GDPR

Základní pravidla postupů souvisejících se zpracováním osobních údajů GDPR

 

1. Advokát zajišťuje dodržování těchto pravidel při zpracování osobních údajů jeho osobou, spolupracovníky a v případě dodavatelů – externích zpracovatelů osobních údajů má smluvně zajištěny záruky odpovídající ochrany dle čl. 28 GDPR

 

2. Advokát zpracovává osobní údaje výhradně v souladu s právními důvody stanovenými v čl. 6 GDPR, pouze v nezbytném rozsahu a po nezbytnou dobu. Účely zpracování osobních údajů a dobu jejich zpracování eviduje advokát pro jednotlivé agendy v záznamech o činnostech zpracování podle čl. 30 GDPR.

 

3. K osobním údajům mají přístup pouze osoby, které s nimi potřebují nakládat. Tedy advokát, zaměstnanci advokáta a jiné osoby při plnění svých úkolů a povinností pro advokáta. Tyto osoby zachovávají o osobních údajích, s nimiž se seznamují, mlčenlivost, tato povinnost je smluvně garantována.

 

4. Advokát v souladu s předpisy o advokacii a obvyklými standardními zvyklostmi v oblasti advokacie garantuje příslušné zabezpečené zpracování osobních údajů a přijímá opatření k zabezpečení osobních údajů, a to zejména:

zajištění přítomnosti osoby uvedené v čl. 3 v prostorách, kde jsou zpracovávány osobní údaje, po dobu, kdy jsou tyto prostory přístupné jiným osobám, popřípadě uzamykání listin s osobními údaji, pokud osoba uvedená v čl. 2 odst. 2 není v této době přítomna

uzamykání prostor, v nichž jsou uchovávány osobní údaje

ochranu přenosné výpočetní techniky nebo přenosných úložišť dat (například neustálý dohled, zamčený přepravní obal, folie na displeji, zaheslování dat, osobní manipulace s úložištěm při kopírování dat do jiného přístroje), použití trezoru pro záložní disky

zaheslování souborů s větším množstvím osobních údajů nebo se snadno zneužitelnými nebo citlivými osobními údaji v případě odesílání souboru e-mailem nebo jeho uložení na sdílené úložiště a v případě nutnosti předání těchto souborů sdělení hesla jiným komunikačním kanálem, než byly odeslány (telefon, sms).

 

5. Advokát dbá na řádné plnění povinností podle předpisů upravujících archivnictví, dodržuje zákonné lhůty pro ukládání dokumentů a archivaci, a dále včas a řádně provádí skartační řízení.

 

6. Advokát naplňuje veškerá práva subjektů údajů. Vyřizování všech žádostí subjektů údajů je v souladu s předpisy o advokacii, tzn. nesmí být ohroženy zásady a principy výkonu advokacie, zejména povinnost mlčenlivosti vyplývající z § 21 zákona o advokacii a další povinnosti vyplývající ze zákona, etického kodexu a dalších kamerálních norem.

 

7. Advokát dále zejména:

vede záznamy o činnostech zpracování podle čl. 30 GDPR

zajišťuje informování subjektů údajů podle čl. 12 až 14 GDPR

naplňuje další práva subjektů údajů podle čl. 15 až 22 GDPR

provádí ohlašování a oznámení porušení zabezpečení osobních údajů podle čl. 33 a 34 GDPR

Výše uvedené záznamy, informace, žádosti, a jiné, jsou uloženy u advokáta. Případné stížnosti pro uplatnění práv čl. 7 mohou být uplatněna u advokáta, zejména emailem, či písemně.

 

8. Advokát provedl analýzu rizik zpracování osobních údajů a přijal přiměřená technická a organizační opatření pro zabezpečení zpracování, jak jsou popsána výše. Analýza rizik obsahovala následující závěr: zpracování osobních údajů nepředstavují vysoká rizika pro práva a svobody dotčených subjektů údajů, a tedy není nutné vypracovat posouzení vlivu na ochranu osobních údajů („DPIA“).

 

9. Advokát provedl posouzení zpracování OÚ z pohledu čl. 37 GDPR. Advokát nenaplňuje podmínky pro jmenování pověřence pro ochranu osobních údajů (dále jen „DPO“) v souladu s recitálem 91 GDPR a nemá povinnost DPO jmenovat. DPO proto nebyl u advokáta jmenován.

 

10. Advokát kromě záznamů o činnostech zpracování dle čl. 30 GDPR vede evidenci případných souhlasů se zpracováním osobních údajů, pokud pro zpracování osobních údajů neexistuje jiný právní titul a evidenci případů porušení zabezpečení osobních údajů.

 

11. Advokát pravidelně, nejméně jednou ročně, vyhodnocuje plnění pravidel ochrany osobních údajů, vč. technických a organizačních opatření a přijímá opatření k nápravě, příp. dle potřeby aktualizuje interní dokumentaci související s ochranou osobních údajů.

 

Záznamy o činnostech zpracování

Kategorie a charakteristiky zpracování osobních údajů

 

Jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů [článek 30 odst. 1 písm. a) GDPR]:

Mgr. Lukáš Kock, advokátní kancelář zapsaný u ČAK pod číslem 16382 se sídlemNa střelnici 522/6, 186 00 Praha 8

 

Identifikace příslušných zpracování osobních údajů [článek 30 odst. 1 písm. b) GDPR]:

(i)vedení spisů klientů;

(ii)provoz AK, daně a účetnictví (dodavatelé).

 

Proč (za jakým účelem) a na základě jakého právního titulu se osobní údaje v rámci zpracovávání zpracovávají [článek 30 odst. 1 písm. b) GDPR]?

(i)vedení spisů klientů – za účelem plnění povinností ze smlouvy o poskytování právních služeb – zpracování je nezbytné pro splnění smlouvy.

(ii)třetí osoby (v rámci vedení spisů klientů) –

(iii)provoz AK, daně a účetnictví – za účelem plnění povinností vyplývajících z právních předpisů (zejm. daňové předpisy) – zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje

 

Jaké osobní údaje jsou zpracovávány v rámci zpracování [článek 30 odst. 1 písm. c) GDPR]?

(i)vedení spisů klientů – jméno, příjmení, datum narození, adresa bydliště, telefonní číslo, e-mailová adresa, osobní údaje obsažené ve spisech správních orgánů, ve kterých advokát klienta (subjekt údajů) zastupuje

(ii)třetí osoby (v rámci vedení spisů klientů) – jméno, adresa, datum narození, rodné číslo, rodinný stav a rodinná situace, finanční situace, bankovní účet, údaje o probíhajících/ ukončených/ hrozících soudních/ exekučních/ správních řízeních, údaje o případných trestních řízeních a trestních věcech

(iii)provoz AK, daně a účetnictví – jméno, příjmení, adresa, IC, DIC, datum narození

 

Z jakých zdrojů jsou osobní údaje získány [článek 30 odst. 1 písm. c) GDPR]?

Osobní údaje jsou získávány od klientů (subjektů údajů), případně od správních orgánů (zejm. úřady, policie či soudy), u kterých je vedeno řízení, ve kterém advokát klienta zastupuje.

Osobní údaje třetích osob jsou získávány od klientů, subjektů údajů, soudů a soudních spisů, správních úřadů, svědků, znalců, veřejných rejstříků a z veřejně přístupných informací (např. internet).

 

Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích:

Osobní údaje klientů mohou být zpřístupněny správním orgánům, které vedou řízení, ve kterém advokát klienta zastupuje, insolvenčním správcům, protistraně, je-li to nutné pro účely zajištění právní služby.

Vybrané osobní údaje klientů jsou zpracovávány účetní firmou správce jakožto zpracovatelem ve smyslu čl. 28 GDPR.

Osobní údaje klientů nejsou předávány do třetích zemí, vyjma přeshraničních sporů a případů.

 

V jakém termínu a jak se osobní údaje likvidují [článek 30 odst. 1 písm. f) GDPR]?

Osobní údaje klientů jsou zpracovávány po dobu platnosti smlouvy o poskytování právních služeb uzavřené mezi advokátem a klientem. Po jejím skončení je s nimi naloženo dle platné právní úpravy, zejm. zákona č. 85/1996 Sb. (zákon o advokacii), zákona č. 499/2004 Sb. (zákon o archivnictví a spisové službě a o změně některých zákonů) a Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Nařízení GDPR).

 

Jakým způsobem se osobní údaje aktualizují [článek 30 odst. 1 písm. g) GDPR]?

Osobní údaje klientů jsou aktualizovány informacemi od subjektů údajů, od třetích stran, případně pomocí veřejných zdrojů (internet, veřejné rejstříky…).

 

Které listinné a elektronické evidence (spisovny, archivy, IT systémy, datová úložiště) provádějí zpracování [článek 30 odst. 1 písm. g) GDPR]?

Osobní údaje klientů jsou uloženy na počítačovém serveru advokáta. Přístup k tomuto serveru je chráněn heslem a má k němu přístup pouze advokát, popř. též jeho zaměstnanci. Osobní údaje v listinné podobě jsou uloženy v uzamykatelné kanceláři advokáta.

 

Je prostředí AK pravidelně bezpečnostně testováno (zejm. IT systémy)? Interně nebo externími konzultanty? [článek 30 odst. 1 písm. g) GDPR].

Veškeré osobní údaje, které jsou uchovány elektronicky v PS či serveru a jsou chráněny, zálohovány a testovány poskytovatelem. Osobní údaje uložené na PC advokáta jsou kompletně zašifrovány, systém je chráněn antivirem a ten je pravidelně upgradován. Osobní údaje v listinné podobě jsou uloženy v uzamykatelné kanceláři advokáta.

 

Jak je zajištěna bezpečnost předání dat při klientské komunikaci [článek 30 odst. 1 písm. g) GDPR]?

V e-mailové komunikaci jsou všechny osobní údaje klientů vždy chráněny webovým rozhraním https.//.

Komunikace se správními úřady probíhá pomocí zabezpečených serverů (zejm. datové schránky).

 

Jak je zajištěna bezpečnost sdílení dat s externími subjekty? Mají všichni externí dodavatelé, zpracovávající osobní údaje, uzavřené smlouvy o zpracování osobních údajů, poskytující odpovídající záruky ochrany [článek 30 odst. 1 písm. g) ve spojení s článkem 28 GDPR]?

Advokát má uzavřeny zpracovatelské smlouvy se všemi zpracovateli.

 

Je zajištěna nevratná likvidace dat v rámci databázového systému [článek 30 odst. 1 písm. g) GDPR]?

Na konci životního cyklu příslušného zpracování osobních údajů je daný osobní údaj nevratně vymazán.

 

Je k dispozici procedura k určení práv subjektů údajů a jejich výkon s ohledem na jejich data, která jsou zpracovávána v rámci zpracování?

Ano. Informace o možnosti žádosti subjektu údajů jsou zveřejněny na webových stránkách advokáta.

 

Poskytují se oprávněným subjektům údajů předepsané informace, zejména o:

– rozsahu a účelu zpracování,

– způsobu zpracování osobních dat,

– komu mohou být osobní údaje zpřístupněny?

Ano. Předmětné informace jsou zveřejněny na webových stránkách advokáta.

 

Zabraňují nasazené technické prostředky a uplatňovaná organizační opatření nahodilému anebo neoprávněnému přístupu k osobním údajům, jejich změně, zcizení, zneužití, zničení nebo ztrátě [článek 30 odst. 1 písm. g) GDPR]?

Ano, zabraňují. K osobním údajům má přístup pouze advokát, popřípadě jím pověřený zaměstnanec a dále zpracovatelé (účetní firma, IT firma). Zpracovatelé i zaměstnanci mají přístup jen k těm osobním údajům, které nezbytně potřebují k výkonu jejich činností.

Všechny osobní údaje uložené v počítači advokáta jsou chráněny hesly. Všechny osobní údaje v listinné podobě jsou bezpečně uzamčeny.

 

Jsou zpracovávané osobní údaje přenášeny do zahraničí nebo jsou přístupné ze zahraničí [článek 30 odst. 1 písm. e) GDPR]?

Ano ale jen v případech přeshraničního sporu. Zpracovávané osobní údaje nejsou přenášeny do zahraničí. Ze zahraničí jsou přístupné jen v omezené míře (např. po přihlášení do e-mailového prohlížeče chráněného heslem).

 

Jsou pracovníci, mající přístup k osobním údajům v rámci zpracování osobních údajů, proškoleni? Mají tito pracovníci ve svých smlouvách sjednánu povinnost mlčenlivosti ve vztahu ke zpracovávaným osobním údajům [článek 30 odst. 1 písm. g) GDPR]?

Všichni zaměstnanci jsou proškoleni a jsou smluvně vázáni mlčenlivostí.