Zásady ochrany soukromí a zpracování osobních údajů

Zásady zpracování osobních údajů

Kategorie a charakteristiky zpracování osobních údajů
Evidence v Řezníček & Co. s.r.o., advokátní kancelář

1. Jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů

[článek 30 odst. 1 písm. a) GDPR]

  • Správce:
    • Řezníček & Co. s.r.o., advokátní kancelář
    • Sídlo: Krajinská 281/44, 370 01 České Budějovice
    • Zapsaná v obchodním rejstříku vedeném Krajským soudem v Českých Budějovicích, sp. zn. C 6339
  • Zastoupená:
    • JUDr. Davidem Řezníčkem, LL.M., Ph.D., jednatelem společnosti
  • Kontakt:
    • E-mail: recepce@reznicek.com
    • Tel.: +420 386 323 247
    • Webové stránky: www.reznicek.com
2. Identifikace příslušných zpracování osobních údajů

[článek 30 odst. 1 písm. b) GDPR]

  • Vedení spisů klientů – klientská agenda
  • Evidence zaměstnanců a externích spolupracovníků (+ výkazy práce)
  • Výkon funkce pověřence pro ochranu osobních údajů
  • Provoz advokátní kanceláře, daňové a účetní potřeby (prostřednictvím externího dodavatele)
  • Komunikace online
3. Proč (za jakým účelem) a na základě jakého právního titulu se osobní údaje zpracovávají?

[článek 30 odst. 1 písm. b) GDPR]

  • Klienti: Smlouva o poskytování právních služeb se subjekty údajů – plnění smlouvy a výkon právních povinností vyplývajících z předpisů upravujících výkon advokacie; smlouva o výkonu funkce pověřence pro ochranu osobních údajů – plnění smlouvy a výkon právních povinností vyplývajících z předpisů upravujících výkon funkce pověřence.
  • Třetí osoby: Oprávněný zájem správce – plnění smlouvy s klientem; plnění právních povinností vyplývajících z předpisů upravujících výkon advokacie a výkon funkce pověřence.
  • Zaměstnanci: Pracovní smlouva, DPP, DPČ – plnění povinností vyplývajících ze smluv se zaměstnanci a ze zákoníku práce a zákona o zaměstnanosti.
4. Jaké osobní údaje jsou zpracovávány?

[článek 30 odst. 1 písm. c) GDPR]

  • Klienti: Jméno, adresa, datum narození, rodné číslo, rodinný stav a rodinná situace, finanční situace, bankovní účet, údaje o probíhajících/ukončených/hrozících soudních/exekučních/správních řízeních, údaje o případných trestních řízeních a trestních věcech.
  • Třetí osoby: Jméno, adresa, datum narození, rodné číslo, rodinný stav a rodinná situace, finanční situace, bankovní účet, údaje o probíhajících/ukončených/hrozících soudních/exekučních/správních řízeních, údaje o případných trestních řízeních a trestních věcech.
  • Zaměstnanci: Jméno, adresa, datum narození, bankovní účet, pracovní doba, rodinný stav, vzdělání, fotografie.
5. Z jakých zdrojů jsou osobní údaje získány?

[článek 30 odst. 1 písm. c) GDPR]

  • Klienti: Subjekty údajů, soudy, správní úřady.
  • Třetí osoby: Klienti, subjekty údajů, soudy a soudní spisy, správní úřady, svědci, znalci, veřejné rejstříky, veřejně přístupné informace (např. internet, periodika, tisk).
  • Zaměstnanci: Subjekty údajů.
6. Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny

(včetně příjemců ve třetích zemích nebo mezinárodních organizacích)

  • Účetní (samostatná).
  • Nezpřístupňujeme osobní údaje příjemcům ve třetích zemích ani v rámci mezinárodních organizací.
7. V jakém termínu a jak se osobní údaje likvidují?

[článek 30 odst. 1 písm. f) GDPR]

Likvidace probíhá dle našeho spisového, archivního a skartačního řádu.

Vaše osobní údaje se zpracovávají a uchovávají po dobu nezbytně nutnou k zajištění všech práv a povinností plynoucích z příslušného smluvního vztahu a dále po dobu, po kterou je správce osobních údajů povinen osobní údaje uchovávat podle obecně závazných právních předpisů, nebo na kterou jste správci ke zpracování udělil/a souhlas. V ostatních případech vyplývá doba zpracování z účelu zpracování, kterému musí být přiměřená, anebo je dána právními předpisy v oblasti ochrany osobních údajů.

  • Pro účely plnění smlouvy: po dobu trvání smluvního vztahu a po dobu 10 let od ukončení smluvního vztahu.
  • Pro účely plnění právních povinností: po dobu stanovenou příslušným právním předpisem.
8. Jakým způsobem se osobní údaje aktualizují?

[článek 30 odst. 1 písm. g) GDPR]

Informacemi od subjektů údajů (např. obdržením informace od klienta o změně kontaktních údajů aj.), od třetích stran, případně pomocí veřejných zdrojů (internet, veřejné rejstříky apod.).

9. Které listinné a elektronické evidence provádějí zpracování?

(spisovny, archivy, IT systémy, datová úložiště) [článek 30 odst. 1 písm. g) GDPR]

  • Pro vedení klientské agendy používáme systém s názvem SingleCase.
  • Dále pro účely přípravy pracovních návrhů dokumentů používáme sdílený disk advokátů a advokátních koncipientů; přístup na tento disk je chráněn heslem unikátním pro každého uživatele.
  • Pro správu kanceláře používáme systém Microsoft Outlook.
  • SingleCase je napojený na účetní systém Pohoda.

Všechny tyto tři systémy jsou standardní produkty pro advokátní kanceláře.

10. Je prostředí AK pravidelně bezpečnostně testováno (zejm. IT systémy)?

Interně nebo externími konzultanty? [článek 30 odst. 1 písm. g) GDPR]

Ano, externími konzultanty, a to alespoň jednou za 12 měsíců.

11. Jak je zajištěna bezpečnost šifrování dat při klientské komunikaci?

[článek 30 odst. 1 písm. g) GDPR]

Přenos citlivých informací podléhá zvýšené ochraně při zpracování těchto dat. Zvláštní kategorie osobních údajů podléhají při přenosu či komunikaci šifrování či jsou předávány osobně. Předání údajů o zaměstnancích externí účetní probíhá osobním předáním.

12. Jak je zajištěna bezpečnost sdílení dat s externími subjekty?

Mají všichni externí dodavatelé, zpracovávající osobní údaje, uzavřené smlouvy o zpracování osobních údajů, poskytující odpovídající záruky ochrany? [článek 30 odst. 1 písm. g) ve spojení s článkem 28 GDPR]

Ano. Smlouvy o zpracování osobních údajů máme uzavřeny s následujícími dodavateli:

  • Účetní (samostatná)
13. Je zajištěna nevratná likvidace dat v rámci databázového systému?

[článek 30 odst. 1 písm. g) GDPR]

Ano, data jsou na konci svého životního cyklu nevratně likvidována, nejen deaktivována.

14. Je k dispozici procedura k určení práv subjektů údajů a jejich výkon s ohledem na jejich data, která jsou zpracovávána?

Ano, umožňujeme každému podat elektronickou žádost prostřednictvím emailové adresy recepce@reznicek.com či v listinné podobě osobně na recepci naší advokátní kanceláře. Žádosti vyřizujeme v předepsaných lhůtách. Práva subjektů mohou být v některých situacích omezována (např. nevydání informací protistraně apod.).

15. Poskytují se oprávněným subjektům údajů předepsané informace?

(zejména o rozsahu a účelu zpracování, způsobu zpracování a o tom, komu mohou být údaje zpřístupněny)

Ano, informace poskytujeme následující formou:

  • na našem webu,
  • ve smlouvě s klienty,
  • v odpovědích na žádosti subjektů údajů.
16. Zabraňují nasazené technické prostředky a uplatňovaná organizační opatření nahodilému anebo neoprávněnému přístupu k osobním údajům?

(jejich změně, zcizení, zneužití, zničení nebo ztrátě) [článek 30 odst. 1 písm. g) GDPR]

Ano, uplatňujeme zejména následující opatření:

  • K zpracovávaným spisům mají přístup pouze osoby, které se spisem pracují nebo které jsou k nakládání se spisy zmocněné či pověřené.
  • Spisy jsou v počítači, který je zaheslovaný; spisy v listinné podobě se nacházejí ve skříních oddělené od ostatní dokumentace.
  • Přístup do kanceláří je zabezpečen několika dveřmi opatřenými zámky.
  • IT systém je standardní, vyzkoušený, používaný v řadě advokátních kanceláří. Přístup do IT systému je omezen podle nastavených manažerských rolí.
  • IT systém je pravidelně testován a udržován.
17. Jsou zpracovávané osobní údaje přenášeny do zahraničí nebo jsou přístupné ze zahraničí?

[článek 30 odst. 1 písm. e) GDPR]

Ano, výjimečně. Používáme vzorové smluvní doložky Evropské komise.

18. Jsou pracovníci, mající přístup k osobním údajům, proškoleni? Mají sjednánu povinnost mlčenlivosti?

[článek 30 odst. 1 písm. g) GDPR]

  • Ano, proškolení probíhá jednak při nástupu do zaměstnání a dále jednou za 18 měsíců.
  • Ano, pracovníci, kteří nejsou advokáty nebo advokátními koncipienty (tedy nemají zákonnou povinnost mlčenlivosti), mají v pracovních smlouvách závazek mlčenlivosti.
  • S externími dodavateli máme uzavřeny smlouvy o zpracování osobních údajů.
19. Práva osob plynoucí ze zpracování osobních údajů

Za podmínek uvedených v čl. 15 až 22 GDPR a zákona č. 110/2019 Sb., o zpracování osobních údajů, má subjekt údajů právo:

  • PRÁVO NA PŘÍSTUP k osobním údajům zpracovávaným Správcem. To znamená, že si subjekt údajů může kdykoliv požádat o potvrzení, zda osobní údaje, které se týkají subjektu údajů, jsou či nejsou zpracovávány, a pokud jsou, pak za jakými účely, v jakém rozsahu, komu jsou zpřístupněny, jak dlouho budou zpracovávány, zda má právo na opravu, výmaz, omezení zpracování či vznést námitku, odkud osobní údaje byly získány, a zda dochází na základě zpracování osobních údajů k automatickému rozhodování, včetně případného profilování. Také má subjekt údajů právo získat kopii svých osobních údajů, přičemž první poskytnutí je bezplatné, za další poskytnutí pak může být požadována přiměřená úhrada administrativních nákladů.
  • PRÁVO NA OPRAVU osobních údajů. To znamená, že je možné požádat o opravu či doplnění osobních údajů, pokud by byly nepřesné, chybné či neúplné.
  • PRÁVO NA VÝMAZ osobních údajů zpracovávaných Správcem. Pokud již pominul účel zpracování, nebo pokud jsou Správcem zpracovávány protiprávně. To znamená, že osobní údaje musí být vymazány, pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, je odvolán souhlas a neexistuje žádný další důvod pro zpracování, je vznesena námitka proti zpracování a neexistuje žádné převažující oprávnění či důvody pro zpracování, zpracování je protiprávní nebo to ukládá zákonná povinnost.
  • PRÁVO NA OMEZENÍ zpracování osobních údajů. Subjekt údajů může požádat o omezení zpracování svých osobních údajů, dokud se nevyřeší sporné otázky ohledně zpracování osobních údajů. Konkrétně pokud je popírána přesnost osobních údajů, zpracování je protiprávní, ale místo výmazu je požadované jejich zpracování pouze omezit, osobní údaje již smluvní strana nepotřebuje pro účely zpracování, nebo pokud byla vznesena námitka proti zpracování, může mít druhá smluvní strana osobní údaje pouze uloženy a další zpracování je podmíněno souhlasem, případně tím, že tyto údaje jsou potřeba z důvodu určení, výkonu nebo obhajoby právních nároků.
  • PRÁVO NA PŘENOSITELNOST údajů. Subjekt údajů má právo získat své osobní údaje, které poskytl Správci se souhlasem ke zpracování nebo pro účely plnění smlouvy a které jsou zpracovávané automatizovaně, ve strukturovaném, běžně používaném a strojově čitelném formátu, a je-li to technicky proveditelné, aby tyto údaje byly předány jinému správci.
  • PRÁVO VZNÉST NÁMITKU proti zpracování osobních údajů. To znamená možnost podat písemnou či elektronickou námitku proti zpracování osobních údajů. Toto je možné uplatnit buďto písemnou formou doporučeným dopisem zaslaným na adresu sídla Správce, či elektronickou formou na e-mailovou adresu: recepce@reznicek.com.

Na ochranu soukromí a osobních údajů dohlíží Úřad pro ochranu osobních údajů.