Zásady zpracování osobních údajů
Kategorie a charakteristiky zpracování osobních údajů |
Evidence v Řezníček & Co. s.r.o., advokátní kancelář | ||
1 |
Jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů [článek 30 odst. 1 písm. a) GDPR]. |
- Správce: - zastoupená: - kontakt: |
|
2 |
Identifikace příslušných zpracování osobních údajů [článek 30 odst. 1 písm. b) GDPR]. |
Vedení spisů klientů – klientská agenda Evidence zaměstnanců a externích spolupracovníků (+výkazy práce) Výkon funkce pověřence pro ochranu osobních údajů Provoz advokátní kanceláře, daňové a účetní potřeby (prostřednictvím externího dodavatele) Komunikace online |
|
3 |
Proč (za jakým účelem) a na základě jakého právního titulu se osobní údaje v rámci zpracovávání zpracovávají [článek 30 odst. 1 písm. b) GDPR]? |
Klienti: smlouva o poskytování právních služeb se subjekty údajů – plnění smlouvy a výkon právních povinností vyplývajících z předpisů upravujících výkon advokacie, smlouva o výkonu funkce pověřence pro ochranu osobních údajů – plnění smlouvy a výkon právních povinností vyplývajících z předpisů upravujících výkon funkce pověřence Třetí osoby: oprávněný zájem správce – plnění smlouvy s klientem; plnění právních povinností vyplývajících z předpisů upravujících výkon advokacie a výkon funkce pověřence Zaměstnanci: pracovní smlouva, DPP, DPČ – plnění povinností vyplývajících ze smluv se zaměstnanci a ze zákoníku práce a zákona o zaměstnanosti |
|
4 |
Jaké osobní údaje jsou zpracovávány v rámci zpracování [článek 30 odst. 1 písm. c) GDPR]? |
Klienti: jméno, adresa, datum narození, rodné číslo, rodinný stav a rodinná situace, finanční situace, bankovní účet, údaje o probíhajících / ukončených/hrozících soudních/exekučních/správních řízeních, údaje o případných trestních řízeních a trestních věcech Třetí osoby: jméno, adresa, datum narození, rodné číslo, rodinný stav a rodinná situace, finanční situace, bankovní účet, údaje o probíhajících/ukončených/hrozících soudních/exekučních/správních řízeních, údaje o případných trestních řízeních a trestních věcech Zaměstnanci: jméno, adresa, datum narození, bankovní účet, pracovní doba, rodinný stav, vzdělání, fotografie |
|
5 |
Z jakých zdrojů jsou osobní údaje získány [(článek 30 odst. 1 písm. c) GDPR]? |
Klienti: subjekty údajů, soudy, správní úřady Třetí osoby: klienti, subjekty údajů, soudy a soudní spisy, správní úřady, svědci, znalci, veřejné rejstříky, veřejně přístupné informace (např. internet, periodika, tisk) Zaměstnanci: subjekty údajů |
|
6 |
Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích. |
|
- Účetní (samostatná) - Nezpřístupňujeme osobní údaje příjemcům |
7 |
V jakém termínu a jak se osobní údaje likvidují [článek 30 odst. 1 písm. f) GDPR]? |
Dle našeho spisového, archivního a skartačního řádu |
|
8 |
Jakým způsobem se osobní údaje aktualizují [článek 30 odst. 1 písm. g) GDPR]? |
Informacemi od subjektů údajů (např. obdržením informace od klienta o změně kontaktních údajů aj.), od třetích stran, případně pomocí veřejných zdrojů (internet, veřejné rejstříky apod.) |
|
9 |
Které listinné a elektronické evidence (spisovny, archivy, IT systémy, datová úložiště) provádějí zpracování [článek 30 odst. 1 písm. g) GDPR]? |
Pro vedení klientské agendy používáme systém s názvem [Webspis]. Dále pro účely přípravy pracovních návrhů dokumentů používáme sdílený disk advokátů a advokátních koncipientů; přístup na tento disk je chráněn heslem unikátním pro každého uživatele. Pro správu kanceláře používáme systém [Microsoft Outlook]. Webspis je napojený na účetní systém [Pohoda]. Všechny tyto tři systémy jsou standardní produkty pro advokátní kanceláře. |
|
10 |
Je prostředí AK pravidelně bezpečnostně testováno (zejm. IT systémy)? Interně nebo externími konzultanty? [článek 30 odst. 1 písm. g) GDPR]. |
Ano, externími konzultanty, a to minimálně 1x za 12 měsíců. |
|
11 |
Jak je zajištěna bezpečnost šifrování dat při klientské komunikaci [článek 30 odst. 1 písm. g) GDPR]? |
Přenos citlivých informací podléhá zvýšené ochraně při zpracování těchto dat. Zvláštní kategorie osobních údajů podléhají při přenosu či komunikaci šifrování či jsou předávány osobně. Předání údajů o zaměstnancích externí účetní probíhá osobním předáním. |
|
12 |
Jak je zajištěna bezpečnost sdílení dat s externími subjekty? Mají všichni externí dodavatelé, zpracovávající osobní údaje, uzavřené smlouvy o zpracování osobních údajů, poskytující odpovídající záruky ochrany [článek 30 odst. 1 písm. g) ve spojení s článkem 28 GDPR]? |
Ano. Smlouvy o zpracování osobních údajů máme uzavřeny s následujícími dodavateli:
|
|
13 |
Je zajištěna nevratná likvidace dat v rámci databázového systému [článek 30 odst. 1 písm. g) GDPR]? |
Ano, data jsou na konci svého životního cyklu nevratně likvidována, nejen deaktivována. |
|
14 |
Je k dispozici procedura k určení práv subjektů údajů a jejich výkon s ohledem na jejich data, která jsou zpracovávána v rámci zpracování? |
Ano, umožňujeme každému podat elektronickou žádost prostřednictvím emailové adresy Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. či v listinné podobě osobně na recepci naší advokátní kanceláře, žádosti vyřizujeme v předepsaných lhůtách. Práva subjektů mohou být v některých situacích omezována (např. nevydání informací protistraně apod.) |
|
15 |
Poskytují se oprávněným subjektům údajů předepsané informace, zejména o:
|
Ano, informace poskytujeme následující formou:
|
|
16 |
Zabraňují nasazené technické prostředky a uplatňovaná organizační opatření nahodilému anebo neoprávněnému přístupu k osobním údajům, jejich změně, zcizení, zneužití, zničení nebo ztrátě [článek 30 odst. 1 písm. g) GDPR]? |
Ano, uplatňujeme zejména následující opatření:
|
|
17 |
Jsou zpracovávané osobní údaje přenášeny do zahraničí nebo jsou přístupné ze zahraničí [článek 30 odst. 1 písm. e) GDPR]? |
Ano, výjimečně. Používáme vzorové smluvní doložky Evropské komise. |
|
18 |
Jsou pracovníci, mající přístup k osobním údajům v rámci zpracování osobních údajů, proškoleni? Mají tito pracovníci ve svých smlouvách sjednánu povinnost mlčenlivosti ve vztahu ke zpracovávaným osobním údajům [článek 30 odst. 1 písm. g) GDPR]? |
Ano, proškolení probíhá jednak při nástupu do zaměstnání a dále jednou za 18 měsíců. Ano, pracovníci, kteří nejsou advokáty nebo advokátními koncipienty (tedy nemají zákonnou povinnost mlčenlivosti), mají v pracovních smlouvách závazek mlčenlivosti. S externími dodavateli máme uzavřeny smlouvy o zpracování osobních údajů. |