Informace o evidenci zpracování osobních údajů v advokátní kanceláři Mgr.Martin Laipold, č. ČAK 11688 dle Nařízením Evropského parlamentu a Rady (EU)) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů GDPR – dále jen „GDPR“)
Kategorie a charakteristiky zpracování osobních údajů požadovaných nařízením GDPR
Způsob a zpracování osobních údajů v AK Mgr.Martin Laipold
Jméno a kontaktní údaje správce [článek 30 odst. 1 písm. a) GDPR]:
Mgr. Martin Laipold
Rubešova 83/10
120 00 Praha 2
Email: m.laipold@advokat-laipold.cz
Identifikace příslušných zpracování osobních údajů [článek 30 odst. 1 písm. b) GDPR]:
1. Vedení spisů klientů
2. Evidence zaměstnanců (+ výkazy práce)
3. Provoz kanceláře (účetnictví, dodavatelé)
Proč (za jakým účelem) a na základě jakého právního titulu se osobní údaje v rámci zpracovávání zpracovávají [článek 30 odst. 1 písm. b) GDPR]?
Klienti: smlouva o poskytování právních služeb se subjekty údajů – plnění smlouvy, výkon právních povinností vyplývajících z předpisů upravujících výkon advokacie
Třetí osoby: oprávněný zájem správce – plnění smlouvy s klientem; plnění právních povinností vyplývajících z předpisů upravujících výkon advokacie
Zaměstnanci: pracovní smlouva, DPP, DPČ – plnění povinností vyplývajících ze smluv se zaměstnanci a ze zákoníku práce a zákona o zaměstnanosti
Dodavatelé: plnění právních povinností spojených s účetními předpisy
Jaké osobní údaje jsou zpracovávány v rámci zpracování [článek 30 odst. 1 písm. c) GDPR]?
Klienti: jméno, adresa, datum narození, rodné číslo, údaje pro komunikaci, rodinný stav a rodinná situace, finanční situace, zdravotní údaje, bankovní účet, údaje o probíhajících / ukončených / hrozících soudních/exekučních/správních řízeních, údaje o případných trestních řízeních a trestních věcech
Třetí osoby: jméno, adresa, datum narození, rodné číslo, údaje pro komunikaci, rodinný stav a rodinná situace, finanční situace, bankovní účet, údaje o probíhajících/ukončených/ hrozících soudních/ exekučních / správních řízeních, údaje o případných trestních řízeních a trestních věcech
Zaměstnanci: jméno, adresa, datum narození, bankovní účet, pracovní doba, rodinný stav, vzdělání, údaje pro komunikaci, zdravotní způsobilost k plnění pracovní smlouvy
Dodavatelé: jméno, adresa, IČ, DIČ, bankovní spojení, údaje pro komunikaci
Z jakých zdrojů jsou osobní údaje získány [článek 30 odst. 1 písm. c) GDPR]?
Klienti: subjekty údajů, soudy, správní úřady
Třetí osoby: klienti, subjekty údajů, soudy a soudní spisy, správní úřady, svědci, znalci, exekutoři, veřejné rejstříky, veřejně přístupné informace (např. internet)
Zaměstnanci: subjekty údajů
Dodavatelé: subjekty údajů, veřejně přístupné informace
Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích:
• Účetní (firma, samostatná)
• IT firma udržující náš systém
• Specializované agentury - překladatelé, detektivové, riskcredit
• Nezpřístupňujeme osobní údaje příjemcům ve třetích zemích ani v rámci mezinárodních organizací
V jakém termínu a jak se osobní údaje likvidují [článek 30 odst. 1 písm. f) GDPR]?
Dle našeho archivního a skartačního řádu
Jakým způsobem se osobní údaje aktualizují [článek 30 odst. 1 písm. g) GDPR]?
Informacemi od subjektů údajů, od třetích stran, případně pomocí veřejných zdrojů (internet, veřejné rejstříky…)
Které listinné a elektronické evidence (spisovny, archivy, IT systémy, datová úložiště) provádějí zpracování [článek 30 odst. 1 písm. g) GDPR]?
Pro vedení klientské agendy používáme systém s názvem Advokátní agenda. Dále pro účely přípravy pracovních návrhů dokumentů používáme sdílený disk advokátů a advokátních koncipientů; přístup na tento disk je chráněn heslem unikátním pro každého uživatele. Pro správu kanceláře používáme systém Advokátní Agenda a Manažér datových schránek. Účetní systém používáme aktuální typ programu UCTO. Všechny tyto systémy jsou standardní produkty pro advokátní kanceláře.
Je prostředí AK pravidelně bezpečnostně testováno (zejm. IT systémy)? Interně nebo externími konzultanty? [článek 30 odst. 1 písm. g) GDPR].
Interní kontrolou 1x za 12 měsíců
Jak je zajištěna bezpečnost předání dat při klientské komunikaci [článek 30 odst. 1 písm. g) GDPR]?
Podle druhu a obsahu komunikace je používána buď prostá emailová komunikace, emailová komunikace s obsahem zabezpečeným heslem v příloze nebo komunikace prostřednictvím datové schránky či poskytovatelů poštovních služeb.
Jak je zajištěna bezpečnost sdílení dat s externími subjekty? Mají všichni externí dodavatelé, zpracovávající osobní údaje, uzavřené smlouvy o zpracování osobních údajů, poskytující odpovídající záruky ochrany [článek 30 odst. 1 písm. g) ve spojení s článkem 28 GDPR]?
Ano. Smlouvy o zpracování osobních údajů máme uzavřeny s následujícími dodavateli:
• Účetní (společnost, samostatná)
• IT firma udržující náš systém
• Specializovaná agentura
Je zajištěna nevratná likvidace dat v rámci databázového systému [článek 30 odst. 1 písm. g) GDPR]?
Ano, data jsou likvidována, nejen deaktivována.
Je k dispozici procedura k určení práv subjektů údajů a jejich výkon s ohledem na jejich data, která jsou zpracovávána v rámci zpracování?
Ano, umožňujeme každému podat žádost na emailem nebo poštou, žádosti vyřizujeme v předepsaných lhůtách.
Jaká jsou práva subjektu ve vztahu ke zpracování a předávání jeho osobních údajů?
V souladu s platnou legislativou můžete uplatnit svá práva subjekt údajů. Má právo na přístup k osobním údajům, které o něm zpracováváme, právo na přenositelnost vybraných osobních údajů přímo jinému správci a právo požadovat opravu osobních údajů. Může požádat o výmaz osobních údajů, popř. omezení jejich zpracování, pokud ovšem není nutné dále je zpracovávat pro splnění právních povinností nebo pokud je jich třeba, abychom mohli nadále poskytovat sjednané právní služby. Tato práva můžete uplatnit osobně v sídle společnosti, písemně na adresu sídla společnosti nebo emailem.
Jaké jsou možnosti subjektu omezit zpracování a předávání osobních údajů?
V případě, kdy zpracováváme osobní údaje na základě souhlasu subjektu, může subjekt tento souhlas kdykoliv odvolat. V případě, kdy dochází ke zpracování údajů o subjektu na základě oprávněného zájmu, můžete proti takovému zpracování vznést námitku. Každé takové podání námitky vyhodnotíme a o výsledku budeme subjekt informovat.
Kdo je dozorujícím orgánem v oblasti ochrany osobních údajů?
Pokud se nám nepodaří uspokojivě vyřešit dotazy nebo námitky subjektu v oblasti ochrany osobních údajů, má právo obrátit se na Úřad pro ochranu osobních údajů, sídlo: Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz
Poskytují se oprávněným subjektům údajů předepsané informace, zejména o:
• rozsahu a účelu zpracování,
• způsobu zpracování osobních dat,
• komu mohou být osobní údaje zpřístupněny?
Ano, informace poskytujeme následující formou:
• na našem webu
• ve smlouvě s klienty
• v odpovědích na žádosti subjektů údajů
Zabraňují nasazené technické prostředky a uplatňovaná organizační opatření nahodilému anebo neoprávněnému přístupu k osobním údajům, jejich změně, zcizení, zneužití, zničení nebo ztrátě [článek 30 odst. 1 písm. g) GDPR]?
Ano, uplatňujeme zejména následující opatření:
• K zpracovávaným spisům mají přístup pouze osoby, které se spisem pracují;
• Spisy jsou zaheslované v počítači; spisy v listinné podobě se nacházejí v uzamykatelných skříních;
• Přístup do kanceláří je zabezpečen;
• IT systém je standardní, vyzkoušený, používaný v řadě advokátních kanceláří. Přístup do IT systému je omezen podle nastavených manažerských rolí.
• IT systém je pravidelně testován a data jsou šifrována
Jsou zpracovávané osobní údaje přenášeny do zahraničí nebo jsou přístupné ze zahraničí [článek 30 odst. 1 písm. e) GDPR]?
Ne nejsou.
Jsou pracovníci, mající přístup k osobním údajům v rámci zpracování osobních údajů, proškoleni? Mají tito pracovníci ve svých smlouvách sjednánu povinnost mlčenlivosti ve vztahu ke zpracovávaným osobním údajům [článek 30 odst. 1 písm. g) GDPR]?
Ano, proškolení probíhá jednak při nástupu do zaměstnání a dále jednou za 18 měsíců.
Ano, pracovníci, kteří nejsou advokáty nebo advokátními koncipienty, mají v pracovních smlouvách závazek mlčenlivosti.