Poptávkový portál a přeposílání údajů - jak řešit GDPR?

Dobrý den,

GDPR pro e-shopy, či sběr emailů atp. se zde již řešilo.
Zajímaly by mě ale Vaše názory na poptávkový portál, kde uživatel vyplní formulář (včetně kontaktních
- osobních údajů) a odešle jej skrze portál dodavateli/inzerentovi. A tedy se vlastně jedná o poskytování os. údajů třetí osobě.
Je mi známo, že by zpracovatel os. ú. měl mít smlovu s každým, komu poskytne osobní data jiných lidí, například když poskytne externímu programátorovi databázi s údaji jeho uživatelů.

Je nutné řešit smlouvu i v případě zmíněného poptávkového portálu jako například web stylu e-chalupy, nebo různé katalogy ubytování atp?
Musí mít smlouvu s každým ubytovatelem, kterému vlastně přepošlou kontaktní údaje na uživatele, který vyplní formulář? Nebo na to stačí nějaký univerzální souhlas, kde se píše komu a za jakých podmínek budou data poskytnuta?

Díky za každý názor.

Taky to musím řešit, nakonec to asi obejdu tak, že konečný kontakt provede už uživatel přes email s předvypněným reply-to. Ale je to nešikovné. Pokud by to šlo přeze mě, ručil bych v plné výši za případný unik či nevymazání osobních udajů u partnera, kterých můžou být stovky.

Přečetl jsem si téměř celé nařízení (také čtu čr zákon 101/2000, ale ještě jsem jej nepřečetl) a vyvodil jsem následující:

Plánuji provoz poptávkového portálu, který bude fungovat obdobně jako například server e-chalupy.cz.

Kdo nezná, ve zkratce portál e-chalupy funguje následovně.
Majitelé ubytování inzerují svou nabídku a je možnost je kontaktovat pomocí formuláře (jméno, příjmení, telefon, email) na webu e-chalupy.cz, přičemž portál se tím stává zpracovatelem údajů a majitel ubytování se stává třetí stranou, která OÚ od správce (portálu) obdrží.

Protože portál spustím v době, kdy už bude GDPR v platnosti, potřebuji, aby portál byl s GDPR v souladu.

Portál bude zpracovávat následující údaje:
- Celé jméno
- Telefon
- Email
- Adresa

Nejprve jsem stanovil, jak bude portál OÚ zpracovávat:

Druhy zpracování OÚ na portálu
1. Poskytnutí OÚ třetí straně (výše zmíněné poskytnutí OÚ inzerentovi)
Právní titul I.: souhlas subjektu údajů (článek 6 písmeno a) nařízení GDPR)
Právní titul II.: zpracování je nezbytné pro splnění smlouvy (článek 6 písmeno b) nařízení GDPR)
Souhlas bude podmíněný, neboť je to pro splnění služby nezbytně nutné (rec. 44)
2. Evidence OÚ v systému portálu (v administraci pro inzerenty chci, aby byl přehled poptávek včetně OÚ poptávajících, proto si myslím, že je to nezbytné pro plnění smlouvy)
Právní titul: souhlas subjektu údajů (článek 6 písmeno a) nařízení GDPR)
Právní titul II.: zpracování je nezbytné pro splnění smlouvy (článek 6 písmeno b) nařízení GDPR)
Souhlas bude podmíněný, neboť je to pro splnění služby nezbytně nutné (rec. 44)

Poté jsem si sepsal, jak bude portál splňovat soulad s GDPR (zaměřeno pouze na proces poptávek, neuvažuji nyní další případy zpracování OÚ, které na portálu budou):

Soulad s GDPR
5. Právní titul ke zpracování OÚ realizován souhlasem.
6. Souhlas bude u poptávkového formuláře.
7. V bezprostřední blízkosti souhlasu budou uvedeny informace pro subjekt údajů dle článku 13 nařízení.
8. … a další viz právo být zapomenut, právo na přenos údajů ve strukturované formě atd.

Zaměřil jsem se hlavně na předávání OÚ někomu dalšímu, než jsem já jako zpracovatel údajů. Našel jsem, že k předání údajů stačí souhlas subjektu údajů, který ale musí dle GDPR splňovat jisté podmínky.
Dále samozřejmě je třeba evidovat kdo, kdy a s čím souhlasil a také neméně důležitá věc je evidovat OÚ jen po určitou dobu, která bude uvedena v souhlasu, to nevím, jestli si můžu stanovit, nebo je tam nějaký limit.

Dosavadní nejasnosti/otázky do diskuze:
1) Kdo určí dobu, po kterou můžu OÚ uchovávat/zpracovávat? Můžu si tu dobu vymyslet a říct např. 10 let?
2) Dá se považovat za nezbytné pro plnění smlouvy další evidence údajů? (Aby inzerent měl po přihlášení k dispozici poptávky včetně kontaktních údajů na poptávající (subjekty údajů)?)
3) Je v souladu s GDPR poskytnutí OÚ třetí straně (inzerentovi) na základě souhlasu subjektu údajů?

Užitečné zdroje
Nařízení GDPR: http://eur-lex.europa.eu/legal-conte...6R0679&from=EN

Nařízení strukturovaně: http://www.privacy-regulation.eu/cs/index.htm

Příručka od ÚOOÚ: https://www.uoou.cz/zakladni-priruck...s-4744/p1=4744

---
Je pravděpodobné, že můj návrh výše obsahuje chyby, nebo neobsahuje vše, co by měl, děkuji za jakoukoli reakci.

Požádal jste mě, abych k navrženému řešení napsal svůj názor. Tak tedy:

Varianta přes souhlas je právně čistá. Budete však řešit zbytečné problémy s možností okamžitého odvolání souhlasu. V případě odvolání souhlasu byste totiž měl zajistit výmaz i u zpracovatelů tedy u těch provozovatelů chat apod. To bude problematické.

Mnohem jednodušší mě přijde postavit to celé na plnění smlouvy. K tomu je třeba sestavit podmínky webu a zadání poptávky následně vytváří smluvní vztah. Vy se zavazujete rozeslat poptávku registrovaným subjektům a provedete to. Souhlas bych použil až třeba u registrace, kdy chce být subjekt údajů informován o cenových akcích apod.
Toto řešení bude dražší v tom, že musíte sestavit podmínky webu. Na druhou stranu předejde řadě potencionálních problémů.

K Vašim otázkám:
1) Dobu uchování musíte být schopen si obhájit. Pokud jste plátce DPH je doba 10 v pořádku, protože to je Vaše archivační povinnost u daňových dokladů. Těch deset let je vždycky nějak papírovatelných. Do delšího období bych se nepouštěl.

2) Buď jedete na souhlas nebo plnění smlouvy. Tady to motáte dohromady. Nezbytné to zcela jistě není. To, zda je to účelné je na zváženou. GDPR obecně nic extra nezakazuje. Je tedy lepší si říct, co vlastně chcete a podle toho vše sestavit.

3) S tím není problém, ale jak jsem psal výše. Až souhlas odvolá musíte je zase od té třetí osoby stáhnout. Pokud tedy souhlas nepostavíte do role, že Vaším úkolem je OU poptávajícího zveřejnit.