Nacházíte se zde: Úvod Webhosting Web v souladu s GDPR
Weby na Českém hostingu v souladu s GDPR
Dejme svůj web do souladu s GDPR.
Co je GDPR
Obecně o GDPR
- Jedná se o Nařízení Evropského parlamentu a Rady (EU) 2016/679
- Předmětem GDPR je ochrana fyzických osob při zpracovávání jejich osobních údajů a zajištění volného pohybu osobních údajů v rámci EU
- Nevztahuje se na ochranu údajů právnických osob a některé další případy zpracování (např. zpracování fyzickou osobou při výlučně osobní či domácí činnosti)
Co je osobní údaj
- Jakékoli informace týkající se identifikovatelné fyzické osoby (je označována jako „subjekt údajů“)
- Např. Jméno, Příjmení, email, adresa, ale také velikost bot, nákupní seznam, IP adresa, identifikátor v souboru cookies apod.
- Detailně viz. čl. 4. odst. 1 GDPR)
Co je zpracování
- Zpracováním se rozumí jakákoli operace s osobními údaji.
- Příklad: sběr/shromažďování, uložení, zobrazení, vyhledání, pozměnění, šíření, seřazení či zkombinování, výmaz a další
- Detailně viz. čl. 4. odst. 2 GDPR)
Správce a zpracovatel
- Správce je osoba, která určuje účel a prostředek zpracování osobních údajů (tzn. v praxi, kdo rozhodne o tom, že se budou zpracovávat osobní údaje, a jakým způsobem. Takové zpracování je pak správce oprávněn činit pouze na základě některého právního titulu – viz čl. 6 odst. 1 GDPR)
- Zpracovatel je osoba, která zpracovává osobní údaje pro správce
Jak se Vás GDPR dotýká
- Nejprve si musíte ověřit, zda zpracováváte osobní údaje (případně nejste vyjmuti z GDPR)
- Zpracováváte-li osobní údaje (např. prostřednictvím webu či v e-mailech), máte konkrétní povinnost chránit osobní údaje, které zpracováváte, a musíte být schopni to prokázat (včetně povinnosti získat záruky i od svých zpracovatelů, tj. i od nás, od hostingu)
- Zpracování musíte provádět v souladu s GDPR, zejména korektně a transparentně a na základě zákonného důvodu (detailně čl. 5 GDPR a následující)
GDPR a využívání webhostingových služeb
- Při používání našich služeb pro zpracování Vašich dat, jako je ukládání na server, příjem a odesílání emailů, registrace uživatelů na webu apod., dochází v našich systémech k automatizovanému zpracování dat (ukládání souborů, vyhledávání dat, kopírování, mazání, přesouvání, apod.), zároveň provádíme každodenní zálohování dat, mazání dat při rušení či změně služeb a v neposlední řadě úkony, které si přímo vyžádáte u naší podpory (přesuny domén mezi servery, apod.).
- Toto Vás staví do role správce (případně zpracovatele pro své klienty) a nás do role zpracovatele, byť se jedná o dílčí, čistě technickou část samotného zpracování bez adresného zpracování
Záruka souladu hostingu s GDPR
- Všem zákazníkům zaručujeme, že provádíme zpracování v souladu s GDPR ve Všeobecných obchodních podmínkách platných od 24. 5. 2018
- VOP upravují náš smluvní vztah včetně náležitostí zpracovatelské smlouvy mezi Správci a Zpracovatelem a jedná se o plnohodnotný způsob prokázání zpracování v souladu s GDPR
Konkrétní opatření
- Při poskytování služeb máme přijatá odpovídající technická i organizační opatření pro ochranu dat, které zpracováváme
- Dlouhodobě udržujeme vysoký standard bezpečnosti našich služeb a prevenci neoprávněného přístupu k službám a datům. Zároveň nabízíme efektivní nástroje pro zabezpečení citlivých dat klienty
- K datům mají přístup pouze pověření, proškolení pracovníci a pouze v rozsahu nezbytném pro poskytování sjednaných služeb
- Provádíme výhradně zpracování odpovídající rozsahem a k účelu vycházející z našich vzájemných smluvních závazků nebo dle Vašich pokynů buď prostřednictvím automatizovaných úkonů a příslušných aplikací nebo na základě Vašich pokynů daných naší zákaznické podpoře (tzn. ukládání, přesun dat, obnovy dat, zálohování apod.), případně, které nám ukládá zákon nebo jsou nezbytné pro zajištění plynulosti a bezpečnosti provozu služeb (např. ukládání logů apod.)
Jak ošetřit web ve vztahu k GDPR
Ověřte, zda zpracováváte osobní údaje
- Ověřte, zda zpracováváte osobní údaje ve svém webu či ne
- Může to být vytváření účtů klientů, registrace k newsletteru, ukládání logů, odesílání vyplněných formulářů, fórum, údaje o uživatelích komentářů k článkům apod., ukládání a načítání cookies apod.
Ošetřete si zákonnost Vašeho zpracování dle GDPR
- Zpracování byste měli provádět pouze na základě legitimního důvodu – tj. provádět zpracování zákonně
- Zpracovávat osobní údaje můžete z řady důvodů
- Na základě plnění povinností stanovené smlouvou se subjektem údajů (typicky ukládání údajů o objednávkách apod.)
- Pokud je to nezbytné pro splnění právní povinnosti, která se na Vás vztahuje (např. vedení účetnictví apod.)
- Na základě souhlasu (např. pokud nabízíte registraci k newsletteru)
- a další (viz čl. 6 GDPR)
- Musíte vždy dodržovat rozsah zpracování v souladu se stanoveným účelem zpracování a se zákonností zpracování
- Nezákonného zpracování se musíte zdržet
Chraňte osobní údaje
- Primárně přijměte technická a organizační opatření na ochranu osobních údajů odpovídající míře rizika zneužití osobních údajů. Míru rizika byste měli sami zvážit a podle toho přijmout odpovídající opatření.
- Minimalizujte zpracování osobních údajů jen na nezbytné v souladu se zákonností zpracování (vypněte sběr dat, které v praxi nepotřebujete)
- Přijměte potřebná organizační opatření jako např. omezení přístupu pouze příslušných zaměstnanců k webu
- Přijměte technická opatření, jako šifrování či anonymizování dat, pokud zpracováváte údaje s vyšší mírou rizika vzniku škody subjektům údajů v případě úniku/zcizení/záměny apod. dat.
- Velmi důležitá je bezpečnost samotného Vašeho webu, využíváte-li nějakou aplikaci či populární systém (WordPress, Joomla, apod.), je nezbytné jej udržovat aktualizovaný a vhodně vybírat instalované doplňky.
Získejte správně souhlasy se zpracováním
- Pokud zpracováváte osobní údaje na základě souhlasů subjektů údajů, musíte si zajistit správně jejich souhlas (čl. 7 GDPR).
- Pokud jste souhlasy získali dříve a splnili jste již dříve požadavky GDPR, není nutné získávat nové souhlasy (detailněji např. odpovědi UOOU)
- Získání souhlasu musíte být zároveň schopni doložit
- Subjekt údajů musí být informován o tom, proč souhlas uděluje
- Poskytnutí souhlasu musí být pro subjekt údajů jasně srozumitelné, oddělitelné od ostatních prohlášení či úkonů
- Souhlas subjekt údajů musí být svobodný, konkrétní, jednoznačný, srozumitelný a oddělitelný od ostatních prohlášení či úkonů
- Nezapomeňte ošetřit zpracování cookies a získejte souhlas, před jejich uložením (3. strany – Google, Facebook, apod.)
- Při registraci subjketu k newsletteru a obdobným on-line nástrojům či databázím odkažte zřetelně na informaci o zpracování viz následující odstavec
Splnění informační povinnosti
- Musíte řádně informovat subjekty údajů o jejich právech, viz informační povinnost vůči subjektu údajů (čl. 13 a 14 GDPR)
- K informování subjektů údajů je Váš web vhodný i v případě, že neprovádíte zpracování na webu přímo
- Ideálně vytvořte samostatnou stránku, např. Privacy Policy apod.
- Uveďte, kdo jste, účel a zákonnost zpracování, případné příjemce a vývoz do 3. země (Google, Facebook, MailChimp apod.), doba zpracování
- Nezapomeňte na poučení o právech subjektů údajů
- Můžete použít i náš vzor
- Detailně viz čl. 13 odst. 1 GDPR
Technické možnosti ochrany dat
- GDPR Vás nenutí používat všude šifrování, anonymizaci či pseudonymizaci. Je to doporučený možný typ ochrany a závisí na Vašem vyhodnocení rizika. Ochrana má být hlavně odpovídající míře rizika, které může vzniknout subjektům údajů z Vašeho zpracování údajů.
- V případě existence vyššího rizika z titulu zpracování osobní údajů, doporučujeme využívat ve Vašich aplikacích, odpovídající nástroje ochrany dat:
Služba | Možnosti a doporučená opatření |
---|---|
Webserver |
|
Databázový server |
|
E-mailové služby |
|
Proč nelze vše „zašifrovat“ hostingem
- Z provozních důvodů není možné mít data, se kterými se pracuje v reálném čase výhradně šifrovaná (musí se vždy rozšifrovat pro práci s nimi)
- Doporučujeme držet se nařízení GDPR a podle míry rizika odpovídajícím způsobem chránit data, která zpracováváte příslušnými nástroji
- Samozřejmě je naším společným cílem chránit co nejvíce všechna Vaše data, ale bohužel z charakteru služby není možné přenést povinnosti, které Vám stanoví GDPR, na hosting
Na co si dát pozor
Údaje vlastníka domény
- Pokud jste webdesignér nebo správce IT a zajišťujete registraci domén pro své klienty, zaměstnavatele apod. je nezbytné, abyste je seznámili se skutečností, že jejich údaje budou použity pro registraci domény a budou předány 3. stranám (registrátoři a registr domén).
- Vycházíme z toho, že provádíte registraci domény na základě plnění Vašich smluv a závazků s budoucím majitelem domény a na základě našeho smluvního vztahu my provádíme zpracování údajů vlastníka domény při registraci domény.
Zvláštní kategorie údajů a údaje dětí
- Obzvláště pozorní byste měli být při zpracování zvláštních kategorií údajů.
- GDPR definuje zvláštní kategorie údajů jako údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby
- Zpracování zvláštních kategorií údajů je obecně zakázané.
- Zvláštní kategorie údajů můžete zpracovávat pouze ve vyjmenovaných specifických případech, např. s výslovným souhlasem subjektu údajů, nebo pro účely plnění zákonných povinností v oblasti pracovního práva, např. v případě neziskových subjektů, zpracovávající údaje svých členů, nebo pro ochranu životně důležitých zájmů subjektů – typicky ve zdravotnictví, apod. (viz čl. 9 odst. 2 GDPR)
Předávání údajů 3. osobám a do 3. zemí
- Pozornost byste měli věnovat také předávání údajů dalším příjemcům a do 3. zemí
- Dalším příjemcem je dle GDPR jakýkoli subjekt, kterému osobní údaje předáte
- Pozor byste tak měli dát zejména u používání veřejných služeb, kam např. nahráváte emaily svých klientů apod.
- Obzvlášť opatrně byste měli postupovat při předávání osobních údajů do 3. zemí mimo EU (tedy zemí, které nejsou GDPR vázány). Typicky u analytických nástrojů, reklamních systému, sociálních sítí, mailingových služeb apod. dbejte na ověření, kde mají sídlo, abyste nezákonně nevydali osobní údaje subjektů údajů do 3. zemí bez jejich souhlasu (např. využívání widgetů Google, Facebook, služby typu Mailchimp apod.)
Schopnost doložit souhlas
- Zpracováváte-li osobní údaje na základě souhlasu subjektů, udržujte informaci o jejich získání, abyste byli schopni doložit získání souhlasu (typicky záznam o registraci uživatele, případně forma apod.)
- Povinnost „znovuzískání“ souhlasu – není potřeba, pokud jej již máte dle současné právní úpravy a pokud takovéto souhlasy současně splňují stejné podmínky, které vyžaduje GDPR.
Užitečné odkazy
- GDPR – https://eurlex.europa.eu/legal-content/CS/TXT/?uri=celex%3A32016R0679
- UOOU Desatero zpracování správce https://www.uoou.cz/desatero%2Dzpracovani%2Dpro%2Dspravce/ds4821/archiv=0&p1=3938
- UOOU Desatero omylů https://www.uoou.cz/desatero%2Domylu/ds4818/archiv=0&p1=3938
- UOOU GDPR a internetové obchody https://www.uoou.cz/internetove-obchody/d-27999/p1=4753
Časté dotazy a odpovědi
-
Jak máte zabezpečená citlivá data v e-mailech dle GDPR.
Emaily samotné nejsou šifrované z principu fungování e-mailové komunikace obecně a přístupu k datům z různých e-mailových klientů. Ochranu zajišťujeme zabezpečením e-mailových uložišt odpovídajícími organizačními i technickými opatřeními. V případě zpracování, které přináší riziko, doporučujeme použít dodatečnou ochranu na straně uživatele např. ve formě šifrování zpráv či např zipování a ošetření heslem příloh. E-mail obecně není vhodný nástroj na riziková zpracování osobních údajů. -
Zmiňujete v rámci nějakého prohlášení, že data uložená na serverech jsou chráněna a nikdo z vašich zaměstnanců k datům nepřistupuje bez vyžádání.
Ano viz tento článek a dále VOP platná od 24. 5. 2018 -
Potřebuji informace jaké prostředky jsou využity k ochraně dat i nějaké potvrzení kvůli případné kontrole o tom, zda jsou data na serveru ukládána a chráněna v souladu s GDPR.
Záruku zpracování v souladu s GDPR naleznete v našich VOP platných od 24. 5. 2018 -
Jakým způsobem budete řešit výmaz lidí, kteří si přejí být zapomenuti. Pokud subjekt zažádá, odstranění z aktuální databáze je na straně softwaru aplikace bezproblémové. Měl by se odstranit i z případných záloh. Existuje na to řešení.
Subjekt má právo být vymazán. Samo GDPR nestaví právo být vymazán absolutní prioritou nad ostatními právy. Např. pokud není možné z technických důvodů provést takový výmaz kvůli nákladnosti takového úkonu, pokud by tím došlo k porušení jiných zákonných povinností apod. U nás v praxi automaticky dojde k odrotování záloh a tím k naplnění práva výmazu (zálohy udržujeme měsíc zpět). -
Ve vztahu k nám vystupujete jako zpracovatelé osobních údajů našich zákazníků. Máte připravené smlouvy, které bude nutné mít podepsané do května?
Zpracovatelskou smlouvu mezi námi řeší aktualizované VOP platné od 24. 5. 2018. Žádné další smlouvy není nutné podepisovat. - Je legitimní z hlediska GDPR začlenění ustanovení zpracovatelské smlouvy do VOP poskytovatele?
Zařazením ustanovení zpracovatelské smlouvy do VOP postupujeme v souladu s právním výkladem GDPR, neboť písemně vymezujeme práva a povinnosti jak správce, tak zpracovatele, a obě strany tyto podmínky akceptují.
čl. 28 GDPR zmiňuje „smlouvu, či jiný právní akt“, nejedná se o zakotvení explicitního druhu smluvního vztahu. Smyslem a účelem čl. 28 GDPR tedy není formalizování kontraktačního procesu. Jedinou povinnou náležitostí je písemná forma právního aktu, přičemž za písemnou se považuje i forma elektronická (k výkladu písemné formy blíže viz ustanovení občanského zákoníku).
Trvání na výslovném pojmenovávání „zpracovatelských“ smluv a jejich samostatném uzavírání, by vedlo k nepřijatelné zátěži smluvních stran a přepjatému formalismu při výkladu GDPR. Podstatné je písemné zachycení vzájemných práv a povinností správce a zpracovatele.
Naše Všeobecné obchodní podmínky (VOP) jsou neoddělitelnou součástí společně uzavřené smlouvy a Objednavatel uzavřením smlouvy potvrzuje, že se se zněním VOP seznámil, a v tomto znění je přijímá (souhlasí, akceptuje). Jinými slovy se výslovně zavazuje postupovat za trvání smlouvy dle podmínek a ustanovení VOP. Přijetím VOP tak dochází ke zcela konkrétnímu, písemnému vymezení vzájemných práv a povinností na úrovni zpracovatele a správce (srov. § 1751 a násl. občanského zákoníku - „část obsahu smlouvy lze určit odkazem na obchodní podmínky, …které jsou stranám známy“.