Prohlášení k ochraně osobních údajů

Osobní údaje

Při naší činnosti jsme nuceni pracovat s osobními údaji Subjektů údajů, a to v těchto oblastech:

  • Osobní údaje osob v rámci dodavatelsko - odběratelských vztahů, ať už na základě trvalé smlouvy nebo jednorázové objednávky.
    • Jedná se o osobní údaje konkrétních osob, s kterými ve firmách spolupracujeme, účetní, vedoucí pracovníci, správci IT apod.
    • Standardně se jedná o osobní údaje příjmení a jméno, titul, telefonní číslo, mailová adresa, případně údaje z dokladů a vizitek, které jsme obdrželi
    • Tyto osobní údaje evidujeme z důvodu oprávněného zájmu, případně ze zákona (doklady v daňových lhůtách apod.) jako podmínku nutnou k fungování obchodního (smluvního) vztahu
    • Při zpracování osobních údajů nedochází k automatizovanému rozhodování ani profilování
    • K evidenci těchto údajů není třeba souhlas subjektu údajů
    • Přesto jej můžete poskytnout či odvolat našimi formuláři, viz odkazy z hlavní stránky
    • K evidenci těchto údajů nevyužíváme žádných služeb třetích stran a tudíž přístup mají pouze vyjmenovaní pracovníci naší firmy, data s nikým nesdílíme
    • Pokud pomocí formuláře odvoláte souhlas s evidencí osobních údajů, smažeme veškeré Vaše osobní údaje, které nemusíme uchovat ze zákona a nebudeme Vám posílat obchodní informace
  • Osobní údaje subjektů údajů, které můžeme vidět v databázích či dokumentech našich zákazníků při poskytování služeb (většinou osobní údaje zaměstnanců našich zákazníků nebo osobní údaje osob, které jsou s naším zákazníkem v obchodním vztahu)
    • Tyto údaje my nezpracováváme a nejsme tedy v pozici Zpracovatele z hlediska GDPR (neleží u nás a nezpracováváme agendy formou outsourcingu s výjimkou konkrétních smluv)
    • Poskytujeme služby k SW a IT v rámci platné smlouvy se zákazníkem, nebo na základě explicitně vyjádřené objednávky (písemně, mailem, telefonicky)
    • Účel našeho případného pohledu na osobní údaje není samo zpracování osobních údajů, ale zajištění služeb a konzultací k agendám, kde se osobní údaje evidují, uchovávají a zpracovávají
    • Osobní údaje subjektů údajů leží v lokalitě a na technických prostředcích zákazníka, který je jejich Správcem
    • Naše služba spočívá v konzultaci k programovému vybavení, informačnímu systému, chování aplikací, implementační a údržbové práce k IS, zjištění a odstranění chybného chování, opravy uživatelských chyb, atd.
    • Samotné zpracování osobních údajů a nakládání s osobními údaji však provádí sám jejich Správce, tedy náš zákazník, většinou prostřednictvím svých zaměstnanců

Prohlášení k ochraně osobních údajů

Prohlašujeme, že

  • všichni naši pracovníci jsou vázáni mlčenlivostí o všech údajích včetně osobních, s kterými se setkají
  • všichni naši pracovníci jsou vázáni mlčenlivostí o všech obchodních a jiných skutečnostech, které se v rámci své činnosti dozví
  • všichni pracovníci mají podepsané prohlášení o mlčenlivosti, a to i po skončení smluvního či pracovně právního vztahu
  • všichni pracovníci jsou trvale seznámeni s ustanoveními nejméně následujících zákonů a nařízení, která jsou povinni dodržovat:
    • Zákon 101/200 Sb. o ochraně osobních údajů
    • Zákon 480/2004 Sb. o některých službách informační společnosti
    • Zákon 127/2005 Sb. o elektronických komunikacích
    • Obecné Nařízení Evropského parlamentu a rady EU 2016/679 o ochraně osobních údajů - GDPR
  • při každé činnosti se zabýváme pouze záležitostí a problémem, jehož řešení zákazník výslovně požaduje, objednal, či je obsahem smlouvy nebo periodických služeb
  • nikdy nezkoumáme, nehledáme, nezjišťujeme žádné údaje (ani osobní), které nejsou explicitně vyjádřeným předmětem požadavku či objednávky
  • nikdy žádné (ani osobní) údaje nesdělujeme jiným stranám, nezneužíváme, nezpracováváme a neuchováváme a nepředáváme mimo rámec prováděné služby (objednané, smluvní, požadované)
  • zachováváme naprostou mlčenlivost o všech údajích včetně osobních, se kterými se během práce jakkoliv setkáme, a to i po skončení služby nebo smluvního vztahu
  • máme zavedena, dodržujeme a pravidelně kontrolujeme opatření k ochraně osobních údajů výše uvedených typů

Proč nejsme Zpracovatelé dle GDPR

Při poskytování služeb nejsme Zpracovatelé osobních údajů z hlediska nařízení GDPR.

Zpracovatelem je každý subjekt, který zpracovává osobní údaje na základě zvláštního zákona nebo na základě pověření správcem. Zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů správce. Pokud máme uzavřenou smlouvu na poskytování služeb k SW a IS, tak smlouva nezní nikdy na zpracování osobních údajů žádným způsobem a Správce nás k ničemu takovému nepověřuje. Smlouva zní vždy na služby k IS (stručně: instalace, konzultace). Pokud nemáme trvalou smlouvu, tak jednotlivá objednávka (mailem, telefonem, písemně) nikdy nezní na zpracování osobních údajů, ale na poskytnutí provozních služeb k SW nebo IS.

GDPR článek 28 odst. 3 písm.

Zpracovatel:

a) zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
... toto zcela jistě není náš případ

g) v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;

h) poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

... i z tohoto je zřejmé, že nejsme správci, data u sebe nemáme, nemáme co vracet a mazat, a žádné inspekce našich zákazníků se u nás konat nebudou. Pokud je přece jen třeba data stáhnout, opravit či prozkoumat a vrátit, pak se nejedná o zpracování osobních údajů z hlediska GDPR, ale o nárazovou službu k provozu IS, a problematika Zpracovatele se na úkon nezvtahuje. Pokud k tomu dojde, data po poskytnutí vyžádané služby bezprostředně mažeme.

GDPR článek 4 odst.

2) "zpracováním" jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

8) "zpracovatelem" fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;

Právní analýza

Dle pokynu ÚOOÚ:

Zpracovateli nejsou osoby, které se při provádění svých služeb, tj. plnění smlouvy s objednatelem (jinak správcem osobních údajů), mohou pouze nahodile dostat do styku s osobními údaji zpracovávanými tímto správcem, aniž by osobní údaje jakkoliv zpracovávaly.

Závěr

Celé GDPR není primárně o IT (to je výrazná menšina), ale o osobních údajích jako takových. Především je o o vnitřním nastavení procesů a kontrole rizik v organizaci Správce, o vytvoření směrnic a Záznamů o zpracování, o proškolení zaměstnanců a kontrole a dodržování procesů. Není to o uzavírání písemných smluv s veškerým svým okolím. Když to trochu přeženu, tak direktiva GDPR si neklade za cíl zlikvidovat evropské lesy na podepisování smluv každý s každým.

Právní zhodnocení servisního zásahu v IT:

Zpracování osobních údajů je jakýkoli úkon nebo soubor úkonů, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky, i papírově. Zpracováním se rozumí zejména shromažďování, zaznamenání, uspořádání, strukturování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, nahlédnutí, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.

Zpracování ve smyslu GDPR však nelze chápat jako jakékoli nakládání s osobním údajem, a to i v rámci provozování podnikatelské činnosti. Zpracování osobních údajů, ať již z pohledu Správce či Zpracovatele je nutné považovat již za sofistikovanější a systematickou činnost, kterou správce s osobními údaji provádí za určitým účelem (právní pojem: řídí se účelem!) a z určitého pohledu tak činí systematicky (to zn. pravidelně, v případě Zpracovatele na základě pokynů Správce). Pro nakládání s osobními údaji způsobem, který není zpracováním dle GDPR, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník. Obecným nařízením GDPR se tak jako Správci či Zpracovatelé řídí pouze ty subjekty, které osobní údaje zpracovávají ve smyslu definice zpracování (viz znění GDPR), tzn. včetně určité míry systematičnosti (!).

Pokud se jedná o servisní zásah či obdobnou službu, při které dojde nezbytně k určité dispozici s osobními údaji, tak účelem tohoto kroku není nakládání s osobními údaji databáze subjektem poskytujícím servis, nýbrž vyřešení problému nesouvisejícího s těmito osobními údaji, avšak tato dispozice s osobními údaji je jakýmsi "vedlejším produktem" či "nutnou související činností" a nikoliv účelem. Z tohoto důvodu se proto Obecné nařízení GDPR na tyto servisní zásahy nevztahuje – pokud by došlo k porušení ochrany osobních údajů, např. jejich zneužitím, pak nastupuje obecná úprava daná Občanským zákoníkem (ochrana osobnosti) či zákoníkem trestním.