• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    GDPR - General Data Protection Regulation - Nová legislativa na ochranu osobních údajů, která začne platit od 25. 5. 2018!
    rozbalit záhlaví
    TRAVIX
    TRAVIX --- ---
    KASUMI: Není až tak blbě napsaný, je prostě napsaný tak, aby se dal použít ve 28 státech s 28 různými úpravami pracovního práva, přičemž většina států žádné "dohody" nemá a nezná.
    Pokud jde o agenturní zaměstnance, přikláním se k výkladu, že se počítat mají. Ta hranice 250 totiž není samoúčelná, ale je to nějaký ukazatel rozsahu činnosti. No a ten rozsah činnost se odvíjí od toho, kolik lidí tam reálně pracuje, ne od toho, s kým mají uzavřené jaké smlouvy.
    ELWERINE
    ELWERINE --- ---
    KASUMI: zas tak blbe napsan neni... ani ten preklad do CJ neni tak blby (tentokrat). Ale tak chapu, ze jsem uz postizena tim, ze s tim delam hodne intenzivne, tak to vnimam asi uz jinak...
    KASUMI
    KASUMI --- ---
    EXIS: Na to jsem se ptala taky a prý se to má vztahnout k tomu riziku
    Ne jako obecne


    Je to strasne blbe napsany clanek
    EXIS
    EXIS --- ---
    EXIS: V zásadě to nahrazuje nahlašovací povinnost u ÚOOU
    EXIS
    EXIS --- ---
    KASUMI: hlavně bych to vůbec nehrál na 250 zaměstnanců... protože tam je pak dále "ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů" a tam je dle mého důležité to "příležitostné".. Většina firem nezpracovává data příležitostně, tedy by to měla mít nějak podchycené.
    ELWERINE
    ELWERINE --- ---
    KASUMI: priklanim se pocitat i agenturni... jde o osobni udaje, tedy teziste imho neni v pracovnim pomeru dle ceskeho zakoniku prace, ale osobnich udajich konkretnich jedincu.
    KASUMI
    KASUMI --- ---
    clanek 30 odst. 5

    Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.


    250 osob
    jen kmenovy, DPP a DPC?
    nebo se do toho poctu pocitaji i agenturni u daneho zamestnavatele?

    setkala jsem se s obema nazory, tak me zajimaji dalsi
    AQUARIUS
    AQUARIUS --- ---
    ALMAD: vyskakovaci okno ma URL https://www.unicreditbank.cz/cs/popupeditpages/obcane/uvery/zpracovani-osobnich-udaju.html (a ano, ve Firefoxu v Linuxu to funguje i s vypnutym Javascriptem)
    ALMAD
    ALMAD --- ---
    Zkoušim z UniCreditu vyrazit seznam subdodavatelů, kterejm předávaj moje informace (v jejich novejch podmínkach je, že to dělej, ale jaksi tam není seznam subjektů).

    Neustále mě posílaj na https://www.unicreditbank.cz/...?q=zpracov%C3%A1n%C3%AD%20osobn%C3%ADch%20%C3%BAdaje&_charset_=utf-8 s tim, že v prvnim odkazu je to v bodě 5...kterej tam fakt nevidím, na což mi řikaj "Daný odkaz s přímou cestou URL na textaci nelze odeslat, neboť se jedná o vyskakovací okno bez konkrétní URL adresy. Doporučím využít řádný internetový prohlížeč s možností posunu stránky.".

    Vidí to tam někdo / jsem dement já nebo oni? Je kdyžtak nějakej normální způsob, jak na ně zatlačit?
    KASUMI
    KASUMI --- ---
    a pze ne vsichni pravnici jsou svine a nepusti ani gros, tady mate muj souhlas zamestnance, co jsem si dnes napsala
    nerucim za spravnost, ani ze tam je vse
    ale kdyz se tady s tim dneska celej den serinkam, tak treba to nekomu i trochu pomuze jako vychozi podklad

    Souhlas zaměstnance se zpracováním osobních údajů

    Zaměstnavatel:
    XY
    Zaměstnanec:
    Narozen/a:
    trvalé bydliště:
    (dále jen „zaměstnanec“)

    1. Pracovní smlouva. Mezi zaměstnavatelem a zaměstnancem byla dne _________________ uzavřena pracovní smlouva (dále jen „pracovní smlouva“), na základě které zaměstnanec vykonává funkci __________________________________________ (číslo funkce: ________________________).
    2. Záznamy zaměstnanců. Zaměstnavatel v rámci své činnosti a propagace svých služeb využívá fotografie a videa. Za tímto účelem dochází k pořízení obrazového/zvukově-obrazového záznamu osob nacházejících se v místě poskytování služeb. Stejně tak zaměstnavatel pořádá různé akce pro své zaměstnance za účelem tzv. „teambuildingu“, kde může dojít k pořizování podobných záznamů.
    3. Souhlas zaměstnance. Po dobu pracovně-právního poměru zaměstnance k zaměstnavateli tímto zaměstnanec :

    a. SOUHLASÍ / NESOUHLASÍ
    s pořízením a xxx za účelem xxxxx, a to zveřejněním v xxxxxx
    b. SOUHLASÍ / NESOUHLASÍ
    atd

    4. Neudělení souhlasu. Neudělení souhlasu dle bodu 3 nemá vliv na jakákoliv práva či povinnosti zaměstnance z pracovněprávního vztahu.
    5. Odvolání souhlasu. Poskytnutý souhlas dle bodu 3 lze kdykoliv změnit či odvolat. V případě odvolání souhlasu ukončí zaměstnavatel zpracovávání osobních údajů poskytnutých dle tohoto souhlasu v přiměřené době, která odpovídá technickým a administrativním možnostem zaměstnavatele. Odvolání souhlasu ve vztahu k bodům a. až d. výše má vliv na nové zveřejnění po tomto odvolání. Odvolaný souhlas lze kdykoliv znovu udělit.
    6. Forma zpracování. Zaměstnavatel osobní údaje zaměstnance zpracovává automatizovaně i s možností jejich mechanického zpracování, bezpečně, v souladu s technickými a bezpečnostními mechanismy, které zajišťují maximální možnou ochranu zpracovávaných údajů (zejména pak před neoprávněným přístupem nebo přenosem, před jejich ztrátou nebo zničením či jiným zneužitím)
    7. Druh zpracování. Osobní údaje jsou zpracovávány zejména formou shromažďování, třídění, zaznamenávání, uspořádávání, strukturování, ukládání, přizpůsobování, pozměňování, vyhledávání, bude na ně nahlíženo, budou používány, zpřístupňovány, vč. zpřístupňování přenosem, šířeny, zkombinovány, omezeny, zničeny, vymazány aj.
    8. Změna osobních údajů. V případě, že se osobní údaj zaměstnance změní, je zaměstnanec povinen tuto změnu zaměstnavateli oznámit, jinak nelze zaručit náležité a správné zpracování poskytnutých osobních údajů.
    9. Oprava osobních údajů. Zjistí-li zaměstnavatel nepřesnost osobního údaje, je oprávněn přijmout veškerá rozumná opatření, aby osobní údaje s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně opraveny.
    10. Zpracovatelé. K osobním údajům zaměstnanec, uděleným dle tohoto souhlasu, mohou mít vedle zaměstnavatele přístup následující zpracovatelé:
    a. zpracovatel marketingových kampaní pro zaměstnavatele xxxx
    b. zpracovatel marketingových kampaní pro zaměstnavatelexxxx
    V případě, že v průběhu zpracování osobních údajů zaměstnance dojde ke změně zpracovatelů či k využití nových zpracovatelů, zaměstnavatel o tom zaměstnance informuje, zejména pak hromadnou zprávou na pracovní e-mail zaměstnance, případně prostřednictvím jeho nadřízeného.
    11. Práva zaměstnance. Zaměstnanec má právo:
    a. si vyžádat informaci o tom, jaké osobní údaje o něm zaměstnavatel zpracovává,
    b. uplatnit námitky proti zpracování osobních údajů či požadovat nápravu, pokud zjistí, že při zpracování osobních údajů došlo ze strany zaměstnavatele nebo ze strany zaměstnavatelem zvolených zpracovatelů k porušení povinností stanovených příslušným právním předpisem,
    c. uplatnit námitku proti zpracování, či požadovat omezení zpracování, požadovat údaje v přenositelné podobě.
    12. Místo uplatnění práv. Všechna práva (odvolání, námitky apod.) může zaměstnanec uplatnit písemně poštou na adrese zaměstnavatele: xxxxxx. Zaměstnanec může svá práva (formou stížnosti) uplatnit i u Úřadu pro ochranu osobních údajů, Pplk. Sochora 727/27, 170 00 Praha 7-Holešovice, posta@uoou.cz.
    13. Pověřenec pro ochranu osobních údajů. Bude-li zaměstnavatelem ustanoven pověřenec pro ochranu osobních údajů, bude o kontaktních údajích pověřence pro ochranu osobních údajů zaměstnanec informován hromadnou zprávou na pracovní e-mail zaměstnance, případně prostřednictvím nadřízeného zaměstnance. Pověřenec bude mít vždy e-mail poverenecxxxxx
    14. Povinnosti zaměstnavatele. Zaměstnavatel se zavazuje dodržovat všechna práva subjektu údajů stanovená aplikovatelnými účinnými právními předpisy, a to i v případě, že nejsou výslovně uvedena v tomto dokumentu nebo povinnost k jejich ochraně nastane až po podpisu tohoto dokumentu.


    Svým podpisem na tomto dokumentu zaměstnanec stvrzuje, že byl seznámen se svými právy a povinnostmi v uvedeném rozsahu a že uděluje souhlas, jak je uvedeno výše. Jedno vyhotovení tohoto dokumentu zůstává zaměstnanci, jedno zaměstnavateli.
    ARCHDRONE
    ARCHDRONE --- ---
    The Nightmare Letter: A Subject Access Request under GDPR | LinkedIn
    https://www.linkedin.com/pulse/nightmare-letter-subject-access-request-under-gdpr-karbaliotis/
    ELWERINE
    ELWERINE --- ---
    PISTA1: ok, tak tam je v rozsahu tech udaju, co musite predavat PCR, dan duvod zpracovani plneni pravni povinnosti spolku.
    PISTA1
    PISTA1 --- ---
    ELWERINE: Když se někdo má stát správcem střelnice tak to musí policie schválit a pak se jim posílaj údaje o nových členech aby, měli nižší poplatky při registraci zbraně.
    ELWERINE
    ELWERINE --- ---
    PISTA1: tak bych neresila souhlas, ale resila bych informaci pro subjekty udaju. Tj. čl. 13 GDPR. Nalezitosti informace jsou tam specifikovany, tak by s tim snad nemel byt problem...

    Jen by bylo dobre, aby stanovy nebo na to navazujici predpis rikal, ze o clenovi se do seznamu zapisou ty vyzadovane udaje (co jsi vyjmenoval). Duvodem zpracovani by bylo plneni smlouvy, pripadne take plneni pravni povinnosti spolku a ucelem evidence clenske zakladny spolku.

    Jeste k te PCR - mate nekde stanovenou povinnost predavani tech udaju? (zakon o zbranich, o PCR nebo...?)
    PISTA1
    PISTA1 --- ---
    ELWERINE: Tak sem se ptal a prý ano.
    ELWERINE
    ELWERINE --- ---
    PISTA1: vede "klub", tedy spolek, seznam clenu ve smyslu § 236 obcana (89/2012 Sb.)?
    PISTA1
    PISTA1 --- ---
    Stačí níže uvedený, k ošetření GDPR v klubu?
    Každej člen to při prvním přihlášení a vytvoření vlastního profilu odsouhlasí (do databáze se zapíše datum a čas kdy to odsouhlasil). V případě ukončení členství, se automaticky smaže všechno kromě jména, který je potřeba pro archivaci prezence.

    1. Udělujete tímto spolku xxxx , se sídlem xxxx IČ: xxx, zapsané ve veřejném rejstříku vedeném u Krajského soudu v xx, Spisová značka: xxxx (dále jen „Správce“), aby ve smyslu zákona č.101/2000 Sb., o ochraně osobních údajů (dále jen „zákon o ochraně osobních údajů“) zpracovávala tyto osobní údaje:
    - jméno a příjmení
    - datum narození
    - adresa
    - e-mail
    - telefonní číslo

    2. S výše uvedeným zpracováním udělujete svůj výslovný souhlas. Souhlas lze vzít kdykoliv zpět a to na stránce "osobní" ve vašem profilu.

    3. Zpracování osobních údajů je prováděno výhradně Správcem. Jméno a příjmení, datum narození a adresa však mohou být poskytnuty Policii ČR xxxx- Odbor služby pro zbraně a bezpečnostní materiál.

    4. Na klubových akcích jsou pořizovány fotografie a videa, která jsou ke shlédnutí ve veřejnosti nepřístupné části tohoto webu. Slouží pouze pro klubové účely. Pokud chcete fotografii či video zveřejnit na sociálních sítích (facebook, instagram, a pod.) musíte nejdříve získat výslovný souhlas všech osob, které na nich jsou.

    5. Vezměte, prosíme, na vědomí, že podle zákona o ochraně osobních údajů máte právo:
    - vzít souhlas kdykoliv zpět,
    - požadovat po nás informaci, jaké vaše osobní údaje zpracováváme,
    - požadovat po nás vysvětlení ohledně zpracování osobních údajů,
    - vyžádat si u nás přístup k těmto údajům a tyto nechat aktualizovat nebo opravit,
    - požadovat po nás výmaz těchto osobních údajů,
    OLAV
    OLAV --- ---
    GIMEL: Nás na VŠ vždy učili - mrkněte do zákona.

    Tak jsem si teda otevřel to GDPR a hledal, co tam je o fotkách a dětech.
    Nikde jsem nenašel větu, že na fotky dětí je potřeba souhlas.

    Co jsem našel o dětech:
    Souhlas rodiče je potřeba, pokud podléhají režimu souhlasu a jedná se o nabídkou služeb informační společnosti přímo dítěti, je-li dítě ve věku nejméně 16 let (článek 8)

    Zbytek GDPR o hledně dětí je vždy jen obecný pojem typu "zejména pokud je subjektem údajů dítě." , "Děti zasluhují zvláštní ochranu osobních údajů" apod.

    O fotkách jen pokud se zpracovává zvláštními technickými prostředky pro identifikaci - tam bych dal např. ten informační systém. Ale fotka z akce ne.

    Můžeš napsat konkrétně, kde a jak se řeší děti a fotky?

    (Já mám takový pocit, že ti konzultanti a právníci to ani nečetli.)
    ELWERINE
    ELWERINE --- ---
    GIMEL: dojmy jsou pekna vec, ale predpis stanovi kriteria, kdy DPO jmenovan byt musi. Kdyz kriteria nesplnujes, nemusis, ale jestli si ho jmenujes, nikdo ti hlavu neutrhne...
    Viz cl. 37 odst. 1 pism. b). narizeni.
    GIMEL
    GIMEL --- ---
    ELWERINE: já si myslím, že každá firma naplňuje nějakým způsobem kritéria GDPR a musí se k tomu nějak postavit. Jestli je to primární nebo subsidiární aktivita podle mě nehraje roli. Ale je pravda, že DPO není nutný, jen je výhoda mít nějakou "pověřenou osobu", u které se agregují veškeré požadavky. :)
    ELWERINE
    ELWERINE --- ---
    GIMEL: myslela jsem praci s osobnimi udaji ve smyslu, ze to tvori vas business - tzv. core activity... Mzdove ucely jsou typicka subsidiarni aktivita, ktera se nepovazuje za core activity, protoze ji dela kazda spolecnost a je to az vysledek toho, ze ma jiny business... No nic :), jen takova vsuvka.

    Mit DPO neuskodi, ale neni potreba ho nezbytne mit, pokud nenaplnujete kriteria GDPR.
    GIMEL
    GIMEL --- ---
    ELWERINE: tak jako každá firma, pracujeme s osobními údaji - když už nic jiného, tak pro mzdové účely atd. Ale samozřejmě toho máme víc... fotky z akcí pochopitelně taky :)
    Kliknutím sem můžete změnit nastavení reklam