Kdo všechno spadá pod GDPR?

GDPR se vztahuje na všechny fyzické nebo právnické osoby, orgány veřejné moci, agentury nebo jiné subjekty, které shromažďují nebo zpracovávají osobní údaje. Velikost subjektu zde nehraje žádnou roli.

Musím si kvůli tomu kupovat speciální SW nebo HW?

Technická opatřená by měla být přijímána s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob. Lze proto říci, že velká část menších podniků nebude muset pořizovat speciální SW a HW, pokud odpovídají běžným standardům zabezpečení. Užívaný software by měl […]

Dopadne GDPR i na kontakty, které jsme získali před zahájením platnosti GDPR? Potřebujeme, aby zákazníci poskytli znovu svůj souhlas, aby tento souhlas splňoval nové podmínky?

Na tyto kontakty se GDPR vztahuje. Starší souhlas bude vyhovující za předpokladu, že způsob jeho udělení bude v souladu s GDPR. Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých údajů a tento souhlas byl udělen svobodně a byl konkrétní, informovaný, jednoznačný […]

Je právo na výmaz absolutním právem? Pokud zákazník, kterému mám doručit objednávku, požádá o výmaz, tak to musím udělat? Jaké jsou následky výmazu?

Právo na výmaz není absolutním právem. Může se uplatnit pouze za předpokladu, že nejsou osobní údaje již potřebné pro účel, pro který byly shromažďovány nebo zpracovávány. Dále k výmazu nemůže dojít, pokud existuje jiná právní povinnost nebo zákon, který výmazu brání, např. zákon o archivaci obsahuje povinnost organizací archivovat dokumenty obsahující […]

Kde najdu, co to je „rozsáhlé zpracování“? Je vydefinováno množství dat?

Tyto termíny nejsou v nařízení jasně definovány, dle výkladových vodítek WP 29 je rozsáhlé zpracování definováno pomocí několika faktorů: počet dotčených subjektů údajů, objem dat, doba trvání zpracování, územní rozsah. Jako příklad rozsáhlého zpracování lze uvést zpracovávání údajů o pacientech v rámci běžné činnosti nemocnice (zpracování údajů o pacientech jednotlivým […]

Měl by být odepřen přístup na web návštěvníkovi, který neodsouhlasil sběr osobních údajů?

Subjekt údajů musí udělit jednoznačný a ničím nepodmíněný souhlas. Pokud se ke zpracování osobních údajů takový souhlas potřebuje a subjekt tento souhlas neudělí, nemůže to být důvodem k odmítnutí poskytnout službu, pokud to samotná služba nevyžaduje. Konkrétní příklad u e-shopu: pokud poskytnu jejímu provozovateli osobní údaje nezbytné k zakoupení výrobku, tak […]