Názory k článku GDPR last minute: Kdy firma potřebuje pověřence pro ochranu osobních údajů?

Kazdy asi chape GDPR, co necapu ja, jestli bude mozne vest knihu navstev na vratnici, kam se navstevnici zapisuji sami - datum - cas - jmeno - prijmeni - bydliste - popr. ucel a vidi ostatni zapisy. Jednu vedeme a vedou ji i firmy, ktere navstevuju a pri zapisu kdyz vratny nedava pozor si ji vyfotim na mobil a mam celkem prehled kolik zakazniku priblizne maji za den.

Potíž nastane, když kontrola bude mít jiný výklad zákona, než vy, a potíž nastane, když se stát rozhodne cíleně vaši firmu zlikvidovat. O ochranu kohokoliv nejde. Ti co sbírají údaje se zlým úmyslem, tak budou činit i nadále. Navíc jsou chráněni i proti zvůli státu, protože mají dost informací i na samotné úředníky, takže se ani kontrol obávat nemusejí.

Tohle prostě není pravda. GDPR 37.1 říká, že PDO potřebuje firma, pokud..:

the core activities of the controller or the processor consist of processing operations
which, by virtue of their nature, their scope and/or their purposes, require regular and
systematic monitoring of data subjects on a large scale;

Tj. hlavní činnost firmy nemusí být zpracování osobních údajů, stačí když je to jakákoli činnost, která vyžaduje pravidelné a systematické monitorování datových subjektů (je ovšem dost záhada, co se myslí tím monitorováním, vysvětleno to není).

V diskusi níže se uvádí, že PDO potřebuje např. i "operating a telecommunications network; providing telecommunications services; loyalty programs; behavioural advertising; closed circuit television; smart meters, smart cars, home automation, etc."

https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf

Nikoli, vy takova data vubec nesmite mit, pokud k jejich drzeni nemate nejake opravneni => logicky je nesmite ani sbirat.

Opravnen muzete byt zakonem, nebo souhlasem.

V pripade evidence navstev mozna (to je pouze na vas) obhajite nejaky zakonny duvod (napriklad bezpecnost ...), ovsem takova data smite mit jen po dobu nezbytne nutnou, pak je musite zlikvidovat. A nad to, po dobu jejich drzeni musite zajistit, ze k nim nikdo neopravneny nema pristup => volne dostupny notes do ktereho se navstevy samostatne zapisuji = mohou si take listovat a cist = prave si velice nahlas rikate o poradnou pokutu za poruseni GDPR.

Nejsem na to žádný expert, ale byl jsem teď nucen to nastudovat a řekl bych, že GDPR vůbec nezakazuje taková data sbírat. Pouze nutí, aby ten, kdo ta data sbírá, informoval, že to dělá, proč to dělá, jak dlouho bude ta data držet a pár dalších věcí, a dokonce ani to nemusí, pokud je to zjevně jasné.

Takže v tomhle případě by mělo stačit pověsit vedle papír s pár řádky informací, a pokud se kniha bude jmenovat "Evidence návštěv" a bude tam jméno firmy, tak možná ani to není třeba. Potíž by nastala, kdyby někdo přišel a chtěl výpis všech dat co na něj máte, nebo je chtěl vymazat, nebo třeba změnit bydliště... což teoreticky může a musíte mu vyhovět.

Zakonny ("lawful", "zakonny" mi prijde dost nestastny preklad) duvod tedy mam - bezpecnost. Souhlas zapsanim do knihy a podpisem mam taky - vyzadovane informace o sberu dat, ucelu, dobe atd. tam budou vyveseny nebo jinak viditelne uvedeny. Doba nezbytne nutna je jak dlouho? Pokud mi ukradnou snehove retezy, zjistim to az v zime, rok mi dava smysl, drzet to dele skutecne neni duvod a pak by se to melo skartovat.

Zbyva ten volny pristup k udajum. IMHO to neni tak, ze bych ta data nesmel s nikym sdilet; podstatne je, ze to nesmim delat bez souhlasu datoveho subjektu, nebo zpusobem ktery neni "lawful". Pokud navstevnik vidi, ze kniha je verejne pristupna a presto se tam napise, zjevne s tim souhlasi. Kdyz se tu pod ten prispevek podepisu plnym jmenem, bude snad mit Lupa problem s tim, ze me jmeno posila verejne do sveta?

GDPR - zákon bílých koní. Jak jinak by to mohlo dopadnout. Budou zase sudy na Orlíku?