Zásady ochrany osobních údajů

I. Úvod

    GDPR (General Data Protection Regulation) neboli obecné nařízení o ochraně osobních údajů je nový právní předpis Evropské unie, kterým je zaváděna evropská reforma ochrany osobních údajů. V celé EU nabude platnosti dne 25. května 2018, je přímo závazné a má přednost před vnitrostátními zákony. Jeho cílem je posílit práva subjektů osobních údajů jako fyzických osob-nositelů osobních údajů v celé EU i při pohybu jejich osobních dat mimo Unii. Posiluje práva nositelů osobních údajů a současně zvyšuje povinnosti správců a zpracovatelů údajů. 

II. Výklad pojmů

Subjekt údajů je jakákoli fyzická osoba – nositel osobních údajů – klient, fyzická osoba podnikající, spotřebitel, majitel nebo zaměstnanec firmy. 

Správce údajů je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. 

Zpracovatelem údajů je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Zpracovatelem údajů je např. firma, která pro správce externě zpracovává mzdovou agendu, poskytuje firemní benefity nebo poskytuje služby. 

Příjemcem údajů je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, 
kterému jsou osobní údaje poskytnuty. 

Národním dozorovým úřadem je nezávislý orgán veřejné moci, zřízený členským státem EU. Pro ČR je 
takovým dozorovým úřadem Úřad pro ochranu osobních údajů (dále „ÚOOÚ“), který přijímá stížnosti 
subjektů údajů a současně plní roli kontrolní a konzultační směrem ke správcům a zpracovatelům 
údajů. ÚOOÚ má svého zástupce v Evropském sboru pro ochranu osobních údajů, který monitoruje 
naplňování GDPR na celém území EU, provádí výkladovou činnost, je poradním orgánem Evropské 
komise a slaďuje postup dozorových orgánů členských států včetně ukládání pokut. Legislativu na 
ochranu osobních údajů má Ministerstvo vnitra, ÚOOÚ je spolugestorem, avšak roli regulátora plní 
ministerstvo. 

Osobní údaj je jméno, identifikační číslo, lokační údaje, ale také nezaměnitelné znaky fyzické podoby 
člověka. Zvláštní ochranu pak zasluhují tzv. zvláštní kategorie osobních údajů, za které se považují
údaje o zdravotním stavu, sexuálním životě, sexuální orientaci, politické názory, náboženské vyznání,
filozofické přesvědčení. 

Zpracováním osobních údajů je jakákoliv automatizovaná nebo manuálně prováděná operace nebo 
soubor operací s osobními údaji nebo soubory osobních údajů. 

Evidencí osobních údajů je jakýkoli strukturovaný soubor osobních údajů přístupný podle zvláštních
kritérií, centralizovaný, decentralizovaný nebo rozdělený podle funkčního či zeměpisného hlediska. 

III. Základní zásady GDPR

GDPR stojí na několika základních zásadách, které je nutné jako obecné principy používat pro jakékoli zpracování údajů. Jedná se o tyto zásady:

• zákonnost zpracování – zpracovávat údaje výlučně zákonným způsobem a za zákonných důvodů,
• korektnost a transparentnost zpracování – zpracovávané údaje musí být bezúplatně, jednoduše a transparentně přístupné a měly by být publikovány v písemné podobě a tam, kde je to možné elektronicky,
• účelové omezení shromažďování osobních údajů – zpracovávat osobní údaje pouze k účelu, za kterým byly shromážděny a způsoby, které jsou s ním slučitelné,
• minimalizace zpracovávaných osobních údajů – zpracovávat osobní údaje pouze v přiměřené míře a v nezbytném rozsahu,
• přesnost osobních údajů – zpracovávané údaje by měly být přesné, podle potřeby aktualizované a správce přijme veškerá opatření k opravě či výmazu údajů nepřesných,
• omezené uložení osobních údajů – zpracovávané údaje ukládat pouze na dobu nezbytně nutnou k dosažení daného účelu zpracování, po jejímž uplynutí by osobní údaje měly být (automaticky) vymazány,
• integrita a důvěrnost zpracování – zpracovávané údaje je třeba pomocí vhodných technických nebo organizačních opatření chránit proti neoprávněnému a protiprávnímu zpracování, ztrátě, zničení nebo poškození,
• odpovědnost správce – správce musí dodržet všechny zásady GDPR a současně prokázat, že dodržení shody všech svých postupů a procesů zpracování s těmito zásadami.

IV. Zpracovatel údajů

Zpracovatelem údajů podle tohoto metodického materiálu je společnost EP servis, spol. s r.o. IČ 63495660, se sídlem Brno-Zábrdovice, Zábrdovická 801/11, 615 00 Brno (dále „společnost“). Hlavním předmětem činnosti společnosti je vedení účetnictví, vedení daňové evidence, účetní poradenství, zpracování mezd a personalistiky – zkráceně činnost účetních poradců. Společnost má v současné době pět zaměstnanců, z nichž čtyři se zabývají vedení účetnictví, vedením daňové evidence a účetním poradenstvím, jedna zaměstnankyně se pak zabývá zpracováním mezd a personalistiky. Mzdy a personalistika jsou zpracovávány i pro společnost samotnou. 

V. Prostory pro podnikání zpracovatele

Společnost podniká v pronajatých prostorách, které jsou relativně dobře zabezpečeny. Prostory jsou umístěny ve 2. podlaží budovy. Areál, jehož je uvedená budova součástí, je vybaven kamerovým systémem, vstup do areálu je jedinou branou v dohledu vrátného. Vrátnice je obsazena celých 24 hodin. Součástí pronajatého prostoru jsou i další kanceláře, které mají okna obrácená ven z areálu. Tato okna jsou bez výjimky opatřena uzamykatelnými mřížemi. Prostory společnosti jsou pod trojím uzamčením: dveře do pronajatého prostoru, mříž v mezipatře a dveře do budovy, které jsou navíc opatřeny elektronickým bezpečnostním zařízením. 

VI. Zpracování účetnictví

Společnost zpracovává účetnictví od roku 2017 pomocí software POHODA od společnosti Stormware. V předchozích letech byl používán software EKO SW (DOS verze) a ACONTO od společnost PCS Software, a to do roku 2016 včetně. Starší programy jsou umístění na serveru společnosti a chráněny hesly. Současně používaný software je chráněn hesly a šifrováním dat přímo od výrobce. Záloha dat je prováděna ve dvojím režimu – denně na zrcadlový disk umístěný v samostatné uzamčené místnosti a dále na externí disk jedenkrát týdně. Zálohu na externí disk provádí jednatel firmy a disk odnáší z prostor firmy a uchovává ho v uzamykatelné kovové schránce. Data na disku jsou chráněna heslem. 

VII. Zpracování daňových přiznání

Společnost zpracovává pro své klienty daňová přiznání k dani z příjmů fyzických osob, k dani z příjmů právnických osob, k dani silniční v zákonem stanovených termínech. Pro zpracování daňových přiznání je využíván software Daňová kancelář od výrobce Atlas Consulting s.r.o. Společnost od uvedeného výrobce zakoupila program, který umožňuje šifrovat zpracovávaná data klientů. Data jsou rovněž zálohována na externí disk jedenkrát týdně (viz bod VI.). 

VIII. Zpracování mezd a personalistky

Společnost provádí rovněž pro své klienty zpracování personalistiky a mezd. Ke zpracování údajů společnost využívá program KALKUL 2 od výrobce KALKUL. Program je chráněn heslem. Při zpracování osobních údajů jsou vyžadovány pouze údaje, nutné pro zpracování mezd, obzvláště citlivé údaje nejsou vyžadovány. Osobní údaje jsou tříděny podle firem, v nichž jsou jednotlivé osoby zaměstnány. Mzdová účtárna je umístěna v samostatné uzamčené místnosti, okno je opatřeno uzamykatelnou mříží. Zálohování dat je prováděno jedenkrát týdně na externí disk (viz bod VI.).

IX. Smluvní ujednání

Společnost uzavírá s jednotlivými klienty Smlouvu o vedení účetnictví nebo Smlouvu o zpracování mezd, ve kterých jsou vymezeny práva a povinnosti příkazce (zadavatele účetních prací) a společnosti. V souvislosti s nástupem GDPR je s každým klientem – právnickou nebo fyzickou osobou (OSVČ) , které společnost zpracovává mzdy, uzavřena samostatná smlouva k ochraně zpracovávaných osobních údajů zaměstnance, která definuje důvod a právní rámec zpracování osobních údajů, způsob sběru osobních údajů a práva a povinnosti správce a zpracovatele osobních údajů. Současně společnost informuje své zaměstnance o zpracování a ochraně jejich osobních údajů.

V Brně dne 20. května 2018

Ing. Jiří Platovský
jednatel společnosti EP servis, spol. s r.o.