GDPR Záznamy o činnostech zpracování osobních údajů

Zásady zpracování osobních údajů

 

  Kategorie a charakteristiky zpracování osobních údajů

  Evidence v Řezníček & Co. s.r.o., advokátní kancelář


Jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů [článek 30 odst. 1 písm. a) GDPR].
 

     - Správce: 
       společnost Řezníček & Co. s.r.o.,
       advokátní kancelář
       se sídlem Krajinská 281/44,
       370 01 České Budějovice 
       zapsaná v obchodním rejstříku vedeném
       Krajským soudem v Českých Budějovicích,
       sp. zn. C 6339

    - zastoupená:
      JUDr. Davidem Řezníčkem, LL.M., Ph.D.,
      jednatelem společnosti

    - kontakt:
       - e-mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
       - tel: +420 386 323 247
       - webové stránky: www.reznicek.com

 

2

Identifikace příslušných zpracování osobních údajů [článek 30 odst. 1 písm. b) GDPR].
 

Vedení spisů klientů – klientská agenda

Evidence zaměstnanců a externích spolupracovníků (+výkazy práce)

Výkon funkce pověřence pro ochranu osobních údajů

Provoz advokátní kanceláře, daňové a účetní potřeby (prostřednictvím externího dodavatele)

Komunikace online



Proč (za jakým účelem) a na základě jakého právního titulu se osobní údaje v rámci zpracovávání zpracovávají [článek 30 odst. 1 písm. b) GDPR]? 
 

Klienti: smlouva o poskytování právních služeb se subjekty údajů – plnění smlouvy a výkon právních povinností vyplývajících z předpisů upravujících výkon advokacie, smlouva o výkonu funkce pověřence pro ochranu osobních údajů – plnění smlouvy a výkon právních povinností vyplývajících z předpisů upravujících výkon funkce pověřence

Třetí osoby: oprávněný zájem správce – plnění smlouvy s klientem; plnění právních povinností vyplývajících z předpisů upravujících výkon advokacie a výkon funkce pověřence

Zaměstnanci: pracovní smlouva, DPP, DPČ – plnění povinností vyplývajících ze smluv se zaměstnanci a ze zákoníku práce a zákona o zaměstnanosti

 


Jaké osobní údaje jsou zpracovávány v rámci zpracování [článek 30 odst. 1 písm. c) GDPR]? 
 

Klienti: jméno, adresa, datum narození, rodné číslo, rodinný stav a rodinná situace, finanční situace, bankovní účet, údaje o probíhajících / ukončených/hrozících soudních/exekučních/správních řízeních, údaje o případných trestních řízeních a trestních věcech

Třetí osoby: jméno, adresa, datum narození, rodné číslo, rodinný stav a rodinná situace, finanční situace, bankovní účet, údaje o probíhajících/ukončených/hrozících soudních/exekučních/správních řízeních, údaje o případných trestních řízeních a trestních věcech

Zaměstnanci: jméno, adresa, datum narození, bankovní účet, pracovní doba, rodinný stav, vzdělání, fotografie

 


Z jakých zdrojů jsou osobní údaje získány [(článek 30 odst. 1 písm. c) GDPR]? 
 

Klienti: subjekty údajů, soudy, správní úřady

Třetí osoby: klienti, subjekty údajů, soudy a soudní spisy, správní úřady, svědci, znalci, veřejné rejstříky, veřejně přístupné informace (např. internet, periodika, tisk)

Zaměstnanci: subjekty údajů

 


Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích.

 


- Účetní (samostatná)

- Nezpřístupňujeme osobní údaje příjemcům
  ve třetích zemích ani v rámci mezinárodních
  organizací



V jakém termínu a jak se osobní údaje likvidují [článek 30 odst. 1 písm. f) GDPR]? 
 

Dle našeho spisového, archivního a skartačního řádu

V jakém termínu a jak se osobní údaje likvidují [článek 30 odst. 1 písm. f) GDPR]?          

Vaše osobní údaje se zpracovávají a uchovávají po dobu nezbytně nutnou k zajištění všech práv a povinností plynoucích z příslušného smluvního vztahu a dále po dobu, po kterou je správce osobních údajů povinen osobní údaje uchovávat podle obecně závazných právních předpisů, nebo na kterou jste správci ke zpracování udělil/a souhlas. V ostatních případech vyplývá doba zpracování z účelu zpracování, kterému musí být přiměřená, anebo je dána právními předpisy v oblasti ochrany osobních údajů.

pro účely plnění smlouvy: po dobu trvání smluvního vztahu a po dobu 10 let od ukončení smluvního vztahu

pro účely plnění právních povinností: po dobu stanovenou příslušným právním předpisem



Jakým způsobem se osobní údaje aktualizují [článek 30 odst. 1 písm. g) GDPR]? 
 
Informacemi od subjektů údajů (např. obdržením informace od klienta o změně kontaktních údajů aj.), od třetích stran, případně pomocí veřejných zdrojů (internet, veřejné rejstříky apod.) 


9

Které listinné a elektronické evidence (spisovny, archivy, IT systémy, datová úložiště) provádějí zpracování [článek 30 odst. 1 písm. g) GDPR]?
 
Pro vedení klientské agendy používáme systém s názvem [Webspis]. Dále pro účely přípravy pracovních návrhů dokumentů používáme sdílený disk advokátů a advokátních koncipientů; přístup na tento disk je chráněn heslem unikátním pro každého uživatele. Pro správu kanceláře používáme systém [Microsoft Outlook]. Webspis je napojený na účetní systém [Pohoda]. Všechny tyto tři systémy jsou standardní produkty pro advokátní kanceláře.


10

Je prostředí AK pravidelně bezpečnostně testováno (zejm. IT systémy)? Interně nebo externími konzultanty? [článek 30 odst. 1 písm. g) GDPR].

 
Ano, externími konzultanty, a to minimálně 1x za 12 měsíců.

11 

Jak je zajištěna bezpečnost šifrování dat při klientské komunikaci [článek 30 odst. 1 písm. g) GDPR]? 
 

Přenos citlivých informací podléhá zvýšené ochraně při zpracování těchto dat. Zvláštní kategorie osobních údajů podléhají při přenosu či komunikaci šifrování či jsou předávány osobně.

Předání údajů o zaměstnancích externí účetní probíhá osobním předáním.

 

12 

Jak je zajištěna bezpečnost sdílení dat s externími subjekty? Mají všichni externí dodavatelé, zpracovávající osobní údaje, uzavřené smlouvy o zpracování osobních údajů, poskytující odpovídající záruky ochrany [článek 30 odst. 1 písm. g) ve spojení s článkem 28 GDPR]? 

 

Ano. Smlouvy o zpracování osobních údajů máme uzavřeny s následujícími dodavateli:

  • Účetní (samostatná)
 

13 

Je zajištěna nevratná likvidace dat v rámci databázového systému [článek 30 odst. 1 písm. g) GDPR]? 

 
Ano, data jsou na konci svého životního cyklu nevratně likvidována, nejen deaktivována.
 

14 

Je k dispozici procedura k určení práv subjektů údajů a jejich výkon s ohledem na jejich data, která jsou zpracovávána v rámci zpracování? 
 

Ano, umožňujeme každému podat elektronickou žádost prostřednictvím emailové adresy Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. či v listinné podobě osobně na recepci naší advokátní kanceláře, žádosti vyřizujeme v předepsaných lhůtách.

Práva subjektů mohou být v některých situacích omezována (např. nevydání informací protistraně apod.)

 

15 

Poskytují se oprávněným subjektům údajů předepsané informace, zejména o:

  • rozsahu a účelu zpracování,
  • způsobu zpracování osobních dat,
  • komu mohou být osobní údaje zpřístupněny? 
 

Ano, informace poskytujeme následující formou:

  • na našem webu
  • ve smlouvě s klienty
  • v odpovědích na žádosti subjektů údajů
 

16 

Zabraňují nasazené technické prostředky a uplatňovaná organizační opatření nahodilému anebo neoprávněnému přístupu k osobním údajům, jejich změně, zcizení, zneužití, zničení nebo ztrátě [článek 30 odst. 1 písm. g) GDPR]? 
 

Ano, uplatňujeme zejména následující opatření:

  • K zpracovávaným spisům mají přístup pouze osoby, které se spisem pracují nebo které jsou k nakládání se spisy zmocněné či pověřené;
  • Spisy jsou v počítači, který je zaheslovaný; spisy v listinné podobě se nacházejí ve skříních oddělené od ostatní dokumentace;
  • Přístup do kanceláří je zabezpečen několika dveřmi opatřenými zámky;
  • IT systém je standardní, vyzkoušený, používaný v řadě advokátních kanceláří. Přístup do IT systému je omezen podle nastavených manažerských rolí.
  • IT systém je pravidelně testován a udržován.
 

17 

Jsou zpracovávané osobní údaje přenášeny do zahraničí nebo jsou přístupné ze zahraničí [článek 30 odst. 1 písm. e) GDPR]? 

 
Ano, výjimečně. Používáme vzorové smluvní doložky Evropské komise. 

18 

Jsou pracovníci, mající přístup k osobním údajům v rámci zpracování osobních údajů, proškoleni? Mají tito pracovníci ve svých smlouvách sjednánu povinnost mlčenlivosti ve vztahu ke zpracovávaným osobním údajům [článek 30 odst. 1 písm. g) GDPR]? 
 

Ano, proškolení probíhá jednak při nástupu do zaměstnání a dále jednou za 18 měsíců.

Ano, pracovníci, kteří nejsou advokáty nebo advokátními koncipienty (tedy nemají zákonnou povinnost mlčenlivosti), mají v pracovních smlouvách závazek mlčenlivosti.

S externími dodavateli máme uzavřeny smlouvy o zpracování osobních údajů.

 
19 Práva osob plynoucí ze zpracování osobních údajů  

Za podmínek uvedených v čl. 15 až 22 GDPR a zákona č. 101/2000 Sb., o ochraně osobních údajů, má subjekt údajů právo:

  1. PRÁVO NA PŘÍSTUP k osobním údajům zpracovávaným Správcem, což znamená, že si subjekt údajů může kdykoliv požádat o potvrzení, zda osobní údaje, které se týkají subjektu údajů, jsou či nejsou zpracovávány, a pokud jsou, pak za jakými účely, v jakém rozsahu, komu jsou zpřístupněny, jak dlouho budou zpracovávány, zda má právo na opravu, výmaz, omezení zpracování či vznést námitku, odkud osobní údaje byly získány, a zda dochází na základě zpravování osobních údajů k automatickému rozhodování, včetně případného profilování.

    Také má subjekt údajů právo získat kopii svých osobních údajů, přičemž první poskytnutí je bezplatné, za další poskytnutí pak může být požadována přiměřená úhrada administrativních nákladů.

  2. PRÁVO NA OPRAVU osobních údajů, což znamená, že je možné požádat o opravu či doplnění osobních údajů, pokud
    by byly nepřesné, chybné či neúplné.

  3. PRÁVO NA VÝMAZ osobních údajů zpracovávaných Správcem, pokud již pominul účel zpracování, nebo pokud jsou Správcem zpracovávány protiprávně, což znamená, že osobní údaje musí být vymazány pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, je odvolán souhlas a neexistuje žádný další důvod pro zpracování, je vznesena námitka proti zpracování a neexistuje žádné převažující oprávnění či důvody pro zpracování, zpracování je protiprávní nebo to ukládá zákonná povinnost.

  4. PRÁVO NA OMEZENÍ zpracování osobních údajů, což znamená, že subjekt údajů může požádat o omezení zpracování svých osobních údajů, dokud se nevyřeší sporné otázky ohledně zpracování osobních údajů, konkrétně pokud je popírána přesnost osobních údajů, zpravování je protiprávní, ale místo výmazu je požadované jejich zpracování pouze omezit, osobní údaje již smluvní strana nepotřebuje pro účely zpravování, nebo pokud byla vznesena námitka proti zpracování, může mít druhá smluvní strana osobní údaje pouze uloženy a další zpravování je podmíněno souhlasem, případně tím, že tyto údaje jsou potřeba z důvodu určení, výkonu nebo obhajoby právních nároků.

  5. PRÁVO NA PŘENOSITELNOST údajů, což znamená, že subjekt údajů má právo získat své osobní údaje, které poskytl Správci se souhlasem ke zpracování nebo pro účely plnění smlouvy a které jsou zpracovávané automatizovaně, ve strukturovaném, běžně používaném a strojově čitelném formátu, a je-li to technicky proveditelné, aby tyto údaje byly předány jinému správci.

  6. PRÁVO VZNÉST NÁMITKU proti zpracování osobních údajů, což znamená možnost podat písemnou či elektronickou námitku proti zpracování osobních údajů. Toto je možné uplatit buďto písemnou formou doporučeným dopisem zaslaným na adresu sídla Správce, či elektronickou formou na e-mailovou adresu: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Na ochranu soukromí a osobních údajů dohlíží Úřad pro ochranu osobních údajů.

crypto efefef background seda

 

© 2019 REZNICEK & CO, All Rights Reserved   |   Zásady zpracování osobních údajů   |   Povinnosti advokáta ve vztahu k AML  |  Informace pro spotřebitele