GDPR
Základní pravidla postupů souvisejících se zpracováním osobních údajů samostatným advokátem
Čl. 1
- Advokát Miloš Holub, Ph.D., evf.č. ČAK 11137, se sídlem Veletržní 924/14, 170 00 Praha 7 v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“) provedl revizi vlastních postupů nakládání s osobními údaji během výkonu své advokátní praxe a jako výsledek jejich sumarizace tímto deklaruje základní pravidla postupů souvisejících se zpracováním osobních údajů.
- Advokát zajišťuje dodržování těchto pravidel při zpracování osobních údajů jeho osobou, spolupracovníky a v případě dodavatelů – externích zpracovatelů osobních údajů má smluvně zajištěny záruky odpovídající ochrany dle čl. 28 GDPR.
Čl. 2
- Advokát zpracovává osobní údaje výhradně v souladu s právními důvody stanovenými v čl. 6 GDPR, pouze v nezbytném rozsahu a po nezbytnou dobu. Účely zpracování osobních údajů a dobu jejich zpracování eviduje advokát pro jednotlivé agendy v záznamech o činnostech zpracování podle čl. 30 GDPR.
- K osobním údajům mají přístup pouze osoby, které s nimi potřebují nakládat při plnění svých úkolů a povinností pro advokáta. Tyto osoby zachovávají o osobních údajích, s nimiž se seznamují, mlčenlivost, tato povinnost je smluvně garantována.
Čl. 3
- Advokát v souladu s předpisy o advokacii a obvyklými standardními zvyklostmi v oblasti advokacie garantuje příslušné zabezpečené zpracování osobních údajů a přijímá opatření k zabezpečení osobních údajů, a to zejména:
- zajištění přítomnosti osoby uvedené v čl. 2 odst. 2 v prostorách, kde jsou zpracovávány osobní údaje, po dobu, kdy jsou tyto prostory přístupné jiným osobám, popřípadě uzamykání listin s osobními údaji, pokud osoba uvedená v čl. 2 odst. 2 není v této době přítomna,
- uzamykání prostor, v nichž jsou uchovávány osobní údaje,
- ochrana přístupu k výpočetní technice, jíž se zpracovávají osobní údaje, individuálními silnými hesly a ochrana těchto hesel před vyzrazením,
- ochrana výpočetní techniky antivirovými programy; to platí také pro přenosná zařízení, pokud jsou pro ně takové programy běžně dostupné,
- další vhodná opatření pro ochranu přenosné výpočetní techniky nebo přenosných úložišť dat (například neustálý dohled, zamčený přepravní obal, folie na displeji, zaheslování dat, osobní manipulace s úložištěm při kopírování dat do jiného přístroje),
- zaheslování souborů s větším množstvím osobních údajů nebo se snadno zneužitelnými nebo citlivými osobními údaji v případě odesílání souboru e-mailem nebo jeho uložení na sdílené úložiště a v případě nutnosti předání těchto souborů sdělení hesla jiným komunikačním kanálem, než byly odeslány (telefon, sms).
- Advokát dbá na řádné plnění povinností podle předpisů upravujících archivnictví, dodržuje zákonné lhůty pro ukládání dokumentů a archivaci, a dále včas a řádně provádí skartační řízení.
Čl. 4
- Advokát naplňuje veškerá práva subjektů údajů. Vyřizování všech žádostí subjektů údajů je v souladu s předpisy o advokacii, tzn. nesmí být ohroženy zásady a principy výkonu advokacie, zejména povinnost mlčenlivosti vyplývající z § 21 zákona o advokacii a další povinnosti vyplývající ze zákona, etického kodexu a dalších kamerálních norem.
- Advokát dále zejména:
- vede záznamy o činnostech zpracování podle čl. 30 GDPR,
- zajišťuje informování subjektů údajů podle čl. 12 až 14 GDPR.
- naplňuje další práva subjektů údajů podle čl. 15 až 22 GDPR,
- provádí ohlašování a oznámení porušení zabezpečení osobních údajů podle čl. 33 a 34 GDPR.
- Návrhy záznamů, informací, vyřízení žádostí/stížností a ohlášení a oznámení podle odstavce 2 jsou uloženy u advokáta.
- Subjekty údajů mohou svoje žádosti/stížnosti pro uplatnění práv popsaných v odstavci 2 uplatnit u advokáta, zejména zasláním prostřednictvím emailové adresy advokáta či písemně na sídlo advokáta.
Čl. 5
- Advokát provedl analýzu rizik zpracování osobních údajů a přijal přiměřená technická a organizační opatření pro zabezpečení zpracování, jak jsou popsána výše. Analýza rizik obsahovala následující závěr: zpracování osobních údajů nepředstavují vysoká rizika pro práva a svobody dotčených subjektů údajů, a tedy není nutné vypracovat posouzení vlivu na ochranu osobních údajů („DPIA“).
- Advokát provedl posouzení zpracování OÚ z pohledu čl. 37 GDPR. Advokát nenaplňuje podmínky pro jmenování pověřence pro ochranu osobních údajů (dále jen „DPO“) v souladu s recitálem 91 GDPR a nemá povinnost DPO jmenovat. DPO proto nebyl u advokáta jmenován.
- Advokát kromě záznamů o činnostech zpracování dle čl. 30 GDPR vede evidenci případných souhlasů se zpracováním osobních údajů, pokud pro zpracování osobních údajů neexistuje jiný právní titul a evidenci případů porušení zabezpečení osobních údajů.
- Advokát pravidelně, nejméně jednou ročně, vyhodnocuje plnění pravidel ochrany osobních údajů, vč. technických a organizačních opatření a přijímá opatření k nápravě, příp. dle potřeby aktualizuje interní dokumentaci související s ochranou osobních údajů.
Tato pravidla byla přijata 6-8-2021.