GDPR a Dotykačka​

pokladny
gdpr, dotykačka, ochrana osobních údajů

25. května 2018 přichází v platnost nové nařízení o všeobecné ochraně osobních údajů občanů, tzv. GDPR. U nás se tímto nic nemění, protože v Dotykačce byly a budou všechny osobní údaje v bezpečí a naši zákazníci v tomto směru nemusí vyvíjet žádnou aktivitu. V níže uvedeném obecném oznámení zjistíte všechny důležité informace. Prohlédněte si také GDPR funkce v Dotykačce.

Společnost Dotykačka ČR s.r.o. je správcem a také zpracovatelem osobních údajů, které nám Vy, jako subjekt údajů poskytnete. Ochrana osobních údajů je pro nás velmi důležitá, proto vždy osobní údaje zpracováváme v souladu s právními předpisy.

Naše Obecná politika ochrany osobních údajů upravuje používání a ukládání osobních údajů. S našimi zásadami ochrany osobních údajů se můžete seznámit v dokumentu Obecná politika ochrany osobních údajů.

Shromažďujeme následující kategorie Vašich osobních údajů:

  • Identifikační údaje jako jsou Vaše jméno a příjmení
  • Adresní údaje jako jsou Vaše poštovní adresa, telefon či e-mail

Vaše osobní údaje potřebujeme, abychom Vám mohli:

  • Zajistit dodání našeho pokladního systému a dalších služeb, které s pokladním systémem souvisí
  • Provozovat pro Vás pokladní systém
  • Informovat Vás o novinkách v našem pokladním systému
  • Zasílat Vám faktury a výzvy k platbě
  • Poskytovat Vám další služby, které vyplývají z aktuálně platného smluvního vztahu

Vaše osobní údaje jsou zpracovávány společností Dotykačka ČR s.r.o. v České republice. Zpracování a ukládání dat se uskutečňuje prostřednictvím cloudových služeb, které se nachází v České republice či EU.

Žádné třetí strany nemají přístup k Vašim osobním údajům, pokud to výslovně nevyžaduje zákon.

Podle českého a evropského práva jsme povinni uchovávat dokumenty po dobu 10 let od ukončení vztahu, jak je uvedeno v naší Politice uchovávání osobních údajů. Po uplynutí této doby budou Vaše osobní údaje nevratně zničeny. Jakékoli osobní údaje, které máme k dispozici pro zajištění marketingových anebo informačních služeb, budou uchovávány až do okamžiku, kdy nám oznámíte, že tyto informace / služby již nechcete dostávat. Další informace o uchovávání osobních údajů jsou uvedeny v naší Politice uchovávání osobních údajů.

Pokud se domníváte, že jakékoliv Vaše námi zpracovávané osobní údaje nejsou správné nebo úplné, můžete požádat o jejich náhled, opravu nebo smazání. Kontaktujte nás prostřednictvím elektronické adresy gdpr@dotykacka.cz či prostřednictvím naší datové schránky.

V případě, že si přejete vznést námitku na to, jak jsme zpracovali Vaše osobní údaje, obraťte se na adresu gdpr@dotykacka.cz nebo písemně na adresu Dotykačka ČR s.r.o., Plzeňská 3217/16, 150 00 Praha 5. Náš pověřený pracovník se následně bude zabývat Vaší námitkou a bude s Vámi spolupracovat pro její vyřešení.

Pokud se i nadále domníváte, že s Vašimi osobními údaji nebylo zacházeno přiměřeně podle zákona, můžete kontaktovat Úřad pro ochranu osobních údajů a podat příslušnou stížnost.

Aplikace Dotykačky jsou na GDPR připraveny!

Činnosti, které GDPR legislativa požaduje, jsou k dispozici přímo v pokladně a ve Vzdálené správě Dotykačky. Jedná se zejména o možnost anonymizace zákazníka a GDPR audit přístupu k osobním údajům Vašich zákazníků.

GDPR v kostce: od kdy, pro koho a jak ho zvládnout

GDPR je zkratka anglického názvu General Data Protection Regulation – Nařízení o všeobecné ochraně údajů. Ale co je GDPR ve skutečnosti? Je to upřesněná legislativa EU, která výrazně zvýší ochranu osobních dat občanů. Jedná se o obecné nařízení EU (GDPR) 2016/679 o ochraně osobních údajů.

GDPR nařízení vstupuje v účinnost 25. května 2018.

GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů– občanů. Jeho cílem je hájit práva občanů EU proti neoprávněnému zacházení s jejich daty včetně jejich osobních údajů.

  • implementace záměrné a nezbytné ochrany dat
  • vypracování posouzení vlivu na ochranu osobních údajů (Společnosti či instituce jej budou muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování. Typickým příkladem je činnost bank, pojišťoven, leasingových či jiných finančních institucí.)
  • zřídit nezávislou kontrolní funkci DPO (Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů.)
  • zavedení tzv. pseudonymizace osobních údajů = zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům.
  • vedení záznamů o činnostech zpracování(Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.)
  • konzultace s dozorovým orgánempřed samotným zpracováním osobních údajů. Nově je také zavedena povinnost ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a občanům, jichž se porušení zabezpečení týká.
  • Každý, kdoshromažďuje, dále zpracovává a uchovává osobní údaje v rámci nařízení GDPR, musí jasně vymezit a stanovit účel zpracování údajů.
  • Zpracování údajů musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou.
  • Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci.
  • Správce i zpracovatel osobních údajů musí osobní údajezabezpečit a chránit organizačními a technickými opatřeními – v míře odpovídající rizikovosti zpracování.
  • Každé zpracování údajů musí být založeno na některém ze základních důvodů (právních titulů pro zpracování), nejčastěji se jedná o smluvní plnění, výkon právních povinností či plnění zákonného oprávnění, výkon veřejné moci nebo zpracování na základě souhlasu dotčené osoby.
  • Každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad, takové zpracování nelze nahradit souhlasem se zpracováním údajů.
  • Zpracování nesmí nadměrně zasahovat do soukromí. Správci musí uvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.
  • Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat. Delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů (státní statistická služba, nemocenské a důchodové pojištění apod.).
  • V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů, kterou stanoví obecné nařízení (GDPR). Předávat osobní údaje mimo Evropskou unii lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů.

Úřad pro ochranu osobních údajů zpracoval desatero nejčastějších omylů či zavádějících tvrzení o obecném nařízení o ochraně osobních údajů (GDPR).

  1. Odkazování na obecné nařízení jako na směrnici – odkazovat na obecné nařízení jako na směrnici o ochraně osobních údajů je nejen nesprávné, ale může být i zavádějící. Zatímco nařízení platí v celém svém rozsahu v celé Evropské unii a je přímo použitelné, naopak směrnice jako právní akt stanovující cíl, který musí všechny členské státy EU splnit, ponechává na členských státech, jak formulují vnitrostátní zákony a jak těchto cílů dosáhnou.
  2. Označování obecného nařízení za revoluci v právech subjektu údajů a v povinnostech správců – novinka v ochraně osobních údajů v členských státech EU to není; právo existuje podle čl. 14 směrnice 95/46/ES a v českém právním řádu je nalezneme v zákoně o ochraně osobních údajů od jeho schválení v roce 2000. Svého práva podle § 21 odst. 1 a 2 subjekty údajů v České republice běžně využívají.
  3. Rozšiřuje se definice osobního údaje – obecné nařízení definuje osobní údaj jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě; zákon o ochraně osobních údajů jako jakoukoliv informaci týkající se určeného nebo určitelného subjektu údajů.
  4. Je lepší mít paušální souhlas subjektu údajů, než se zabývat jednotlivými zákonnými důvody – v obecném nařízení je udělení souhlasu subjektu údajů se zpracováním pro jeden či více konkrétních účelů jednou ze šesti právních podmínek zákonnosti zpracování a nařízení výslovně upravuje podmínky jeho získání. Případné paušální získávání souhlasu subjektu údajů pro veškerá zpracování, která správce bude provádět k různým účelům, by tak bylo v rozporu hned s několika ustanoveními obecného nařízení. Souhlas také může subjekt údajů kdykoli odvolat.
  5. Šifrování je povinné – obecné nařízení neukládá povinnost použít pro zabezpečení zpracování některé specifické opatření. Vlastní povinnost zahrnuje zavedení vhodných technických a organizačních opatření s ohledem na stav techniky, náklady na přijetí a provedení jednotlivých technických a organizačních opatření k zabezpečení osobních údajů. Šifrování je uvedeno jako jedno z vhodných opatření.
  6. Každý, popř. téměř každý správce musí mít pověřence pro ochranu osobních údajů – správce je povinen jmenovat pověřence za splnění jedné ze tří podmínek:
    1. Zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí.
    2. Hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů.
    3. Hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů. V jiných případech správce ani zpracovatel povinnost jmenovat pověřence pro ochranu osobních údajů nemají.
  7. Pověřenec musí mít osvědčení (certifikát) – žádná specifická forma ověření nebo prokázání profesních kvalit stanovena není, tedy ani forma externě získaného osvědčení. Je samozřejmé, že u správce, u něhož část zpracování osobních údajů probíhá v režimu ochrany utajovaných informací, musí pověřenec splňovat podmínky stanovené příslušnými právními předpisy.
  8. Obecné nařízení klade na pověřence pro ochranu osobních údajů vysoké, obtížně splnitelné nároky – u některých správců a zpracovatelů vzniká dojem, že vhodného kandidáta nelze v současné době získat. Obecně existuje několik cest k nalezení správného pověřence, včetně sdílení osoby pověřence u správců, u nichž k výkonu funkce pověřence pro ochranu osobních údajů postačuje pouze část fondu pracovní doby i využití externí služby pověřence pro ochranu osobních údajů, popř. služby externí podpory pověřence pro ochranu osobních údajů.
  9. Správce nemůže pověřenci pro ochranu osobních údajů ukládat úkoly – úkoly může správce nebo zpracovatel samozřejmě ukládat, a to dokonce i jiné úkoly a povinnosti než ty, které stanoví obecné nařízení a které přímo s obecným nařízením souvisejí, např. podílet se na testování, posuzování a hodnocení opatření k zabezpečení osobních údajů u správce.
  10. Nově hrozí správcům a zpracovatelům pokuty dle obratu – obecné nařízení stanoví, že za jakékoliv porušení obecného nařízení by měly být uloženy sankce včetně správních pokut, a to vedle nebo místo opatření uložených dozorovým úřadem. Horní hranice pokut je nová, ale pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující. Obecné nařízení současně respektuje zásady správního trestání, včetně kritérií pro stanovení výše pokut i podmínek pro určení odpovědnosti i vyvinění se.

V případě porušení pravidel GDPR, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační.

Maximální výše sankce je 20 000 000 eur nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností) a bude záviset na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů, míra škody a řada dalších, a to bez ohledu na velikost subjektu. Vysoká pokuta může být udělena jak menší společnosti s deseti zaměstnanci, tak velké nadnárodní korporaci.

Kromě udělení správních pokut mohou být správci či zpracovatelé osobních údajů vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy. V neposlední řadě jsou společnosti vystaveny ztrátě důvěry, způsobené nesprávným zacházením s osobními údaji.

Pokud jste již zahlceni teoretickými informacemi o GDPR a stále nevíte, jak se s ním vypořádat v praxi, navštivte například praktické celodenní školení, kterých je na trhu nyní dostatek nebo vyplňte jednu z online GDPR kalkulaček, které vás rychle požadavky GDPR na míru vaší firmy provedou.

Co Dotykačka umí?