodne s nimi smlouvu neuzavřít. Ostatně je to stejné jako u všech ostatních smluv. Většinou pokud mi někdo něco nabízí, tak i ten nabízí smlouvu - samozřejmě pro větší/významné zákazníky bude ochoten smlouvu přizpůsobit, ale tento stav se určitě s GDPR měnit nebude. Jde jen o to, aby si řemeslníci v takovém případě pohlídali, že jim nabízí účetní smlouvu, která je v souladu s požadavky GDPR a pokud ne, tak si našli jinou účetní.

  • 4. 1. 2018 15:27

    Tomáš Neugebauer (neregistrovaný) ---.cas.pasnet.cz

    Smlouva je vzájemná dohoda a je jedno, která ze stran zpracuje její návrh. Já jsem jen chtěl zdůraznit, připouštím, že nevhodně, že mzdová účetní nebude tím, kdo bude určovat požadavky na zajištění ochrany osobních údajů. Podle GDPR jsou cloudy v podřízeném postavení. Je zcela chybné domnívat se, že řemeslníci by si měli pohlídat, aby smlouva s účetní byla v souladu s požadavky GDPR. To by bylo zcela nedostatečné, neboť oni jsou tím, kdo má právo, ale i povinnost ty požadavky stanovit. V GDPR uvedeny nejsou.

  • 4. 1. 2018 14:56

    Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

    Zpracovatelskou smlouvu zpracují jednotliví řemeslníci

    A vy jste sem spadl přímo z bruselské višně, nebo z Marsu? Von třeba zedník nemá nic lepšího na práci, než zpracovávat smlouvu o tom, že účetní neproflákne přísně tajné osobní údaje kopáčů Fera a Deža, žejo... a sepíše to po večerech, jen co si umeje nářady vod malty.

  • 4. 1. 2018 15:29

    Tomáš Neugebauer (neregistrovaný) ---.cas.pasnet.cz

    Pokud je podnikatel a není pouhý melouchář (rozdíl není v tom, že má na to ŽL), tak ano.

  • 4. 1. 2018 15:55

    Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

    Samozřejmě, takže melouchář mu přebere kšefty, zatímco podnikatel bude mastit nesmyslnou hromadu papírů pro účetní, kterou 20 let nepotřeboval a která bude i nadále dobrá jedině k vytření prdele.

  • 4. 1. 2018 17:08

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Váš styl vyjadřování je jasným dokladem o vaši úrovni. Nicméně vám odpovím alespoň na část. Ano, máte pravdu, že melouchář mu přebere kšeft, protože své služby nabízí za dumpigové ceny, které si může dovolit díky neoprávněnému snižování nákladů. Jedná se o nekalou soutěž, za kterou může být melouchář hnán k zodpovědnosti a pak se bude divit. Vy však preferujete to špatné před dobrým, neboť na to dělat to dobře asi nemáte (on ne každý melouchář může být podnikatelem).

  • 4. 1. 2018 17:30

    Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

    No, já se vyjadřuju, jak mi huba narostla, ale jak tak koukám na vás, tak žvanění o BOZP už asi tolik nenese, protože vás všude prokoukli a ženou vás koštětem rovnou u dveří, takže je třeba nějaká nová agenda, jak hejly podojit, nějaká pořádná bruselovina je k tomu účelu ideální, viďte, hlavně o tom "odborně" pokrafat, co?

  • 4. 1. 2018 18:18

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Díky za reklamu. Ale já se přednášením neživím. Nabídky na lektorskou činnost dostávám, takže občas nějaký seminář udělám. Na letošní rok již něco mám. Také publikuji a poskytuji konzultace (to vše mimo své povolání). Za své reakce a komentáře v diskusích jsem obdržel nabídku ke spolupráci i od serveru Podnikatel.cz.

    Mou práci hodnotí skuteční odborníci, nikoliv hulváti, takže jí mám opravdu dost a opravdu si vybírám.

  • 4. 1. 2018 20:41

    aster (neregistrovaný) 78.108.157.---

    To, že se umíte vyjadřovat, z vás odborníka na danou problematiku nedělá - znám pár lidí, kteří umí hezky popsat fyzikální zákony, aniž by jim rozuměli...
    Někdy má hulvát realističtější pohled na věc, než poplatný člověk vašeho druhu.

  • 8. 1. 2018 11:38

    Znechucený občan (neregistrovaný) ---.net.upcbroadband.cz

    Tomáš Neugebauer -> Ochrana osobních údajů je důležitá, to určitě, hlavně při zneužití databází institucí anebo velkých internetových společností. Ale proč by každý obyčejný člověk, jako např. živnostník anebo mzdová/ý účetní, kteří musí dle zákona použít identifikační údaje zaměstnanců museli ovládat právnické vzdělání, sepisovat nějaké smlouvy a dělat nesmyslné analýzy, rozbory a popisování kde jak uklidí který údaj, papír, nebo soubor?
    V případě zákonem předepsané povinnosti použít osobní údaje MUSÍ již samotný zákon stanovit jak s těmito údaji zacházet, ne že se veškeré povinnosti zase hodí na poplatníky pod pohrůžkou pokut a dalších restrikcí.
    U společností, které evidují osobní údaje za účelem obchodu, je třeba zajistit ochranu jejich zneužití podle jasně stanovených podmínek zákonem.
    Pokud bude v zákoně jasně stanoveno, jakým způsobem se MUSÍ údaje ochránit, není třeba vymýšlet nesmysly.
    Takže jako vždy, mnoho povyků pro nic a státní aparát bují, bují a bují. A český národ zase vymýšlí spousty pitomostí.
    Je třeba požít zdravý rozum, nic jiného. Od zákonodárců a od státu se to čekat nedá.
    Já, jako mzdový účetní udělám jedinou věc. Počítač, na kterém zpracovávám mzdy odpojím od internetu, zabezpečím dostatečným heslem, nikoho k němu nepustím, zamknu na deset západů za mříže v kanceláři. Zaměstnanci musí podepsat souhlas se zpracováním jejich údajů (i když to je nesmysl) a veškeré papírové dokumenty zamknu do trezoru a klíč od něj si uložím nejlépe na řetěz na krku. A je to. Žádný cloud, datové zprávy, e-maily, datové schránky a podobné nesmysly ke kterým nás nutí stát. Hezky zpět ke klasickému zpracování dokumentů, k přírodě a zdravému rozumu. Velký krok zpět, ale odstraní to veškeré pochybnosti.
    GDPR by mělo také obsahovat, že v případě, kdy stát zákonem povinně stanoví použití osobních údajů a přinutí poplatníka posílat prostřednictvím elektronické komunikace, ručí stát za jejich nezneužití a zabezpečení.

  • 8. 1. 2018 13:08

    Tomáš Neugebauer (neregistrovaný) ---.cas.pasnet.cz

    Váš příspěvek je značně podnětný. Navíc, jako mnohé příspěvky prokazuje neznalost požadavků GDPR. Proč je, podle vás, tak zásadní rozdíl mezi možností zneužití databází velkých společností a malých živnostníků? Snad jen v objemu dat, jinak je to stejné. Po živnostníkovi není požadováno, aby ovládal právnické vzdělání.

    Na váš dotaz, proč je ochrana osobních údajů, resp. požadavky na ni, na základě GDPR taková, jaká je, vám mohu jen uvést, že byl zvolen systém, který Evropské společenství zvolilo v 80. letech pro oblast bezpečnosti práce. Je to systém postavený na principu analýz rizik. Předností tohoto systému je to, že umožňuje stanovit potřebná opatření na zcela konkrétní podmínky u jednotlivého subjektu. Tedy přesně vyhovuje konkrétní situaci v místě a času. Na druhou stranu, díky tomu, vyžaduje zvýšenou časovou a administrativní zátěž na koncový článek, neboť ten je tím, kdo stanovuje podmínky. Proto tyto podmínky nejsou a, vzhledem k principu, ani být nemohou v právním předpise. Jedná se tedy o vysoce efektivní princip, který však pro více než 90 % firem v ČR (mikrofirmy) je nevyhovující. Čím je firma větší, je pro ni výhodnější. Není to však z důvodu, že má větší kapacity, ale z důvodu, že má sofistikovanější systém řízení společnosti. Celý problém je založen na systému řízení, které u živnostníka je velice jednoduché, a to i v případě, že zaměstnává dva, tři zaměstnance.

    Nevím, zda z uvedeného je vám jasné o co jde, ale to je podstata problému. Stále méně a méně právních předpisů stanovuje vámi požadované MUSÍ. Vrátím-li se k GDPR, tak ono si opravdu ukouslo obrovské sousto. Rozhodlo se stanovit pravidla pro ochranu osobních údajů téměř bez jakýchkoliv omezení (časových, dislokačních, objemu zpracovávaných dat atd.). Za této podmínky je prakticky nemožné stanovit jednotlivá konkrétní opatření. Uvědomte si, že GDPR je vytvořen tak, aby byl použitelný na Microsoft, jako i OSVČ bez zaměstnanců, jedno, zda data zpracovávají v EU nebo mimo ni.

    Nemáte pravdu v tom, že státní aparát bují, neboť ÚOOÚ zůstává nezměněn (alespoň zatím má mít i nadále jen sedm inspektorů), jakož i, že český národ vymýšlí pitomosti, neboť se jedná o přímo použitelný předpis EU. ČR se na jeho tvorbě podílela, ale není to její předpis.

    Co se týče vámi uváděných opatření, tak zásadní připomínka je ta, zda budou vyhovovat vašim zákazníkům. To je určující. Například neuvádíte, jak budete mít zabezpečen transport dat obsahujících osobní údaje mezi nimi a vámi. Dále, proč by zaměstnanci museli podepsat souhlas se zpracováním jejich osobních údajů. To by bylo porušení systému nastaveného GDPR (naopak nemají podepsat!). Vámi navrhovaný návrat ke klasickému zpracování dokumentů zas toho tak moc nevyřeší, neboť i na něj se vztahuje GDPR, pokud dokumenty obsahují osobní údaje! Je jednot, zda je máte uložené v počítači nebo v šanonu.

  • 9. 1. 2018 15:10

    Miroslava Skalická (neregistrovaný) ---.czso.cz

    Děkuji Vám, pane Neugebauere, že jste to tak pěkně shrnul. Uštřil jste mi čas, právě jsem se chystala napsat podrobnou odpověď s vysvětlením. Už jsem nemohla déle vydržet poměrně vysokou míru ignoranství a nesmyslného nepochopení zásad ochrany osobních údajů.
    Pěkně jste to shrnul, snad už to teď pochopí i účastníci diskuse, kteří o ochraně osobních údajů nemají dostatek povědomí.

  • 9. 1. 2018 8:43

    Tomáš Neugebauer (neregistrovaný) ---.cas.pasnet.cz

    Zapomněl jsem dodat, že to vaše MUSÍ by do jisté míry měly řešit kodexy chování, které mohou vypracovat sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů. Lze zcela oprávněně předpokládat, že kodex chování pro mzdové účetní vznikne.

  • 26. 1. 2018 2:29

    Pavel

    Znechucený občane,

    omezím se jen na jednu připomínku.

    Když jsem si z vlastního zájmu počítal kolik osobních údajů může evidovat mzdová účetní o zaměstnanci, tak jsem znechucen skončil u čísla 40. A u žádného osobního údaje jsem nenašel nutnost souhlasu. Všechny mnou identifikované údaje vyžaduje nějaký zákon.

    Je trochu problém, že jednotlivé osobní údaje mají jiný termín výmazu podle čl. 17 GDPR.

    Bylo by vhodné aby ÚOOÚ vydal např. seznam osobních údajů ve mzdové oblasti s uvedením zákonnosti zpracování a termínu výmazu, ale to nechtějí, protože to asi neumí. A tak si to bude každá mzdová účetní vytvářet sama. Ještě, že nedělám mzdové účetnictví.

    Hezký den!

  • 26. 1. 2018 1:59

    Pavel

    Tomáši,

    píšete, že se 20 let zajímáte o ochranu osobních údajů. Patrně se ale o ochranu zajímáte pouze v teoretické rovině a netušíte jaká je praxe.

    Nedovedu si představit jak řemeslník - řádný podnikatel- zpracuje smlouvu pro svou účetní ohledně GDPR.

    Řemeslník musí umět hlavně řemeslo, GDPR je pouze další klacek pod nohy. A to ho ještě bude čekat evidence tržeb a jiné výmysly naší strany a vlády.

    Také jsem navštívil semináře s pracovníky ÚOOÚ. Jejich odpovědi, že je na nějaký problém více názorů a že to vyjasní judikatura, mnoho optimismu na paskvil GDPR mezi posluchače nevneslo.

    GDPR je hlavně příležitost pro různé vykladače a zpracovatele dokumentace. Kdo tvrdí, že to nepřinese náklady pro podnikatele, je lhář.

    Hezký den!

  • 8. 2. 2018 11:39

    Tomáš Neugebauer (neregistrovaný) ---.cas.pasnet.cz

    Ano, takhle vznikají zkreslující informace! Nikde jsem nepsal, že se dvacet let zajímám o ochranu osobních údajů. Pouze jsem uvedl, že více než dvacet let znám princip, na kterém je v současné době postaveno GDPR. To je podstatný rozdíl!

    Řemeslník, který je podnikatel, si nemůže vystačit s tím, že hlavně zná své řemeslo. Žijeme v 21. století, kdy práce je vysoce sofistikovanou činností. Pokud chce, nebo je nucen, podnikat, musí se tomu podřídit. Být dobrý řemeslník neznamená být dobrý podnikatel (mnohdy je tomu právě naopak, což je pochopitelné).

    "GDPR je hlavně příležitost pro různé vykladače a zpracovatele dokumentace." - GDPR je postaveno na stejném principu jako BOZP. Podívejte se, kde je dnes BOZP, oproti druhé polovině devadesátých let, a máte odpověď na to, jakým pravděpodobným směrem se bude vytváření souladu s GDPR vyvíjet. Tenkrát to byla též půda pro různé vykladače a zpracovatele dokumentů, a to jak na středně odborné, tak vysoce odborné úrovni. Ono to dost dobře jinak nejde. Neočekávejme upřesnění pravidel od ÚOOÚ, ale od různých oborových sdružení (např. účetních). Ty můžou vydat kodexy chování, stanovujících podrobnější pravidla pro ochranu osobních údajů při výkonu oborové činnosti (dokonce mohou platit pro oborovou činnost v celé EU).

    "Kdo tvrdí, že to nepřinese náklady pro podnikatele, je lhář." - Je nutné rozlišit jaké náklady a v jaké výši. Zavedení souladu s GDPR zcela logicky nějaké náklady přinese každému subjektu. Není však pravda, že se bude jednat o nějaké značné náklady, neboť mnoho věcí podnikatelé musí dnes již plnit podle současného platného zákona. Kdo to neplní, tak pro něj vytvoření souladu s GDPR přestavuje značené zvýšení nákladů! A to je dobře, neboť zatím šetřil na nákladech tak ať to nyní "dorovná". Mnohdy tvrzení o značně zvýšených nákladech pramení z neznalosti požadavků na zavedení souladu s GDPR - např. každý si musí zajistit pověřence, data musí být šifrována, musí být ukládána do cloudu, smí být pouze v elektronické podobě (musí být zrušeny šanony), na nakládání se všemi osobními údaji musím mít souhlas atd. Naplnění těchto nesmyslů pochopitelně náklady významně zvyšuje.

  • 4. 1. 2018 16:45

    * (neregistrovaný) ---.net.upcbroadband.cz

    Taky anonyme, právě jste mi to objasnil :-)
    Každý živnostník, který měl doteď požadavek na zpracovatele povinné oblasti (účetnictví, daně, bezpečnost práce, zaměstnávání, hygiena, EET, revize nářadí, ...) zformulovaný na "udělejte to tak, aby to bylo správně a nehrozily mi pokuty" si najednou o víkendu sedne a sesmolí nenapadnutelnou GDPR příručku a smlouvu.
    To by bylo, abysme nepřekročili plán prodeje papíru.
    Ještě si může objednat vás a vy mu už po pár konzultacích tak zamotáte palici, že půjde do šedé ekonomiky i on.

  • 4. 1. 2018 17:29

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Já nejsem anonym, já používám své jméno. Vy hvězdičku.

    Už v úvodu jste se dopustil jedné chyby požadavek na zpracovatele zformulovaný, jak vy uvádíte "udělejte to tak, aby to bylo správně a nehrozily mi pokuty" je možný jen v některých vámi uvedených případech. V bezpečnosti práce je to stejně nedostatečné jako v GDPR, neboť GDPR je vytvořeno právě na stejných principech, na kterých byla v roce 1989 vytvořena BOZP, a jak je požadováno její plnění v ČR od 1. 1. 2001. Tedy platí stejná zásada, že zaměstnavatel si stanovuje pravidla zajištění BOZP, nikoliv dodavatel slůžeb (pro příklad zaměstnavatel určuje obsah tzv. školení BOZP, nikoliv dodavatel služeb).

    Nyní k tématu. Správce by měl vybrat důvěryhodného zpracovatele, poskytujícího dostatečné záruhy. Zpracovatel může zpracovávat osobní údaje jen na základě pokynů správce (na základě ujednání).

    Smlouva mezi nimi musí být uzavřena písemně a stanovit, že zpracovatel zpracovává osobní údaje pouze doložených pokynů správce, zajišťuje, aby se osoby oprávněné zpracovat osobní údaj zavázaly k mlčenlivosti, příjme opatření k zabezpečení osobních údajů, dodržuje podmínky pro zapojení dalšího zpracovatele, zohledňuje povahu zpracování, je zprávci nápomocen v technických a organizačních opatřeních, vymaže nebo vrátí správci osobní údaje po ukončení poskytování služeb a poskytne správci informace potřebné k doložení toho, že byly splněny povinnosti podle čl. 28, včetně inspekcí.

  • 4. 1. 2018 19:13

    aster (neregistrovaný) 78.108.157.---

    Hm, zřejmě jste právník, a to, co tady píšete beru jako fakta. Nechápu, jak s tak zjevnou buzerací může inteligentní člověk souhlasit...viz internet a tzv. ochrana dat. Toto celé je jen "mnoho povyku pro nic"...

  • 4. 1. 2018 19:22

    Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

    Hm, zřejmě jste právník

    Ale kdepak.

    Nechápu, jak s tak zjevnou buzerací může inteligentní člověk souhlasit...

    Viz výše, dotyčný je tzv. buserant z povolání. :-P

  • 4. 1. 2018 20:12

    aster (neregistrovaný) 78.108.157.---

    Díky za info - ono je to vlastně jedno - tito lidé jsou na jedné lodi. Je to buzerace, nikdo mě nepřesvědčí o jiném. Já to vnímám jako snahu zničit postupně drobné podnikání, aby všechny prachy mohly jít za velkými firmami. Jak můžu já, jako zaměstnavatel pár lidí (doslova) zneužít jejich data? Do čerta, to je jak za socíku, tzv. vojenské tajemství - což bylo třeba jméno velitele útvaru - ale to jaksi ještě dávalo smysl - mohli by ho chytit a mučit...ale toto zde - čistokrevná pakárna a seru jim na to!

  • 4. 1. 2018 19:48

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Právník nejsem. Pouze mám z pracovního práva zkoušku.

    Ono se nejedná o takovou buzeraci, jak se o tom píše a hovoří. Tím méně z toho bude buzerace po 25. květnu a ještě méně v ČR, kde se prakticky téměř nic nezmění.

    Zda je to mnoho povyku pro nic ukáže budoucnost. Pravdou jsou dva fakty, a to že se jedná o zcela nové pojetí ochrany v celosvětovém měřítku (EU se podařilo, aby na to nějakým způsobem reagovaly USA a další země mimo EU), a že údaje o jednotlivých fyzických osobách budou stále více a častěji zneužívány. Zda GDPR nastavený systém napomůže tomu zabránit ukáže čas. Jak již jsem zde v diskusi uvedl jedná se o model, který byl použit pro zajištění BOZP. Po téměř třiceti letech jeho existence nepotvrdil své jednoznačné kvality. To však neznamená, že je zcela zavrženihodný. Ve svém základě je vysoce kvalitní. Bohužel má však jednu zásadní nevýhodu - je velice těžce uplatnitelný u mikrofirem. A v ČR se k tomu připojuje ještě jeden problém. My chceme, aby nás vše co možná nejméně zatěžovalo (stanovte mi, co mám udělat za 1., za 2. atd. ať to udělám a mám od toho pokoj) a tento systém je založen právě na tom, že koncový článek na základě stanovených kritérií si sám stanovuje co má udělat a jakým způsobem a pak to provede. Iniciativa je na něm.

    GDPR není žádnou velkou novinkou. Drtivá většina povinností měla být již dávno plněna. Praxe je však jiná, a proto se jeví tak hrozným - viz téma tohoto článku.

  • 4. 1. 2018 20:15

    klap (neregistrovaný) ---.net.upcbroadband.cz

    "... My chceme, aby nás vše co možná nejméně zatěžovalo (stanovte mi, co mám udělat za 1., za 2. atd. ať to udělám a mám od toho pokoj) ..."

    - Jestli to nebude tím, že lidé by přece jen raději dělali svou práci (a vydělávali peníze), namísto zjevně zbytečného papírování (a utrácení za vnucené blbosti), víte? Spousta lidí svou práci miluje a dokáže se do ní ponořit a nadchnout se pro ni, jenomže tisíce povinností, zákazů, regulací atd., které mu ubírají čas a sílu, člověka jaksi demotivují. Takže se nedivte. Já jsem jen v posledních letech tvrdě řešil tyto záležitosti: nechtěný pád do skupiny plátců DPH (poté, co jsem poskytl službu do jiného státu EU), když jsem se z toho po několika letech pracně vymotal, přišlo MOSS (a s velkým údivem jsem zjistil, že když prodám soubor, neprodávám zboží, ale poskytuji službu, takže jsem mezi plátce málem spadl zase), pak EET, kvůli kterému jsem musel zbourat pracně vlastnoručně vyrobený e-shop, nyní GDPR, ... Naštěstí tedy aspoň nejsem kuřák. Co si vymyslí příště? Co dalšího nám zakážou?!

    Veškerá legislativa navíc zjevně vzniká tak, že se nejprve stanoví drakonické pokuty, a až pak se domýšlí ten zbytek. A domýšlejí ho lidé, kteří o dané věci asi mnoho nevědí. Vy si nepamatujete, co se dělo na podzim 2016 kolem EET? Oni zřídili speciální telefonickou linku, kde měli proškolení odborníci odpovídat na dotazy - jenomže se ukázalo, že oni vůbec netuší, jak funguje e-shop, jak probíhá platba, že já asi těžko přinutím PayPal, aby do procesu platby implementoval odeslání zprávy finanční správě a přijetí FIK, atd. atd. Měli portál, kam mohl člověk vkládat dotazy - takže já jsem v polovině října 2016 vložil dotaz - a odpověď mi prosím pěkně přišla na konci února 2017, přičemž od 1. 3. startovala další vlna. Skandál! A tohle si platíme, že...

    Pokud jde o GDPR, tak vážně nechápu, proč bych měl anonymizovat nebo šifrovat jména a adresy svých zákazníků, která vidím jen já sám (plus moje účetní), když jsem na druhou stranu nucen tisknout své RODNÉ ČÍSLO, tedy osobní údaj z nejcitlivějších, na každou hloupou účtenku!!! Když o sobě jakožto majitel IČ najdu na internetu veškeré kontaktní údaje včetně fotografie domu, ve kterém bydlím (a zároveň podnikám) a včetně ročního obratu já nevím kolik let zpátky!!! Údajně zcela legálně! Tak co tady jako chceme chránit?!?

  • 4. 1. 2018 21:57

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Chápu vaše rozhořčení. Vím, že podnikat není legrace. Na druhou stranu je nutné uvést, že podnikání není jen pouhý výkon práce. To si bohužel mnozí začínající podnikatelé neuvědomují.

    Mnoho problémů vzniká z neiformovanosti. Uvádíte: "vážně nechápu, proč bych měl anonymizovat nebo šifrovat jména a adresy svých zákazníků". Já to také nechápu, neboť to nic nepožaduje. Je to nejen zbytečné, ale i nesmyslné. GDPR nic takového nepožaduje. Jak již jsem mnohokrát zmínil, způsob ochrany si stanovujete sám.

    Problém RČ u podnikatelů je kapitola sama pro sebe. Osobně nevěřím, že bude v nějaké dohledné době vyřešena.

  • 15. 2. 2018 0:05

    Jinuše (neregistrovaný) ---.ipv6.broadband.iol.cz

    Souhlasím s Vámi, celkem nechápu v čem mě chce EU ochraňovat. Jsem OSVČ a plátce DPH. Dle registrů si každý najde moje rodné číslo a číslo mého účtu, které jsem byla povinna zveřejnit včetně mé adresy a mapky, kde sídlím. Tyto údaje spravuje stát, OSSZ a VZP. Pokud si objednávám internetem např. knihy,
    tak kromě adresy, která je veřejně dostupná nic jiného neuvádím-nepotřebuji aby mě chránil stát u objednávek zboží, by stačilo kdyby DIČ nebylo rodné číslo, které si mám chránit jak mi radí stát. A chránit by je měly např. zdravotní pojišťovna a firmy, které k registraci požadují např. datum nar. jako třeba FCB. A když je ŽL přes 2 mil., i když píší, že cca 1 mil. je neaktivních-z toho bude většina plátců DPH(soudím dle 25 let praxe a skladby klientů) to se nám to válí nechráněných rodných čísel na webu a nelze se proti tomu nijak bránit.
    A názory jako že si živnostník sám napíše smlouvu pro účetní-když bude mít účetní od 10 pravidelných zákazníků 10 smluv s různými pravidly? A ještě ti co chodí 1x za rok, podnikají při práci a má třeba 3 faktury a 1 zaměstnance na dohodu(také při práci), ten si bude vymýšlet svá další pravidla. Takže když děláme cca 50 přiznání tak 50 různých smluv dle jednotlivých požadavků správců-na to museli určitě v EU dlouho studovat. A co se týká cen za služby - ono je rozdíl v Praze a v např. Ústeckém kraji

  • 15. 2. 2018 8:52

    Tomáš Neugebauer (neregistrovaný) ---.cas.pasnet.cz

    Rodné číslo v DIČ je opravdu průšvih. Domnívám se však, bohužel, že řešení tohoto problému nepomůže ani GDPR. Pokud se budu mýlit, budu jen rád. Avšak mé zkušenosti z jiné oblasti, kde stát také není zcela v souladu s evropským postojem, mne nutí ke skeptickému postoji.

    GDPR nebude řešit jen ochranu osobních údajů, když si objednáte knihu, ale i vámi požadovanou ochranu u zdravotní pojišťovny apod.

    Co se týče smluv s účetními, je nutné na to nahlížet z pohledu, že Nařízení je právní předpis a právní předpis se neřídí logickými a praktickými postupy, ale právními zásadami. Je nutné si uvědomit, že právní vztah je mezi subjektem údajů (fyzická osoba) a správcem údajů (zaměstnavatel), nikoliv mezi subjektem údajů a zpracovatelem údajů (externí účetní). Proto odpovědnost za zajištění ochrany osobních údajů vůči subjektů údajů nemůže mít zpracovatel, ale správce. Z tohoto důvodu musí být za zajištění ochrany osobních údajů u zpracovatele odpovědný správce, a proto správce musí být tím, kdo stanovuje požadavky na jejich ochranu a kdo u zpracovatele kontroluje jejich dodržování. Sám se osobně domnívám, že v praxi to bude fungovat tak, že účetní bude mít zpracován jeden papír, který dá každému správci podepsat a hotovo. To však je zcela chybný postup odporující nejen smyslu práva, ale i smyslu ochrany osobních údajů. Díky tomu se pak GDPR v této části stane formálním a do jisté míry přestane plnit svou funkci.

  • 4. 1. 2018 19:30

    Petr71 (neregistrovaný) 46.167.205.---

    Tedy jestli jste přesvědčen, že tohle bude nějaký zedník, elektrikář, instalatér...scho­pen a ochoten řešit tak asi žijete v nějakém jiném vesmíru. Pokud je za to začne někdo buzerovat a pokutovat může to pro mnohé být ta poslední kapka po které se přesunou na pracák a do šedé zóny. Rozhodně to ale ve všech opět posílí oprávněný pocit, že tento stát a EU je jejich největší nepřítel.

  • 4. 1. 2018 20:08

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Konečně rozumná reakce!!! Celá diskuse se rozvinula kolem příkladu řemeslníků zaměstnávajících zaměstnance. Řemeslník, který zaměstnává zaměstnance, již není jen řemeslníkem, ale též zaměsntavatelem a z tohoto důvodu musí plnit celou řadu povinností, a to nejen, co se týče ochrany osobních údajů. On prakticky přestává být řemeslníkem. Na to mu zbývá jen málo času.

    Vrátím-li se k vašemu příspěvku, zda zedník, elektrikář, instalatér, tedy OSVČ bez zaměstnanců, bude schopen a ochoten řešit smlouvu, je nutné si nejprve odpovědět na otázku: A bude to potřebovat řešit? Já se domnívám, že nikoliv? Neboť s jakými osobními údaji a za jakým účelem s nimi nakládá? Nelze vyloučit, že v některých případech ano, ale domnívám se, že to bude minimálně.

    Jediné riziko, které zde vidím je nakládání s dokumenty. Řemeslníci obecně nemají k tomu příliš vstřícný vztah a může se stát, že někde zapomenou, ztratí, vyhodí apod. dokument obsahující osobní údaje (fakturu soukromé osobě). Pak může vzniknout problém.

    Prosím vás, nestrašme se pokutami. Není to tak hrozné, jak se píše. Ono se záměrně o nich píše jen část pravdy, a to ta nejhorší.

  • 4. 1. 2018 20:27

    Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

    Prosím vás, nestrašme se pokutami. Není to tak hrozné, jak se píše.

    Jednal jste někdy s "odborníky" z ÚOOÚ? Asi ne, že... Ono totiž od úřadu, kde místo inspektorů je přeplacenou trafikou pro zkrachovalé politiky a jejich kamarády, nic dobrého očekávat nelze. Naopak se jedná o jeden z nejškodlivějších úřadů v této zemi. Počínaje "přínosem" v oblasti likvidace transparentnosti komunální politiky a konče například takovými perlami, jako je pokutování okradených za zásah do soukromí zlodějů kradoucích za bílého dne před kamerou.

  • 4. 1. 2018 20:35

    aster (neregistrovaný) 78.108.157.---

    Promiňte, ale vy jste snad cvok! Zaměstnavatel je povinen uchovat doklad o délce zaměstnání zaměstnance 20 let. Účetní uzávěrka a výroční zpráva 10 let. Takhle vám to řeknou na sociální správě - říká se tomu poučení a dostane ho každý zaměstnavatel. Mám si snad na ty dokumenty pořídit trezor, protože uchování v šanonu není dost COOL?
    Faktura soukromé osobě = zákazníkovi. To je super - zákazník fakturu vyhodí do smetí a já se z toho mám zodpovídat - protože tu danou fakturu nemusí vyhodit ten řemeslník - navíc ten ji asi těžko vyhodí, když ji musí mít v účetnictví. Asi chápu, proč už nepodnikáte...

  • 4. 1. 2018 21:14

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Kdo vám řekl, že uchování v šanonu není dost COOL? Kdo vám řekl, že se budete zodpovídat za to, že zákazník vyhodí fakturu do smetí? To jsou nesmysli. Vaší povinností je uchovávat dokumentu obsahující osobní údaje po nutnou dobu a po tu dobu zajišťovat jejich ochranu. A je na vás jakým způsobem to neplníte. Stanovení skartační lhůty je jedním z dalších problémů souvisejících s GDPR. Neboť některé subjekty mají nastavenu lhůty příliš dlouhou, čímž může vzniknout problém. Myslím si však, že živnostníků se to netýká.

  • 4. 1. 2018 22:21

    aster (neregistrovaný) 78.108.157.---

    Pokud je živnostník zaměstnavatelem, tak se ho to asi týká. Právnické mluvě nerozumím, takže k omylu dojde snadno. Když se chyby dopustí tvůrce zákona, nějak se to vysvětlí - když se chyby dopustí ten, kdo zákon nepochopí - platí pokutu. Jednoznačné formulace nejsou předností zákonů - kdyby to tak bylo, právníci by zdechli hlady.

  • 4. 1. 2018 22:42

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Tím, že se to živnostníků netýká bylo myšleno nastavení dlouhých skartačních lhůt. Živnostníci většinou nemají zpracován skartační řád.

    S tím placením pokut je to diskutabilní. Nicméně jste to nakousl. Takže vrátím-li se k GDPR, tak je pravdou, že budou moci být uloženy, jak Nařízení uvádí, podle okolností každého případu. Sankce, tedy nejen pokuty, mají mít především preventivní, odstrašující a donucující účinek, nikoliv likvidační.

    Nařízení nepožaduje, že v případě zjištění musí být pokuta uložena. Při rozhodování zda správní pokutu uložit či nikoliv a případně v jaké výši bude zohledňována například povaha, závažnost, délka porušení s přihlédnutím k povaze, rozsahu a účelu zpracování, jakož i k počtu dotčených subjektů údajů a jejich kategorie. Též bude brán zřetel na to, zda se jednalo o úmysl nebo nedbalost, na kroky podniknuté správcem ke zmírnění škod, předchozí porušení správce atd.

    Stanovená pokuta do výše 20 000 000 EUR nebo do 4 % celosvětového obratu za předchozí finanční rok (podle toho, která hodnota je vyšší) se vztahuje pouze na závažnější porušení (porušení práv subjektu údajů, předávání osobních údajů atd.). Pro ta méně závažná (nenahlášení nebo neoznámení případu porušení zabezpečení osobních údajů atd.) jsou stanoveny poloviční hodnoty.

    V souvislosti s výší pokut je nutné si uvědomit dva aspekty, a to že pokuta má být odstrašující i pro největší společnosti světa (proto tak vysoké částky), a že se budou ukládat podle okolností každého jednotlivého případu.

  • 4. 1. 2018 23:27

    aster (neregistrovaný) 78.108.157.---

    Takže zestručněno a přeloženo do srozumitelného jazyka - stačí jeden blb na úřadě, který se rozhodne k výkladu zákona striktně podle jeho znění a můžeme se těšit na problémy.
    Kde je tedy uvedena ta výjimka, která odlišuje živnostníka - zaměstnavatele od jiných druhů zaměstnavatelů? Není snad zaměstnavatel jako zaměstnavatel? Nemají snad všichni zaměstnavatelé stejné povinnosti?

  • 5. 1. 2018 6:22

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Všichni zaměstnavatelé opravdu nemají stejné povinnosti. Jak již jsem uvedl, jedná se o povinosti v oblasti spisové služby. Ta je řešena zákonem o archivnictví a spisové službě. Ten definuje na koho se které povinnosti vztahují. Mimo jiné z něj vyplývá, že životnostník nemusí mít zpracován skartační řád, tedy stanoveny skartační lhůty pro jednotlivé dokumenty, o kterých jsem psal. Proto předpokládám, že problém stanovení příliš dlouhých skartačních lhůt v souvislosti s plněním požadavků GDPR se živnostníků netýká (problémem může být například u státních organizací).

  • 5. 1. 2018 6:40

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Ještě doplňuji, že přímo GDPR nestanovuje pro všechny zaměstnavatele stejné povinnosti. Záznamy o činnosti zpracování nemusí mít zaměstnavatelé, kteří mají méně než 250 zaměstnanců (z této úlevy jsou výjimky). Opravdu neznamená, že když je někdo zaměstnavatelem, že má stejné povinnosti jako jiný zaměstnavatel.

  • 13. 6. 2018 15:44

    Zoufala (neregistrovaný) ---.56.broadband5.iol.cz

    Dobry den, pane Neugebauere,

    Vam pokuta do výše 20 000 000 EUR nebo do 4 % celosvětového obratu za předchozí finanční rok (podle toho, která hodnota je vyšší) pripada v pohode? Vyssi bude pro vetsinu lidi tech 20 mil EUR. Vzdyt tim muzete cloveka naprosto zlikvidovat. Nebo mate pocit, ze je to pokuta zaplatitelna?
    Co kdyz se nebudete libit nejakemu urednikovi? Zaplatite v podstate zivotem. Jestli jsem tu pokutu nepochopila, budu moc rada :)

  • 26. 1. 2018 10:11

    Pavel

    Tomáš: "Stanovení skartační lhůty je jedním z dalších problémů souvisejících s GDPR. Neboť některé subjekty mají nastavenu lhůty příliš dlouhou, čímž může vzniknout problém. Myslím si však, že živnostníků se to netýká."

    Tomáši,

    zda má nebo nemá živnostník skartační řád je nerozhodné.

    Lhůty k možnosti skartování nevyplývají ze skartačního řádu, ale vyplývají přímo z jednotlivých předpisů. Takže když je živnostník zaměstnavatel či plátce DPH, tak má stejné lhůty k uchovávání dokladů jako velká korporace. Namátkou u plátců DPH je to 10 let. U mezd je to ještě déle. Věřte, že živnostníci si sami příliš dlouhé lhůty nestanoví.

    Hezký den!

  • 5. 1. 2018 0:31

    Tomáš Neugebauer (neregistrovaný) ---.net.upcbroadband.cz

    Tady je snad anonym každý, tak se do nikoho nanavážejte. A k vaší důvěře, že podepsaný papír může něco zaručit, není co dodat.

  • 4. 1. 2018 19:23

    klap (neregistrovaný) ---.net.upcbroadband.cz

    Já děkuji za snahu všech diskutujících tu věc objasnit, ale omlouvám se, pořád nějak nechápu, jak na sebe jako OSVČ bez zaměstnanců budu aplikovat funkci správce a funkci zpracovatele. U té mzdové účetní - dejme tomu, umím si představit, že třeba dostane podklady, na jejich základě zpracuje výplaty pro zaměstnance toho řemeslníka. Je tam tedy ve hře více osob na více úrovních.

    V mém případě si představte, že pracuji - dejme tomu - jako překladatel, to je asi nejpodobnější. Dostávám zakázky od agentury, kdo je koncovým zákazníkem, vlastně nevím. Fakturuji agentuře. Znám její fakturační údaje a mám pár (možná i desítek) e-mailových adres (a tedy i jmen a příjmení a firemních telefonních čísel) projektových manažerů. Žádné soukromé adresy, žádná soukromá telefonní čísla. Kromě toho přes e-shop prodávám určitý produkt, přičemž od kupujících, obvykle soukromých osob, potřebuji jméno, příjmení, adresu bydliště a e-mailovou adresu (část produktu je virtuální, posílá se e-mailem). Nepřímo zřejmě získávám též více či méně konkrétní údaje o platebním styku - v případě převodu bývá na výpisu z banky jméno a příjmení plátce a číslo jeho účtu, v případě platby přes PayPal bývá k dispozici e-mailová adresa.

    Internetové adresy a jména sbírám pro marketingové účely = pro případné zasílání newsletterů, nicméně zatím vlastně jen sbírám, mám jich tam pár desítek, dosud jsem tuto možnost vlastně nevyužil.

    Jak to bude se skupinami, resp. prodejními stránkami na Facebooku? Smím já tedy vůbec založit nějakou skupinu? Tady bude ochranu dat těch členů skupiny chránit FB, nebo snad taky já?

    Takže jaká je vlastně moje role? Jsem správcem osobních údajů? A co tedy ten zpracovatel? S kým já budu uzavírat tu zpracovatelskou smlouvu? Kdesi jsem četl, že správce a zpracovatel nemůže být tatáž osoba. Takže si na to mám někoho najmout a všechna data mu poskytnout? Co on s nimi bude dělat? A není z hlediska ochrany dat lepší, když je žádné další osobě předávat nebudu?

    Vytištěné faktury, které skladovat musím, mohu dejme tomu třeba zamknout do nějaké skříně, a k počítači si tedy mám připojit nějaký externí pevný disk a na něj to ukládat? Co když se porouchá? Přijdu o veškerá data. Co když zapomenu heslo a už se na něj nedostanu?

    Omlouvám se, ale pořád si to nějak nedovedu představit v praxi...
    Děkuji předem za jakýkoliv posun vpřed.

  • 4. 1. 2018 19:34

    Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

    To je jednoduché - zaplatíš si 2-3 školení, pak zjistíš, že to stejně nepochopíš, tak zaplatíš pár desítek tisíc právníkovi za kupu zbytečných papírů, no a pak tě někdo práskne, přijde odborník na ochranu osobních údajů, například zkrachovalý veterinář, ten ti řekne, že ty i právník jste blbci, všechno je špatně a napaří ti pár desítek tisíc korun flastr. No, a pak zrušíš živnost.

  • 4. 1. 2018 20:53

    aster (neregistrovaný) 78.108.157.---

    Přesně, jak píšu výše - spousta lidí, kteří se k ničemu nehodí, musí z něčeho žít - tak školí...za těžké prachy. Ne nadarmo se říká - kdo neumí, učí :D

  • 4. 1. 2018 20:54

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    V žádném případě se nenechte strašit lidmi, kteří o problému nic nevědí a snaží se sobě dokázat, že oni to ví nejlépe. GDPR není až tak velký problém, za jaký je vydáván. Pokusím se na vaše dotazy najít odpovědi, a to takovým způsobem, aby jste to pochopil.

    Na úvod objasnění některých pojmů. Je opravdu pravdou, že nemůžete být zároveň správcem osobních údajů a jejich zpracovatelem. Pokud spravujete, tedy nějakým způsobem nakládáte, s něčími osobními údajů, které jste jako OSVČ od lidí za nějakým účelem získal, jste správcem údajů. Pokud získané osobní údaje za nějakým účelem zpracování předáte jiné firmě, ta je zpracuje podle vašich pokynů a výsledek zpracování vám předá, tak ta firma je zpracovatelem. Tedy zpracovatelem je jiná firma, která podle vašich pokynů nakládá s osobními údaji. A s ní musíte uzavřít smlouvu o ochraně osobních údajů.

    Ochran osobních údajů se týká fyzických osob. Netýká se tedy údajů o agentůře.

    Co se týče e-mailových adres zaměstnanců agentury a firemních telefonních čísel, která máte spojena s konkrétními fyzickými osobami, tak se jedná o osobní údaje. Též jméno, příjmení, adresa a e-mailová adresa fyzických osob, kterým prodáváte jistý produkt jsou osobní údaje. Platí to i o číslech účtu atd. Vzhledem k tomu, že všechny tyto údaje potřebujete k plnění smlouvy nebo pro přijetí opatření před uzavřením smlouvy, nepotřebujete k nakládání s těmito osobními údaji souhlas. Využívat je však smíte je k účelům pro naplnění uzavřeného smluvního ujednání nebo pro uzavření smlouvy. Pro použití e-mailových adres k marketingovým účelům již potřebujete souhlas (doporučuji jej k tomu účelu si vyžádat již při poskytnutí adres).

    Máte zcela pravdu, že jedním ze způsobů ochrany osobních údajů je, aby se s nimi seznamoval pouze nutný počet osob. Co se týče listinných dokumentů stačí, že je máte uzamčené v nějakém prostoru, do kterého má přístup omezený okruh lidí. Co se týče ztráty dat obsahujících osobní údaje, tak máte mít jejich zálohu, aby bylo možné je obnovit v aktuální podobě.

    Tolik jen ve stručnosti k vašim dotazům. Ještě jednou uvádím, že není nutné si z toho dělat těžkou hlavu. Spíše se chce zamyslet nad tím, kde a jakým způsobem nakládáte s osobními údaji a zda je jejich uložení bezpečné.

  • 4. 1. 2018 21:04

    aster (neregistrovaný) 78.108.157.---

    Někde nahoře jste se povýšeně navezl do jednoho diskutéra a nazval ho hulvátem - já vám něco doporučím - přečtěte si po sobě to, co jste tady napsal a opravte si gramatické chyby - když už se chcete prezentovat jako někdo kdo má nárok se vyvyšovat, musíte na to taky nejdřív mít...o faktické stránce vašeho příspěvku nediskutuji - nemám dost informací.

  • 7. 1. 2018 17:19

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Aha, takže kdo do veřejné diskuse napíše, cituji "k vytření prdele", není u vás hulvát.

    Jestli za povyšování se považujete chovat se slušně, tak ano v tom případě se a dokonce rád povyšuji, neboť s hulváty nechci být v jedné úrovni.

  • 4. 1. 2018 21:08

    klap (neregistrovaný) ---.net.upcbroadband.cz

    Takže v mém případě je zpracovatelem asi opravdu jen ta účetní, s tou tedy budu muset cosi podepsat, abych mohl doložit, že jsme tu věc řešili a ošetřili.

    Od osob, jejichž e-mailové adresy uchovávám kvůli možnému marketingovému použití, si tedy zpětně vyžádám souhlas, u nově získaných kontaktů budu ten souhlas žádat předem. Ten souhlas budu formulovat konkrétně - že se jedná o údaje určené k marketingovému využití, tj. že na danou e-mailovou adresu mohu sem tam poslat propagační e-mail. A že mohou jeho odebírání kdykoliv zrušit, a tím se vymazat z mého seznamu.

    Papíry i data budu doma = na svém pracovišti uchovávat i nadále tak, abych minimalizoval riziko jejich úniku (omezím jejich množství, vymažu vše, co už skladovat nemusím, data uložím na jedno místo v počítači, do zamknuté složky, papíry skartuji nebo spálím).

    Tyto body ještě rozvinu, zkonkretizuji a zachytím písemně, podepíšu - a mám tedy hotovo? Musím ten podepsaný dokument někde vystavovat nebo někam posílat/předá­vat/přikládat?

  • 4. 1. 2018 21:24

    Tomáš Neugebauer (neregistrovaný) ---.200.broadband17.iol.cz

    Dokument nemusíte nijak zveřejńovat nebo někam posílát.

    Jen bych doplnil, že souhlas musí být dobrovolný (nelze na něj vázat prodej zboží apod.), odlišený od jiného textu, doložitelný a odvolatelný.

  • 5. 1. 2018 0:34

    * (neregistrovaný) ---.net.upcbroadband.cz

    Na vás je pak jen drobnost - zformulovat neprůstřelný postup, co ten zpracovatel (účetní) může s každým údajem činit a prověřit si, že na to má technické a organizační zázemí. To je vaše zodpovědnost.

  • 5. 1. 2018 10:21

    JVr (neregistrovaný) 88.208.76.---

    "Od osob, jejichž e-mailové adresy uchovávám kvůli možnému marketingovému použití, si tedy zpětně vyžádám souhlas, u nově získaných kontaktů budu ten souhlas žádat předem."

    Ještě doplním k tomuto, protže kolega Neugebauer neupřesnil/nez­důraznil jeden podle mě podstatný detail. Pokud se jedná o marketing přímý nepotřebujete souhlasy a můžete jej realizovat na oprávněný zájem (viz recitál 47.). Přímý marketing je rozesílání oznámení o obdobných produktech (které již v minulosti nakoupili) stávajícím (nedávným) zákazníkům.

    K souhlasu je navíc důležité zdůraznit, že má určité náležitosti (dle GDPR), a že Vám jej subjekt nemusí vůbec udělit (nesmí být povinný). A navíc jej může kdykoliv odvolat. V zásadě souhlas je poslední cesta k legalizaci zpracování, a to především takových, které mohou obtěžovat nebo jinak poškozovat subjkety údajů (viz např. ostatní formy marketingu).

  • 5. 1. 2018 10:58

    Tomáš Neugebauer (neregistrovaný) ---.cas.pasnet.cz

    Děkuji za doplnění. Máte samozřejmě pravdu. Ono je toho mnoho a takhle v diskusi pod článkem není jednoduché vše uhlídat. Může se například jednat o nabídku nové vylepšené verze zákazníkem již zakoupeného produktu.

    Též máte pravdu, co se týká souhlasu. Doplnil bych ještě, že nemá být použit v těch případech, kdy to není nutné, neboť tím je subjekt údajů (fyzická osoba, ke které se údaje vztahují) uváděn v omyl, že může nakládání s údaji zamítnout, tedy neudělit souhlas nebo jej odvolat. Jedná se například o nakládání s osobními údaji zaměstnanců v rámci personální agendy (v právními předpisy stanoveném rozsahu a účelu nakládání).

  • 26. 1. 2018 9:15

    Kolemjdoucí (neregistrovaný) ---.106.broadband2.iol.cz

    *, dlouhodobá snaha státu je zlikvidovat malé živnostníky. Jak řekl jeden významný představitel ČSSD: jsou to paraziti. Trestně stíhaný další představitel jiného hnutí pravil: "Všici kradnú". Nyní má stát další nástroj.

  • 12. 1. 2018 18:16

    zuza (neregistrovaný) 93.99.224.---

    rozvinutí příspěvku od " klap (neregistrovaný) ---.net.upcbroad­band.cz"
    mám podobný problém jako OSVC s eshopy. Mám 2 eshopy, každý pro jiný sortiment. Nemám jediného zaměstnance.
    Zpracování os. údajů a ochranu chápu, ale jak jsem dále pochopila, musím sepsat zpracovatelskou smlouvu se svou účetní, a dále s kým ještě?....
    V jednom eshopu prodávám své vlastní autorské produkty- tudíž nikomu jinému (krom účetní) údaje nedávám.
    Jak je to ale s údaji, které se uchovávají v eshopu? Provozuji eshop pronajatý.... zde je také nutné ošetřit zpracování os. údajů zpracovatelskou smlouvou s poskytovatelem eshopového řešení?
    Druhý eshop je od stejného poskytovatele eshopu , ale zde vlastně sbírám objednávky, přeposílám objednávky produktů s údaji na mateřskou firmu, která vše vybaví. Co je zde potřeba ošetřit?
    Vše zpracovávám doma na PC- zde také bezpečnost pravděpodobně zajistím. Musím někde vypisovat jak?
    Jak ošetřím další využívající služby, programy? (vystavování faktur, posílání zásilek přes úschovnu např, apod)
    Díky za objasnění...

  • 2. 6. 2018 12:43

    HYMI (neregistrovaný) ---.mitranet.cz

    Sháním informace, jak se bude řešit tato situace:
    Firma "A" předá externí firmě "B" doklady k zaúčtování, protože pro ně dělá účetnictví nebo notebook IT servis (osobní údaje zaměstnanců). Mají mezi s sebou uzavřenou externí smlouvu.
    Firmě "B" někdo vykrade kancelář, ukradne jim všechny PC a zneužije osobní data zaměstnanců firmy "A" Firma "A" dostane za tento únik osobních dat pokutu ve výši až 20 mio Euro. Tuto pokutu bude potom vymáhat na firmě "B", kterou bez smlouvy nevymůže. Problém je v tom, že žádná firma "B" nechce podepsat externí smlouvu pod pokutou, že když nastane únik dat a jejich zneužití z jejich zavinění, že ji uhradí. Co s tím?