Základní pravidla postupů souvisejících se zpracováním osobních údajů advokátem
Čl. 1
- Advokátka Mgr. Kateřina Bártová, ev. č. ČAK 11276, se sídlem Mostecká 2580, 438 01 Žatec, advokát JUDr. Pavel Cibulka, ev. č. ČAK 5395, advokát Mgr. Pavel Děrka, ev. č. ČAK 18282, advokátka Mgr. Renáta Baštýřová, ev. č. ČAK 19523, se sídlem Mostecká 2580, 438 01 Žatec (dále jen "advokáti"), v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen "GDPR") provedli revizi vlastních postupů nakládání s osobními údaji během výkonu své advokátní praxe a jako výsledek jejich sumarizace tímto deklaruje základní pravidla postupů souvisejících se zpracováním osobních údajů.
- Advokáti zajišťují dodržování těchto pravidel při zpracování osobních údajů jejich osobou, spolupracovníky a v případě dodavatelů - externích zpracovatelů osobních údajů mají smluvně zajištěny záruky odpovídající ochrany dle čl. 28 GDPR.
Čl. 2
- Advokáti zpracovávají osobní údaje výhradně v souladu s právními důvody stanovenými v čl. 6 GDPR, pouze v nezbytném rozsahu a po nezbytnou dobu. Účely zpracování osobních údajů a dobu jejich zpracování evidují advokáti pro jednotlivé agendy v záznamech o činnostech zpracování podle čl. 30 GDPR.
- K osobním údajům mají přístup pouze osoby, které s nimi potřebují nakládat při plnění svých úkolů a povinností pro advokáty. Tyto osoby zachovávají o osobních údajích, s nimiž se seznamují, mlčenlivost, tato povinnost je smluvně garantována.
Čl. 3
- Advokáti v souladu s předpisy o advokacii a obvyklými standardními zvyklostmi v oblasti advokacie garantují příslušné zabezpečené zpracování osobních údajů a přijímá opatření k zabezpečení osobních údajů, a to zejména:
- zajištění přítomnosti osoby uvedené v čl. 2 odst. 2 v prostorách, kde jsou zpracovávány osobní údaje, po dobu, kdy jsou tyto prostory přístupné jiným osobám, popřípadě uzamykání listin s osobními údaji, pokud osoba uvedená v čl. 2 odst. 2 není v této době přítomna,
- uzamykání prostor, v nichž jsou uchovávány osobní údaje, a ochrana těchto prostor alarmem proti vniknutí nepovolaných osob do těchto prostor,
- ochrana přístupu k výpočetní technice, jíž se zpracovávají osobní údaje, individuálními silnými hesly a ochrana těchto hesel před vyzrazením,
- ochrana výpočetní techniky antivirovými programy; to platí také pro přenosná zařízení, pokud jsou pro ně takové programy běžně dostupné,
- další vhodná opatření pro ochranu přenosné výpočetní techniky nebo přenosných úložišť dat (například neustálý dohled, zamčený přepravní obal, folie na displeji, zaheslování dat, osobní manipulace s úložištěm při kopírování dat do jiného přístroje),
- zaheslování souborů s větším množstvím osobních údajů nebo se snadno zneužitelnými nebo citlivými osobními údaji v případě odesílání souboru e-mailem nebo jeho uložení na sdílené úložiště a v případě nutnosti předání těchto souborů sdělení hesla jiným komunikačním kanálem, než byly odeslány (telefon, sms).
2. Advokáti dbají na řádné plnění povinností podle předpisů upravujících archivnictví, dodržují zákonné lhůty pro ukládání dokumentů a archivaci, a dále včas a řádně provádí skartační řízení.
Čl. 4
- Advokáti naplňují veškerá práva subjektů údajů. Vyřizování všech žádostí subjektů údajů je v souladu s předpisy o advokacii, tzn. nesmí být ohroženy zásady a principy výkonu advokacie, zejména povinnost mlčenlivosti vyplývající z § 21 zákona o advokacii a další povinnosti vyplývající ze zákona, etického kodexu a dalších kamerálních norem.
- Advokáti dále zejména:
- vedou záznamy o činnostech zpracování podle čl. 30 GDPR,
- zajišťují informování subjektů údajů podle čl. 12 až 14 GDPR.
- naplňují další práva subjektů údajů podle čl. 15 až 22 GDPR,
- provádí ohlašování a oznámení porušení zabezpečení osobních údajů podle čl. 33 a 34 GDPR.
3. Návrhy záznamů, informací, vyřízení žádostí/stížností a ohlášení a oznámení podle odstavce 2 jsou uloženy u advokátů.
4. Subjekty údajů mohou svoje žádosti/stížnosti pro uplatnění práv popsaných v odstavci 2 uplatnit u advokátů, a to písemně v sídle advokátů či doporučeným dopisem na sídlo advokátů.
Čl. 5
- Advokáti provedli analýzu rizik zpracování osobních údajů a přijali přiměřená technická a organizační opatření pro zabezpečení zpracování, jak jsou popsána výše. Analýza rizik obsahovala následující závěr: zpracování osobních údajů nepředstavují vysoká rizika pro práva a svobody dotčených subjektů údajů, a tedy není nutné vypracovat posouzení vlivu na ochranu osobních údajů ("DPIA").
- Advokáti provedli posouzení zpracování OÚ z pohledu čl. 37 GDPR. Advokáti nenaplňují podmínky pro jmenování pověřence pro ochranu osobních údajů (dále jen "DPO") v souladu s recitálem 91 GDPR a nemají povinnost DPO jmenovat. DPO proto nebyl u advokátů jmenován.
- Advokáti kromě záznamů o činnostech zpracování dle čl. 30 GDPR vedou evidenci případných souhlasů se zpracováním osobních údajů, pokud pro zpracování osobních údajů neexistuje jiný právní titul a evidenci případů porušení zabezpečení osobních údajů.
- Advokáti pravidelně, nejméně jednou ročně, vyhodnocují plnění pravidel ochrany osobních údajů, vč. technických a organizačních opatření a přijímá opatření k nápravě, příp. dle potřeby aktualizuje interní dokumentaci související s ochranou osobních údajů.
Tato pravidla byla přijata dne 25. 5. 2018.
Jméno a příjmení advokáta: Mgr. Kateřina Bártová, JUDr. Pavel Cibulka, Mgr. Pavel Děrka, Mgr. Renáta Baštýřová.
Nařízení Evropského parlamentu a Rady (EU) 2016/679, ze dne 27. dubna 2016. Ke stažení v pdf níže.