drobny trupik
08.01.18,23:23
Dobrý večer, chcem sa opýtať, či aj kamenná predajňa stavebného materiálu potrebuje Bezpečnostný projekt z pohľadu spracovania osobných údajov (aj GDPR ) alebo či musí mať minimálne súhlas so spracovaním osobných ( či firemných údajov) zákazníkov. Predajňa stavebného materiálu predáva zákazníkom buď na hotovosť, alebo na faktúru. Zákazníkmi nie sú len fyzické osobz ale aj firmy, ktorým sa vystavuje faktúra. Niekedy sa stane, že obyčajný človek - zákazník ( súkromná osoba) ide robiť prerábku, a preto berie tovar na dodací list), na základe tovar doberá - prípadne zvyšný v priebehu mesiaca vráti, na konci mesiaca sa buď spustí pokladničný doklad, alebo vystaví faktúra, ktorú zaplatí prevodom. Pri zakladaní dodacieho listu poskytne osobné údaje - ako meno, priezvisko, adresu, tel. číslo,e-mail alebo pri objednávke tovaru na stavbu domu sú vyžiadané tieto osobné údaje, ktoré sú následne zaevidované do adresára zákazníkov, len pre potreby objednávky, prípadne potreby zaslania cenovej ponuky, prípadne potreby tel. komunikácie. Nikde inde sa tieto údaje nedostanú, a sú len v adresári firiem a zákazníkov skladového hospodárstva konkrétnej predajne. Aj v takomto prípade musí mať predajňa súhlas zákazníka ( súkromnej osoby) súhlas firiem So spracovaním osobných údajov? a musí mať takýto súhlas aj podľa GDPR? Existuje nejaký formulár takého súhlasu, alebo záleží na konkrétnom prípade ako si ho konkrétna spoločnosť vypracuje?.ďakujem Repková
Ing. Ľubomír Janoška
09.01.18,05:58
Na spracúvanie osobných údajov na účel vybavovania obchodnej agendy nie je potrebný súhlas dotknutej osoby.
Na túto agendu nie je potrebný ani bezpečnostný projekt podľa z. 122/2013.
V súčasnosti by mala byť táto agenda zaevidovaná v internej evidencii informačných systémov. Podľa GDPR (od 25.5.2018) by mala mať svoj "Záznam činnosti spracúvania", podobný súčasnému evidenčnému listu, ale so širším obsahom (napríklad by tam mali byť uvedené lehoty, po ktorých sa vymazávajú spracúvané údaje).
Ďalšia zmena GDPR oproti súčasnému zákonu je povinnosť informovať dotknuté osoby o spracúvaní osobných údajov. Na tento účel väčšinou postačí zverejnenie tejto informácie na webe prevádzkovateľa. Nestačí to ale v tých prípadoch, kedy prevádzkovateľ (iniciatívne) získava osobné údaje dotknutých osôb.
Predpokladám, že firma má aj zamestnancov a to je ďalší okruh dotknutých osôb a ďalší účel spracúvania osobných údajov. Ten si v súčasnosti vyžaduje vypracovanie bezpečnostného projektu.
Na túto agendu nie je potrebný ani bezpečnostný projekt podľa z. 122/2013.
V súčasnosti by mala byť táto agenda zaevidovaná v internej evidencii informačných systémov. Podľa GDPR (od 25.5.2018) by mala mať svoj "Záznam činnosti spracúvania", podobný súčasnému evidenčnému listu, ale so širším obsahom (napríklad by tam mali byť uvedené lehoty, po ktorých sa vymazávajú spracúvané údaje).
Ďalšia zmena GDPR oproti súčasnému zákonu je povinnosť informovať dotknuté osoby o spracúvaní osobných údajov. Na tento účel väčšinou postačí zverejnenie tejto informácie na webe prevádzkovateľa. Nestačí to ale v tých prípadoch, kedy prevádzkovateľ (iniciatívne) získava osobné údaje dotknutých osôb.
Predpokladám, že firma má aj zamestnancov a to je ďalší okruh dotknutých osôb a ďalší účel spracúvania osobných údajov. Ten si v súčasnosti vyžaduje vypracovanie bezpečnostného projektu.
drobny trupik
09.01.18,20:31
Dobrý večer, ďakujem pekne za odpoveď.