Menu

Časté dotazy

Často kladené otázky ve školství

Úřad na ochranu osobních údajů zveřejnil odpovědi na nejčastěji kladené otázky týkající se zpracování osobních údajů ve školství. Nemohu si pomoc, ale jejich čtením  se jenom potvrzuje neustále se opakující fakt, že až do účinnosti GDPR nebyla dodržována stávající legislativa, v tomto případě školský zákon, jeho prováděcí předpisy a hlavně občanský zákoník. Když si vzpomenu na tu květnovou hysterii okolo zveřejňování fotek žáků při různých činnostech, v řadě případů vyvolanou i politiky v podobě pana Václava Klause ml. a stovkami „GDPR expertů“, kteří nejenom, že nařízení nikdy nečetli, ale hlavně z důvodu neznalosti několik let platné legislativy ani nepochopili, že tato zpracování s GDPR nemají nic společného, tak mne napadá jen jedno řešení. Začít nejprve dodržovat sektorovou legislativu a nechat si poradit především od skutečných odborníků, kteří se v dané oblasti pohybují několik let. Je třeba zastavit šíření nesmyslů a polopravd od rádoby expertů, kteří se ještě na začátku tohoto roku živili všemi možnými formami poradenství, pak si zaplatili jednodenní kurs na GDPR a s vidinou snadných zisků začali pod pohrůžkou astronomických pokut vyhrožovat, že je tím GDPR klackem všichni včetně ÚOOÚ umlátí. Je mi líto těch, kteří jim uvěřili a teď v podstatě mohou začít GDPR implementovat znovu.


09. května

GDPR a e-shopy: 14 nejčastějších dotazů a odpovědí

Máte e-shop a připravujete se na GDPR? Tady je 14 nejčastějších dotazů a odpovědí.

Čtěte dál


Mohu zpracovávat osobní údaje z veřejných rejstříků nebo z vizitek?

Využití údajů zveřejněných ve veřejných rejstřících, na sociálních sítích nebo právě prostřednictvím vizitek je pro řadu organizací velmi lákavé.

„V každém případě dalšího využití zveřejněných osobních údajů je však nutné zohlednit účel, za kterým byly takové osobní údaje původně zveřejněny. Není možné je užívat bez dalšího pro jakýkoliv účel a jakýmkoliv způsobem – takové další užití musí splnit test slučitelnosti účelů dle čl. 6 odst. 4 GDPR. V rámci tohoto testu jsou posuzovány např. vzájemný vztah původního a nového účelu zpracování, možná rizika pro subjekty údajů spojená s novým zpracováním či bezpečnostní záruky (např. pseudonymizace) přijaté za účelem zabránění zásahu do práv a oprávněných zájmů subjektů údajů v rámci nového zpracování“ uvádí Mgr. Nulíček. 

V tomto článku rovněž najdete velmi užitečné rady a odpovědi na řadu stále se opakujících otázek souvisejících s aplikací GDPR do praxe.


05. listopadu 2017

Jak získat výslovný souhlas se zpracováním osobních údajů v rámci přímého marketingu?

Rozesíláte newslettery a oslovujete své zákazníky na sociálních sítích? Také přímého marketingu se dotkne Obecné nařízení o ochraně osobních údajů. Co se změní?

Čtěte dál


30. října 2017

ÚOOÚ uveřejnil nejčastější dotazy ke GDPR

Úřad pro ochranu osobních údajů (ÚOOÚ) uveřejnil na svých webových stránkách nejčastěji kladené dotazy ke GDPR, na které je pravidelně dotazován. „V současné chvíli rubrika Otázky a odpovědi obsahuje témata jako je certifikace, vydávání osvědčení, kodexy chování pro veřejnou správu, porušení zabezpečení osobních údajů, posouzení vlivu na ochranu osobních údajů, pověřenec pro ochranu osobních údajů, práva subjektu údajů, právní důvody zpracování a sociální služby,“ informoval mluvčí Úřadu Tomáš Paták.

Čtěte dál


Jak to vlastně je s tím výmazem a zapomenutím mých osobních údajů?

Novým právem fyzických osob podle GDPR je právo na výmaz a být tzv. zapomenut. Rozhodně to však neznamená, že budu požadovat po každé instituci zpracovávající moje osobní údaje, aby je v případě, že se mi takové zpracování nelíbí, okamžitě vymazala. Být evidován v registru dlužníků není sice nic příjemného, ale určitě to neznamená, že si mohu u instituce, která tyto záznamy vede na základě zákona, vynucovat okamžitý výmaz pro mne nepohodlných údajů. Více se dozvíte zde.


Mohu si koupit databázi s kontakty?

V případě, že si kupujete od třetí strany databázi kontaktů obsahující mimo ostatní údaje e-mailovou adresu fyzické osoby, na kterou jí chcete zaslat marketingové sdělení nebo obchodní nabídku, tak se nezbavujete povinnosti zajistit si k této aktivitě souhlas dotčené osoby. A to buď ujištěním od prodávajícího, že takový souhlas od osob vedených v předmětné databázi získal nebo si ho budete muset znovu vyžádat sami přímo od samotných osob. Stáváte se totiž novým správcem jejích osobních údajů a dle článku 14 GDPR máte povinnost informovat fyzickou osobu vedenou v databázi o zdroji, od kterého jste její osobní údaje koupili a za jakým účelem s nimi chcete nakládat. Více se dozvíte zde.


Lze uplatnit výjimku z povinnosti vést záznamy o činnostech zpracování?

Odstavec 5 článku 30 GDPR stanoví výjimku z povinnosti vést záznamy o činnostech zpracování, a to pro podnik nebo organizaci zaměstnávající méně než 250 osob, pokud zároveň zpracování, které provádí, nepředstavuje riziko pro práva a svobody subjektu údajů, toto zpracování je příležitostné – podnik nebo organizace je neprovádí jako svojí hlavní činnost nebo nezahrnuje zpracování zvláštní kategorie údajů (tzv.citlivých údajů).

Pokud jste tedy organizací s méně než 250 zaměstnanci, která v souvislosti se zpracováním osobních údajů svých zaměstnanců disponuje údaji například o jejich zdravotním stavu, tak se na vás povinnost vést záznamy o činnosti vztahuje. Může se jednat o různé neziskové nebo charitativní organizace, které zaměstnávají tělesně postižené osoby.


Je rodné číslo citlivý osobní údaj?

Rodné číslo je jedinečný identifikátor fyzické osoby, osobní údaj, nikoli však citlivý osobní údaj, který je upravován zvláštním zákonem. Právě zákon stanoví způsoby, jakými může být rodné číslo využíváno. Oprávněna využívat tento údaj jsou mimo jiné ministerstva a jiné správní úřady, orgány pověřené výkonem státní správy, soudy a dle zvláštního zákona například policie či banky. Tyto subjekty mohou činit pouze to, co jim zákon ukládá. V případě, že zákon neukládá fyzické osobě povinnost identifikovat se rodným číslem, nelze to po ní vyžadovat. Fyzická osoba musí být zároveň o této možnosti informována. Pokud lze dle zákona volit mezi dvěma údaji, musí mít nositel možnost volby a nebýt nucen do poskytnutí rodného čísla. Nositel musí zároveň poskytnout svobodný a vědomý souhlas o poskytnutí tohoto údaje. Na závěr nutno podotknouti, že neoprávněné nakládání s rodným číslem je penalizováno pokutou.


Je právo na výmaz podle GDPR absolutním právem?

Právo na výmaz není absolutním právem. Je možné ho uplatnit pouze za předpokladu, že nejsou osobní údaje již potřebné pro účel, pro který byly shromažďovány nebo zpracovávány. Dalším důvodem, kdy nemůže dojít k výmazu osobních údajů, je existence jiné právní povinnosti či zákona, který výmazu brání, např. zákon o archivaci a povinnost organizací archivovat dokumenty obsahující osobní údaje po určitou, zákonem stanovenou dobu.



Hlavní partneři