Nepřehlédněte!


GDPR    
pro advokáty a AK    
ZDE    

  • FOO
  • FOO
  • FOO

FAQ

Jaké právní tituly pro zákonnost zpracování osobních údajů se nejčastěji použijí v advokátní praxi?

Zákonnost zpracování je upravena v článku 6 GDPR. V advokátní praxi se nejčastěji využije právní titul zpracování je nezbytné pro: splnění smlouvy [čl. 6 odst. 1 písm. b)], splnění právní povinnosti [čl. 6 odst. 1 písm. c)] a účely oprávněných zájmů [čl. 6 odst. 1 písm. e)]. Dále je možno využít jako právního titulu pro zpracování souhlas [čl. 6 odst. 1 písm. a)], ale pouze tehdy, kdy nelze aplikovat žádný jiný právní titul. Souhlas může subjekt údajů kdykoliv odvolat. Souhlasy je nutno interně evidovat, přičemž tato evidence musí být systematická a přehledná (s vyznačením doby, po kterou jsou osobní údaje na základě souhlasu zpracovávány). V advokátní praxi se bude zpracování založené na souhlasu subjektů údajů využívat pravděpodobně minimálně, mnohem častější budou jiné zákonné tituly pro zpracování (splnění smlouvy, plnění právní povinnosti, případně oprávněný zájem).

Je nutné připojištění při poskytování právních služeb advokáta v oblasti GDPR?

Připojištění není potřeba. Pokud jde o poskytování právních služeb týkajících se aplikace GDPR, jde o aplikaci unijního práva, které je kryto rámcovou pojistnou smlouvou (viz čl. III odst. 2 písm. a)). Rovněž poskytování právních služeb podle českého práva adaptující právní řád na GDPR je kryto stejně jako poskytování právních služeb v jakékoli jiné oblasti českého práva. A pokud jde o otázku výkonu funkce pověřence pro ochranu OÚ, tak tato činnost není poskytováním právních služeb, a proto není možno se na tuto činnost připojistit (což samozřejmě nemusí platit pro individuální pojištění).

Jak má advokát postupovat v případě ohlášení kontroly Úřadu pro ochranu osobních údajů?

ČAK zastává názor, že kontrolní pravomoc ÚOOÚ nesmí prolamovat zvláštním zákonem uloženou a ústavně garantovanou povinnost mlčenlivosti advokáta. Vzhledem k povinnosti mlčenlivosti advokát v žádném případě nesmí vydat jednotlivý klientský spis ke kontrole ÚOOÚ.

Minimálně v počátečním období se plánuje, že zástupce ČAK bude přítomen u každé kontroly advokáta ze strany ÚOOÚ. Detailní postup je uveden v metodice pro advokáty.

Jak postupovat v případě, že advokát obdrží žádost o přístup k osobním údajům od jiné osoby než klienta (např. zástupce protistrany)?

Ve vztahu k žádostem o přístup, týkajících se klientských spisů a podaných jinými osobami než klientem, se doporučuje tyto žádosti zamítnout s odkazem na existující povinnost mlčenlivosti, tj. neposkytovat ani informaci, zda kancelář osobní údaje příslušného subjektu údajů zpracovává, či nikoliv. I zamítnutí žádosti musí být vyřízeno ve stanovené lhůtě – tedy do jednoho měsíce od obdržení žádosti s možností prodloužení až o dva měsíce, avšak pouze v odůvodněných případech.

Stačí informaci ke GDPR zaslat klientovi e-mailem a nechat si to také emailem potvrdit?

Pro splnění informační povinnosti se doporučuje využít webové stránky advokáta/kanceláře, při elektronické komunikaci do zápatí mailu uvést odkaz na tento web, a dále jako samostatnou přílohu ke smlouvě (VZOR viz sekce vzory). Zpětné potvrzení mailem není nutné.

Je vhodné do plných mocí doplnit ustanovení o souhlasu se zpracováním OÚ?

Dokumentaci doplnit lze, nicméně nikoliv ustanovením o souhlasu, ale informací, že subjekt byl seznámen se zásadami zpracování osobních údajů (informační povinnost).

Je vhodné zapracovat informaci ke GDPR do příkazních smluv nebo samostatnou listinou, jak to např. dělají banky?

Doporučuje se informační povinnost zapracovat přílohou ke smlouvě (VZOR viz sekce vzory), využít webové stránky advokáta/kanceláře a příp. odkazem na webové stránky v zápatí mailové korespondence. V případě dodavatelů (zpracovatelů – osob, které pro advokáty dodávají služby a advokáti jim předávají osobní údaje, typicky mzdové účetní nebo dodavatelé IT podpory) bude nutno také udělat dodatky ke smlouvám obsahující záruky zajištění odpovídající ochrany OÚ (dle čl. 32 GDPR).

Může být jeden pověřenec pro ochranu OÚ jmenován pro více evropských poboček jednoho nadnárodního správce?

Ano, GDPR uznává výkon funkce pověřence na úrovni EU. Pověřenec ale musí zároveň splňovat podmínky disponibility časové, místní i jazykové, proto lze doporučit jmenování pověřence lokálního pro zastoupení v místní pobočce.

Bude souhlas klienta, či informace jemu, nutná i ve skončených, ale prozatím neskartovaných věcech, protože dosud neuplynula pětiletá lhůta? Nebo, což by bylo rozumné, jen ve věcech neskončených? Jak postupovat u osob, jejichž obhajobu či zastoupení advokát nepřevzal, ale s klientem jednal?

Souhlas není u klientů nutný vůbec, právní titul pro zpracování OÚ je plnění smlouvy, nutná je informační povinnost a u stávajících klientů přichází v úvahu splnění zveřejněním na webu. Co se týká osob, u kterých nebylo převzato zastoupení/obhajoba, ale s kterými bylo jednáno, tak pokud si advokát vede evidenci takových osob, vyřeší stejným způsobem, pokud si evidenci takových osob nevede, nejde se o zpracování, a tedy nespadá pod úpravu GDPR.

Jakým způsobem bude technicky probíhat předání dat v případě žádosti o uplatnění práva na přenositelnost?

GDPR definuje výměnný formát jako strukturovaný, strojově čitelný, běžně používaný. Vhodným formátem pro předání se jeví např. formát ZIP. Je nutno zdůraznit, že právem na přenositelnost nesmí být dotčena práva a svobody jiných osob.

Je možno uvést příklad použití právního titulu podle čl. 6 odst. 1, písm. d) GDPR, kdy zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v advokátní praxi?

K využití tohoto právního titulu dojde pouze výjimečně, např. pokud dojde ke kolapsu osoby v prostorách advokátní kanceláře a bude nutno okamžitě zjistit totožnost, příp. příčinu jejího zdravotního stavu pro poskytnutí okamžité první pomoci, příp. zavolání rychlé záchranné služby (nahlédnout do kapes, ověřit totožnost, příp. najít průkaz diabetika apod.).

Jaké jsou základní předpoklady pro splnění zásad zpracování osobních údajů advokátem a doložení splnění zásady odpovědnosti (dle čl. 5 odst. 2 GDPR)?

Doporučuje se minimálně:

  • Vést dokumentaci o procesu zpracování osobních údajů (např. interní směrnice zpracování osobních údajů)

  • Vést dokumentaci o zpracování osobních údajů (záznamy o činnostech zpracování, VZOR viz sekce vzory)

  • Plnit informační povinnost vůči subjektům údajů (VZOR viz sekce vzory)

  • Popsat proces naplnění práv subjektů údajů (VZOR žádosti a odpovědi viz sekce vzory)

  • Revidovat smlouvy (se zaměstnanci, klienty, zpracovateli)

  • Revidovat souhlasy a zavést jejich evidenci

  • Zavést/revidovat proces hlášení bezpečnostních incidentů

  • Provést analýzu ohledně povinnosti jmenovat/nejmenovat pověřence pro ochranu osobních údajů a závěry zdokumentovat, v případě nutnosti jmenování pověřence zveřejnit jeho kontaktní údaje a nahlásit jmenování pověřence na ÚOOÚ

  • Provést analýzu rizik zpracování OÚ a zavést proces pravidelného testování, posuzování a hodnocení technických a organizačních opatření pro zajištění vhodné úrovně zabezpečení OÚ odpovídající danému riziku

  • Provést analýzu, zda je nutné zpracovat posouzení vlivu na ochranu osobních údajů (DPIA). V případě závěru analýzy, že konkrétní zpracování může být vysokým rizikem pro práva a svobody subjektů údajů, DPIA vypracovat (pokud nelze využít výjimky stanovené ÚOOÚ)

Jak je to se zpracováním OÚ u OSVČ?

    Úplně stejně jak u fyzických osob, jde o subjekt údajů a GDPR se na ně vztahuje.

     

     

    Doporučujeme

    Kde nás najdete

    FOO

    Česká advokátní komora - Kaňkův palác (hlavní budova)
    Národní 16
    110 00 Praha 1
    tel.: +420 273 193 111
    e-mail: sekr@cak.cz

    FOO

    Pobočka ČAK Brno - Kleinův palác
    Nám. Svobody 84/15
    602 00 Brno
    tel.: +420 513 030 111
    e-mail: sekr.brno@cak.cz