GDPR – kolik Vás stal audit?

Dobrý den, Naše společnost se aktuálně připravuje na změny spojené s GDPR. Poptáváme audit GDPR u různých dodavatelů, rádi bychom zjistili, kolik byla přibližná cena auditu ve Vašem případě (pokud s tím máte nějakou zkušenost)? Děkuji za informaci

Jiná cena bude pro sro. s 1 zaměstnancem a hlavní činností v pečení chleba, jiná bude u společnosti poskytující nebankovní půjčky s 20 zaměstnanci a tisíci zákazníky, několika pobočkami, atd.

Nekdo si to udela sam...SPIR / GDPR

ak poskytujem sluzby a jediné údaje sú teda na faktúrach ak som to správne pochopil, stačí mi ak tie faktúry budú napr. len v účtovnom software na cloude a nie aj vytlačené niekde doma na poličke? Alebo to musím potom riesit aj inac? mam v tom dost chaos, som zivnostnik bez zamestnancov.

Napsal kajo888;1456024

ak poskytujem sluzby a jediné údaje sú teda na faktúrach ak som to správne pochopil, stačí mi ak tie faktúry budú napr. len v účtovnom software na cloude a nie aj vytlačené niekde doma na poličke? Alebo to musím potom riesit aj inac? mam v tom dost chaos, som zivnostnik bez zamestnancov.

Nejsem GDPR expert, ale nemyslím, že musíš dělat něco extra. Faktury musíš ponechat po dobu cca 10 let. Aspoň v CZ. No a pak až skončí ta doba, tak je asi máš smazat, ale nevím nikdo se asi nebude zabírat tím, že je máš doma 11 let. Lidi prostě počítají s tím, že pokud si u tebe objednají službu, tak máš jejich údaje nutné pro účetnictví. Spíše se to týká osobních údajů co účetnictví nevyžaduje. A pak weby, e-shopy, mailové databáze atd. No samozřejmě instituce a firmy co zpracovávají dost osobních údajů.Navíc účetní data nejsou nic extra tajného, pokud tedy obchoduješ s dalšími podnikateli. Na Aresu si najdu vše, stačí zadat ič či jméno. Pokud je daný člověk plátce, vyjede ti krásně jeho rodné číslo a číslo účtu.

Napsal kajo888;1456024

ak poskytujem sluzby a jediné údaje sú teda na faktúrach ak som to správne pochopil, stačí mi ak tie faktúry budú napr. len v účtovnom software na cloude a nie aj vytlačené niekde doma na poličke? Alebo to musím potom riesit aj inac? mam v tom dost chaos, som zivnostnik bez zamestnancov.

Bohužel to nestačí. GDPR není jen o tom něco neporušovat, ale i něco aktivně dělat. Takže si budeš muset založit složku "GDPR" a provést "úvodní audit", do kterého zapíšeš, jaké všechny druhy zpracování osobních údajů ve firmě děláš. Když za to nebudeš chtít utrácet žádné peníze, tak si vezmeš list papíru A4, budeš na něj psát propiskou a napřed si pořádně prostuduješ stránky gdpr.spir.cz (na které tu dával odkaz vdusek) nebo stovky jiných stránek věnujících se GDPR na internetu.A pokud skutečně ve firmě neděláš nic jiného, než vystavování faktur, nikdy jsi neměl žádného zaměstnance, brigádníka, neudělal jsi fotku nějakého člověka, nemáš internetové stránky, na kterých by se dala zjistit IP adresa návštěvníka apod., tak si na ten čistý list napíšeš:"1. Faktury v účetnictví"a pod to si zapíšeš takové GDPR kolečko, tedy z jakého právního důvodu to zpracováváš (napíšeš tam "zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje"), kdy to všechno smažeš a budeš skartovat, jak máš zabezpečené, aby se k tomu nikdo jiný nedostal, komu tyto údaje poskytuješ (účetní firma?) a jak mají oni zabezpečeno, aby se to k nikomu jinému nedostalo (např. aby to nebylo na nějakém cloudu mimo EU), atd ...No a pak už to budeš jenom plnit, pravidelně kontrolovat a modlit se, aby si někdo nevzpomněl a nestanovil v prováděcím předpise , že to vlastně nestačí.

A jak někdo zkontroluje, že doma nemám papír s nápisem GDPR a v něm těch pár vět? To bude kontrolovat kdo? GDPR policie?

Napsal korwin;1456316

A jak někdo zkontroluje, že doma nemám papír s nápisem GDPR a v něm těch pár vět? To bude kontrolovat kdo? GDPR policie?

ÚOOÚ

Trochu bokem, ale pobavily mě vyfocené poznámky ze včerejšího slyšení Zuckerberga. "Don't say we already do what GDPR requires" :)

Napsal Tomáš Maňhal;1456317

ÚOOÚ

A ti se mi dostanou domů jak? Když neotevřu tak co? Naběhne komando a vyrazí dveře?

Napsal korwin;1456331

A ti se mi dostanou domů jak? Když neotevřu tak co? Naběhne komando a vyrazí dveře?

Ne, neboj se, nikdo Ti domů chodit nebude, nikdo Ti nebude vyrážet dveře. ÚOOÚ Ti prostě zavolají nebo pošlou mail, že se k nim máš dostavit a "doložit soulad s GDPR". No a Ty tam k nim dojdeš, ukážeš tu složku, v ní ten jeden papír, na kterém máš ten "Přehled zpracování OU" (ten řádek co začíná "1. Faktury v účetnictví" a za nim to kolečko), pak že jsi vyhodnotil rizika spojená s potenciálními škodami při úniku OU a na jejich základě teď dáváš doma všechny faktury do zamykací skříňky a klíček k té skříňce nosíš zavěšenej na krku i do sprchy nebo do postele s přítelkyní.

Napsal Diabolique;1456206

Bohužel to nestačí. GDPR není jen o tom něco neporušovat, ale i něco aktivně dělat. Takže si budeš muset založit složku "GDPR" a provést "úvodní audit", do kterého zapíšeš, jaké všechny druhy zpracování osobních údajů ve firmě děláš. Když za to nebudeš chtít utrácet žádné peníze, tak si vezmeš list papíru A4, budeš na něj psát propiskou a napřed si pořádně prostuduješ stránky gdpr.spir.cz (na které tu dával odkaz vdusek) nebo stovky jiných stránek věnujících se GDPR na internetu.....

Češi byli vždy ve všem papežštější než papež. Známá věc. Budou založena GDPR oddělení na úřadech a GDPR úřednice (se vzděláním ZŠ) budou chodit a kontrolovat a dávat pokuty a šikanovat, aby dokázaly vlastní důležitost a nepostradatelnost (bo kdyby to nedělaly, by se mohlo říci, že jsou nepotřebné a přišly by o flek). Časem to celé půjde do ztracena, protože se ukáže, že český GDPR zákon byl úlet poslanecké tvořivosti, kdy si poslanci doplnili směrnici EU a vylepšili aby to bylo "české". Výsledkem poslanecké tvořivosti je, že český GDPR zákon je v konfliktu s řadou jiných zákonů. Tak se udělají úpravy GDPR zákona, potom úpravy těch úprav GDPR zákona, až se v tom nikdo nevyzná. Prostě česká klasika. Když si zřídíš databázi na serveru mimo ČR, dostupnou pro tebe přes username a password a tam si budeš shromažďovat informace, jakému zákonu ta databáze bude podléhat? Bude podléhat českému zákonu GDPR anebo zákonům státu, kde se nachází server? Jak to zkontrolují české GDPR úřednice, když nebudou znát adresu serveru, username a password a ty jim s úsměvem řekneš, že žádná data neshromažďuješ?---------- Příspěvek doplněn 16.04.2018 v 11:10 ----------

Napsal Diabolique;1456415

Ne, neboj se, nikdo Ti domů chodit nebude, nikdo Ti nebude vyrážet dveře. ÚOOÚ Ti prostě zavolají nebo pošlou mail, že se k nim máš dostavit a "doložit soulad s GDPR". ....

Moje firma je registrovaná v Anglii, takže bývalí čeští celníci, kteří se v roce 2004 při vstupu ČR do EU ukázali jako nepotřební a ČR z nich udělala ÚOOÚ a přitom ČR systematicky dál zvěřejňovala osobní údaje v českém obchodním rejstříku, tak tihle pracovníci UOOU si mne předvolat nemůžou, protože moje firma podléhá Úřadům Jejího Veličenstva. Že prodáváme do Česka a poskytujeme služby do Česka? No a co? České firmy zase prodávají do Anglie.... Majl mi UOOU nepošle, protože doména uoou.cz je bloknutá v Anglii pro spamování. Můžou leda tak poslat dopis, poštou (podle tzv. Správního řádu ČR). Ovšem dopis musí být v angličtině, adresován do sídla firmy. Protože mezi Spojeným královstvím a ČR neexistuje smlouva o právní pomoci, nemusíme na dopis českého UOOU ani odpovídat, natož se jím řídit. Dopisy českých úřadů končí obvykle ve skartačce.

Tvoje firma je registrovaná v Anglii, takže bych se možná podíval na anglický úřad ICO, který je v tomto mnohem přísnější než ten český a ten s tebou zcela jistě komunikovat může. Pod český úřad v tomto vůbec nespadáš a vše s tebou bude řešit anglický.GDPR není český zákon ani EU směrnice.

Vtip je v tom, že v ČR má důkazní povinnost podnikatel a český úředník na každého podnikatele nahlíží jako na podezřelého (v tom lepším případě). Zatímco v UK má důkazní povinnost úřad. Úřad začne pracovat teprve, když má pádné důkazy. Čili nejprve by musel úřad mít důkazy o tom, že firma porušuje zákon a archivuje data v rozporu se zákonem a teprve pak by někdo z úřadu požádal dopisem o vysvětlení.Viz zde What is GDPR? The summary guide to GDPR compliance in the UKKrásná věta je: Each member state in the EU operates under the current 1995 data protection regulation and has its own national laws. (každý členský stát EU používá aktuální ochranu dat z roku 1995 a má vlastní národní zákon). ehmm... ČR po přistoupení k EU zřídila ÚOOU a na internetu v OR zdatně publikovala osobní data dále. Na moje námitky mi pracovník ÚOOU dopisem odpověděl, že publikování osobnéích dat v OR je v pořádku, neboť je to v zájmu lidu. To bylo v roce 2008. V zájmu lidu ...Chápání ochrany osobních dat došlo v ČR do absurdních rozměrů, kdy zájemci z ČR o nákup elektronických přístrojů chtějí nakupovat anonymně. A že jich teda je.... Obdobně, téměř každý den přijde z ČR anonymní dotaz, zda lze anonymně zřídit firmu.

Souhlasím v té věci, že anglický úřad má vynikající připravenost na GDPR. Vzhledem k tomu, že však GDPR zavádí obecnou odpovědnost správce tak i v Anglii to budeš ty, kdo bude prokazovat soulad a nikoliv úřad, kdo tobě bude prokazovat nesoulad.V zájmu lidu to nebylo, ale bylo to ve "veřejném zájmu". Toto zná i GDPR v článku 6 je zpracování s právním titulem plnění zákonné povinnosti a pod toto právě OR spadá.Mimochodem to, že si ověřím, kdo za danou společnost může jednat není nic proti ničemu. Souhlasím ale s tím, že by tam nemusela zrovna být adresa jednatele.Je to ale totéž jako rodné číslo u DIČ, ale toto se prý řeší.