Chcete se zeptat?

Kontaktní formulář

X

GDPR

 

Základní pravidla postupů souvisejících se zpracováním osobních údajů

I.

  2. Advokát zajišťuje dodržování těchto pravidel při zpracování osobních údajů jeho osobou, spolupracovníky a v případě dodavatelů - externích zpracovatelů osobních údajů má smluvně zajištěny záruky odpovídající ochrany dle čl. 28 GDPR.

II.

  1. Advokát zpracovává osobní údaje výhradně v souladu s právními důvody stanovenými v čl. 6 GDPR, pouze v nezbytném rozsahu a po nezbytnou dobu. Účely zpracování osobních údajů a dobu jejich zpracování eviduje advokát pro jednotlivé agendy v záznamech o činnostech zpracování podle čl. 30 GDPR.
  2. K osobním údajům mají přístup pouze osoby, které s nimi potřebují nakládat při plnění svých úkolů a povinností pro advokáta. Tyto osoby zachovávají o osobních údajích, s nimiž se seznamují, mlčenlivost, tato povinnost je smluvně garantována.

III.

  1. Advokát v souladu s předpisy o advokacii a obvyklými standardními zvyklostmi v oblasti advokacie garantuje příslušné zabezpečené zpracování osobních údajů a přijímá opatření k zabezpečení osobních údajů, a to zejména:
  2. zajištění přítomnosti osoby uvedené v čl. 2 odst. 2 v prostorách, kde jsou zpracovávány osobní údaje, po dobu, kdy jsou tyto prostory přístupné jiným osobám, popřípadě uzamykání listin s osobními údaji, pokud osoba uvedená v čl. 2 odst. 2 není v této době přítomna,
  3. uzamykání prostor, v nichž jsou uchovávány osobní údaje,
  6. další vhodná opatření pro ochranu přenosné výpočetní techniky nebo přenosných úložišť dat (například neustálý dohled, zamčený přepravní obal, folie na displeji, zaheslování dat, osobní manipulace s úložištěm při kopírování dat do jiného přístroje),
  7. zaheslování souborů s větším množstvím osobních údajů nebo se snadno zneužitelnými nebo citlivými osobními údaji v případě odesílání souboru e-mailem nebo jeho uložení na sdílené úložiště a v případě nutnosti předání těchto souborů sdělení hesla jiným komunikačním kanálem, než byly odeslány (telefon, sms).
    1. Advokát dbá na řádné plnění povinností podle předpisů upravujících archivnictví, dodržuje zákonné lhůty pro ukládání dokumentů a archivaci, a dále včas a řádně provádí skartační řízení.

IV.

  1. Advokát naplňuje veškerá práva subjektů údajů. Vyřizování všech žádostí subjektů údajů je v souladu s předpisy o advokacii, tzn. nesmí být ohroženy zásady a principy výkonu advokacie, zejména povinnost mlčenlivosti vyplývající z § 21 zákona o advokacii a další povinnosti vyplývající ze zákona, etického kodexu a dalších kamerálních norem.
  2. Advokát dále zejména:
  3. vede záznamy o činnostech zpracování podle čl. 30 GDPR,
  4. zajišťuje informování subjektů údajů podle čl. 12 až 14 GDPR.
  5. naplňuje další práva subjektů údajů podle čl. 15 až 22 GDPR,
  6. provádí ohlašování a oznámení porušení zabezpečení osobních údajů podle čl. 33 a 34 GDPR.
    1. Návrhy záznamů, informací, vyřízení žádostí/stížností a ohlášení a oznámení podle odstavce 2 jsou uloženy u advokáta.
    2. Subjekty údajů mohou svoje žádosti/stížnosti pro uplatnění práv popsaných v odstavci 2 uplatnit u advokáta, zejména zasláním prostřednictvím emailové adresy advokáta či písemně na sídlo advokáta.

V.

  1. Advokát provedl analýzu rizik zpracování osobních údajů a přijal přiměřená technická a organizační opatření pro zabezpečení zpracování, jak jsou popsána výše. Analýza rizik obsahovala následující závěr: zpracování osobních údajů nepředstavují vysoká rizika pro práva a svobody dotčených subjektů údajů, a tedy není nutné vypracovat posouzení vlivu na ochranu osobních údajů („DPIA“).  
  2. Advokát provedl posouzení zpracování OÚ z pohledu čl. 37 GDPR. Advokát nenaplňuje podmínky pro jmenování pověřence pro ochranu osobních údajů (dále jen „DPO“) v souladu s recitálem 91 GDPR a nemá povinnost DPO jmenovat. DPO proto nebyl u advokáta jmenován.
  3. Advokát kromě záznamů o činnostech zpracování dle čl. 30 GDPR vede evidenci případných souhlasů se zpracováním osobních údajů, pokud pro zpracování osobních údajů neexistuje jiný právní titul a evidenci případů porušení zabezpečení osobních údajů.
  4. Advokát pravidelně, nejméně jednou ročně, vyhodnocuje plnění pravidel ochrany osobních údajů, vč. technických a organizačních opatření a přijímá opatření k nápravě, příp. dle potřeby aktualizuje interní dokumentaci související s ochranou osobních údajů.

Tato pravidla byla přijata dne 25. května 2018.

 

 

 

 

Záznamy o činnostech zpracování

# Kategorie a charakteristiky zpracování osobních údajů
 

Jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů [článek 30 odst. 1 písm. a) GDPR]:

Diana Kajínková, advokátka zapsaná u ČAK pod číslem 17652 se sídlem U Střelnice 667/5, 500 09 Hradec Králové
 

Identifikace příslušných zpracování osobních údajů [článek 30 odst. 1 písm. b) GDPR]:

  1. (i)vedení spisů klientů;
  2. (ii)provoz AK, daně a účetnictví (dodavatelé).
 

Proč (za jakým účelem) a na základě jakého právního titulu se osobní údaje v rámci zpracovávání zpracovávají [článek 30 odst. 1 písm. b) GDPR]?

  1. (i)vedení spisů klientů – za účelem plnění povinností ze smlouvy o poskytování právních služeb - zpracování je nezbytné pro splnění smlouvy.
  2. (ii)třetí osoby (v rámci vedení spisů klientů) –
  3. (iii)provoz AK, daně a účetnictví – za účelem plnění povinností vyplývajících z právních předpisů (zejm. daňové předpisy) - zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje
 

Jaké osobní údaje jsou zpracovávány v rámci zpracování [článek 30 odst. 1 písm. c) GDPR]?

  1. (i)vedení spisů klientů – jméno, příjmení, datum narození, adresa bydliště, telefonní číslo, e-mailová adresa, osobní údaje obsažené ve spisech správních orgánů, ve kterých advokát klienta (subjekt údajů) zastupuje
  2. (ii)třetí osoby (v rámci vedení spisů klientů) – jméno, adresa, datum narození, rodné číslo, rodinný stav a rodinná situace, finanční situace, bankovní účet, údaje o probíhajících/ ukončených/ hrozících soudních/ exekučních/ správních řízeních, údaje o případných trestních řízeních a trestních věcech
  3. (iii)provoz AK, daně a účetnictví – jméno, příjmení, adresa
 

Z jakých zdrojů jsou osobní údaje získány [článek 30 odst. 1 písm. c) GDPR]?

Osobní údaje jsou získávány od klientů (subjektů údajů), případně od správních orgánů (zejm. úřady, policie či soudy), u kterých je vedeno řízení, ve kterém advokát klienta zastupuje.

Osobní údaje třetích osob jsou získávány od klientů, subjektů údajů, soudů a soudních spisů, správních úřadů, svědků, znalců, veřejných rejstříků a z veřejně přístupných informací (např. internet).
 

Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích:

Osobní údaje klientů mohou být zpřístupněny správním orgánům, které vedou řízení, ve kterém advokát klienta zastupuje.

Vybrané osobní údaje klientů jsou zpracovávány účetní firmou správce jakožto zpracovatelem ve smyslu čl. 28 GDPR.

Osobní údaje klientů nejsou předávány do třetích zemí.
 

V jakém termínu a jak se osobní údaje likvidují [článek 30 odst. 1 písm. f) GDPR]?

Osobní údaje klientů jsou zpracovávány po dobu platnosti smlouvy o poskytování právních služeb uzavřené mezi advokátem a klientem. Po jejím skončení je s nimi naloženo dle platné právní úpravy, zejm. zákona č. 85/1996 Sb. (zákon o advokacii), zákona č. 499/2004 Sb. (zákon o archivnictví a spisové službě a o změně některých zákonů) a Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Nařízení GDPR).
 

Jakým způsobem se osobní údaje aktualizují [článek 30 odst. 1 písm. g) GDPR]?

Osobní údaje klientů jsou aktualizovány informacemi od subjektů údajů, od třetích stran, případně pomocí veřejných zdrojů (internet, veřejné rejstříky…).
 

Které listinné a elektronické evidence (spisovny, archivy, IT systémy, datová úložiště) provádějí zpracování [článek 30 odst. 1 písm. g) GDPR]?

Osobní údaje klientů jsou uloženy na počítačovém serveru advokáta. Přístup k tomuto serveru je chráněn heslem a má k němu přístup pouze advokát, popř. též jeho zaměstnanci. Osobní údaje v listinné podobě jsou uloženy v uzamykatelné kanceláři advokáta.
 

Je prostředí AK pravidelně bezpečnostně testováno (zejm. IT systémy)? Interně nebo externími konzultanty? [článek 30 odst. 1 písm. g) GDPR].

Veškeré osobní údaje, které jsou uchovány v cloudu jsou chráněny, zálohovány a testovány poskytovatelem. Osobní údaje uložené na PC advokáta jsou kompletně zašifrovány, systém je chráněn antivirem a ten je pravidelně upgradován. Osobní údaje v listinné podobě jsou uloženy v uzamykatelné kanceláři advokáta.
 

Jak je zajištěna bezpečnost předání dat při klientské komunikaci [článek 30 odst. 1 písm. g) GDPR]?

V e-mailové komunikaci jsou všechny osobní údaje klientů vždy chráněny hesly. Tato hesla jsou individuální pro každého klienta.

Komunikace se správními úřady probíhá pomocí zabezpečených serverů (zejm. datové schránky).
 

Jak je zajištěna bezpečnost sdílení dat s externími subjekty? Mají všichni externí dodavatelé, zpracovávající osobní údaje, uzavřené smlouvy o zpracování osobních údajů, poskytující odpovídající záruky ochrany [článek 30 odst. 1 písm. g) ve spojení s článkem 28 GDPR]?

Advokát má uzavřeny zpracovatelské smlouvy se všemi zpracovateli.
 

Je zajištěna nevratná likvidace dat v rámci databázového systému [článek 30 odst. 1 písm. g) GDPR]?

Na konci životního cyklu příslušného zpracování osobních údajů je daný osobní údaj nevratně vymazán. Data jsou likvidována, nejen deaktivována.
 

Je k dispozici procedura k určení práv subjektů údajů a jejich výkon s ohledem na jejich data, která jsou zpracovávána v rámci zpracování?

Ano. Formuláře na žádosti subjektu údajů jsou zveřejněny na webových stránkách advokáta.
 

Poskytují se oprávněným subjektům údajů předepsané informace, zejména o:

-       rozsahu a účelu zpracování,

-       způsobu zpracování osobních dat,

-       komu mohou být osobní údaje zpřístupněny?

Ano. Předmětné informace jsou zveřejněny na webových stránkách advokáta.
 

Zabraňují nasazené technické prostředky a uplatňovaná organizační opatření nahodilému anebo neoprávněnému přístupu k osobním údajům, jejich změně, zcizení, zneužití, zničení nebo ztrátě [článek 30 odst. 1 písm. g) GDPR]?

Ano, zabraňují. K osobním údajům má přístup pouze advokát, popřípadě jím pověřený zaměstnanec a dále zpracovatelé (účetní firma). Zpracovatelé i zaměstnanci mají přístup jen k těm osobním údajům, které nezbytně potřebují k výkonu jejich činností.

Všechny osobní údaje uložené v počítači advokáta jsou chráněny hesly. Všechny osobní údaje v listinné podobě jsou bezpečně uzamčeny.
 

Jsou zpracovávané osobní údaje přenášeny do zahraničí nebo jsou přístupné ze zahraničí [článek 30 odst. 1 písm. e) GDPR]?

Zpracovávané osobní údaje nejsou přenášeny do zahraničí. Ze zahraničí jsou přístupné jen v omezené míře (např. po přihlášení do e-mailového prohlížeče chráněného heslem).
 

Jsou pracovníci, mající přístup k osobním údajům v rámci zpracování osobních údajů, proškoleni? Mají tito pracovníci ve svých smlouvách sjednánu povinnost mlčenlivosti ve vztahu ke zpracovávaným osobním údajům [článek 30 odst. 1 písm. g) GDPR]?

Advokát nemá v současné době žádné zaměstnance.

 

Mgr. Tomáš Maxa, advokát