Cookies už jen se souhlasem – upravte weby

Není to tak dávno, co jsme školili v organizacích a institucích, jak se co nejlépe vypořádat s GDPR a mimo jiné také s oznámením o používání cookies na webech. Málo kdo to měl tenkrát před naší intervencí správně. Uběhly tři roky a cookies je potřeba řešit znova. 

Poslanecká sněmovna schválila ve třetím čtení novelu zákona č. 127/2005 Sb., o elektronických komunikacích (dále jen „ZEK“). Návrh zákona jakožto sněmovní tisk 1084 ještě neprošel celým legislativním procesem, ale předpokládáme, že ke zdárnému konci dospěje vzhledem k tomu, že  je jeho účelem harmonizace české právní úpravy s evropským kodexem elektronických komunikací

Evropský kodex pro elektronické komunikace nahrazuje dosavadní předpisový rámec pro sítě a služby elektronických komunikací. Ten byl tvořen pěti směrnicemi (rámcovou, přístupovou, autorizační, o univerzální službě a tzv. ePrivacy) přijatými v roce 2002 a naposledy revidovanými v roce 2009. Evropský kodex většinu z těchto směrnic konsolidoval do jediné. Výjimkou je pouze ePrivacy směrnice, která i nadále zůstává v platnosti, a bude tak na elektronické komunikace dopadat spolu s evropským kodexem.

S plánovanou účinností od 1. ledna 2022 se podstatně zpřísní dosavadní pravidla používání cookies a jiných technologií, jež mohou ukládat údaje do zařízení uživatele nebo z něho číst informace (web beacony, trackovací pixely, web trackery a další). Pro zjednodušení budeme nadále v článku používat označení cookies, neboť se jedná o nejčastěji používanou technologii pro sledování uživatele.

Změna dopadne na každého, kdo provozuje webovou prezentaci nebo mobilní aplikaci a využívá různé statistické, analytické či marketingové nástroje a dosud setrvává v režimu opt-out pro používání cookies. Od ledna už totiž jiný režim než aktivní souhlas uživatele, tedy opt-in, nebude přípustný. 

Cookies jsou malé soubory ukládané do vašeho zařízení, jejichž primárním účelem je zajištění technického fungování webové stránky. (Bez nich by například e-shop při procházení jednotlivých stránek se zbožím nepoznal, že se stále jedná o stejného uživatele a s načtením každé další stránky by došlo k vymazání obsahu košíku.)
Cookies se však používají také pro statistické a analytické účely (měření návštěvnosti, sledování uživatele – jak se na webu chová, kam kliká) nebo pro marketingové účely, kdy jsou sledovány jeho zájmy podle v minulosti navštívených stránek s cílem generovat personalizovanou reklamu.

Zajímá vás, jak mít cookies pod kontrolou z pozice uživatele? Přečtěte si článek na našem blogu „Blokace cookies v prohlížeči„.

Podle stávajícího znění ZEK, §89, odst. 3 je „každý, kdo hodlá používat sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout“

Proto můžete na různých webech nebo v mobilních aplikacích vidět lišty, které upozorňují na používání cookies. Někdy jsou tyto informace uvedeny v patičce stránky nebo i na samostatné stránce.

Litera zákona hovoří rovněž o tom, že je provozovatel povinen poskytnout uživateli možnost odmítnout používání cookies, tedy umožnit mu opt-out. Jinými slovy je používání cookies (tedy i měření návštěvnosti a sledování pohybu uživatele na stránkách) možné do doby, než uživatel vyjádří svůj nesouhlas.

V tomto bodě došlo k nesprávné implementaci směrnice ePrivacy, které od její aktualizace v roce 2009 opt-out nestačí a požaduje, aby každý provozovatel webu získal aktivní souhlas uživatele s rozsahem a účelem zpracování, tedy opt-in. Mimochodem podobného omylu s opt-out se dopustili i Němci. U nás tento rozpor napraví zmiňovaná novela ZEK. Používání cookies či jiných technologií tak bude moci být aktivováno až na základě uděleného souhlasu uživatele, nikoliv v okamžiku navštívení stránky. Pasivita uživatele už nebude žádoucí. Skončí stávající praxe, kdy je za souhlas považováno i prosté pokračování v prohlížení webové stránky. 

Cookie lišta, se kterou se stále ještě na valné většině webů můžete setkat, neobsahuje aktivní předchozí opt-in souhlas uživatele, ba co víc, uživatel většinou ani nemá možnost uplatit opt-out a používání cookies odmítnout. Obvykle se jen z informačního textu dočtete, že jsou cookies používány a po kliknutí na tlačítko „Rozumím“ nebo „Souhlasím“ dojde k pouhému skrytí lišty, zatímco cookies se aktivovaly ihned po příchodu uživatele na webové stránky (bez ohledu na to, zda na tlačítko klikl nebo zůstal pasivní a nechal lištu lištou).

Bez souhlasu uživatele lze dle § 89 odst. 3 ZEK používat úzce vymezenou skupinu cookies. Zde se nic nemění. Povoleny jsou nezbytné cookies pro „technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací“ nebo „pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem“. Jinými slovy v pořádku jsou cookies používané pro správné fungování stránek nebo všelijaké chaty, které uživatel aktivuje pro komunikaci se zákaznickou podporou. Statistické, analytické či marketingové nástroje však mezi výjimkami nečekejte. 

Souhlas s používáním cookies by měl odpovídat požadavkům stanovených v GDPR. Musí být udělen dobrovolně (neměl by být vynucen například zablokováním přístupu k obsahu stránky ani by nemělo dojít k znepříjemnění používání webu, dokud uživatel souhlas neudělí). Mělo by být patrné, co je obsahem souhlasu, k čemu budou získaná data použita a komu jsou předávána (např. poskytovatelům reklamních systémů). Udělení souhlasu by mělo být stejně jednoduché jako jeho odvolání.

Uživateli by měly být k odsouhlasení předloženy všechny skupiny používaných cookies dle jejich účelu. Inspirovat se můžete například u ČSOB. Jedná se o tzv. granularitu souhlasu.

Každopádně je potřeba mít na paměti, že před udělením souhlasu není možné cookies používat. Tedy spolu s navštívením stránky nelze do zařízení uživatele cookies ukládat (vyjma nezbytných technických) a získané údaje zpracovávat, dokud k tomu sám uživatel nedá souhlas.

Na Internetu je několik online služeb, které vám zdarma (nebo za e-mailovou adresu) prověří, jak si váš web vede. Jaké cookies se snaží nasypat do zařízení uživatele, zda jsou cookies blokovány před udělením souhlasu uživatelem, nebo zda cookie lišta obsahuje všechny náležitosti. My používáme služby consentmanager.net a cookiebot.com

Francouzský dozorový úřad pro ochranu osobních údajů CNIL v loňském roce zjistil, že internetové stránky Googlu a Amazonu nepožádaly návštěvníky předem o souhlas s uložením reklamních cookies ani neposkytly jasné informace o tom, jak zamýšlejí získané informace použít, či jak mohou uživatelé cookies odmítnout. Obě společnosti si tak vysloužily vysokou pokutu – 100 milionů EUR Google a 35 milionů EUR Amazon. Více si můžete přečíst v článku serveru Novinky.cz.

V České republice zatím nebylo neoprávněné používání cookies pokutováno. Úřad pro ochranu osobních údajů nemůže otázku získávání souhlasů hodnotit z důvodu chybného převedení evropské směrnice do českého zákona, na což dlouhodobě upozorňoval ať už veřejně nebo přímo v protokolech o kontrolách. Ostatně režim opt-in byl do novely ZEK zařazen právě z iniciativy ÚOOÚ. Lze tedy očekávat, že po nabytí účinnosti novely už nebude při kontrolách zdrženlivý a pokuty začnou padat i u nás. 

Novela ZEK tímto dohání směrnicí ePrivacy zavedený evropský standard v přístupu ke cookies, což pro nás znamená významné zpřísnění pravidel. V budoucnu by však směrnici ePrivacy i transponovaná ustanovení ZEK mělo nahradit nařízení ePrivacy, které ve svém současném návrhu obsahuje podobnou úpravu opt-in, ale umožňuje použití některých cookies pro statistické účely bez souhlasu. Schválení tohoto nařízení však bylo již několikrát odloženo, do té doby je potřeba řídit se ustanoveními ZEK. 

S přípravami na nové znění zákona doporučujeme začít co nejdříve. 

Nastal čas na změnu…
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Neplaťte za každého uživatele – můžou jich být stovky

Zdá se, že už i malé a střední podniky pochopily, že se bez digitalizace neobejdou. Bohužel jim poskytovatelé nejrůznějších systémů, které by měly digitalizaci usnadnit, tak trochu hází klacky pod nohy svou cenovou politikou. Myslíme si, že není šťastné řešení nákup aplikace, systému, softwaru podmiňovat úhradou licence za každého jednotlivého uživatele. Nevyhnutelně to pak vede k selekci pracovníků, kteří budou se systémem pracovat.

U nás platíte za službu nebo za funkcionality, které využíváte. Nemusíte zvažovat, kterému uživateli zaplatíte přístup a kdo ho až tak moc nepotřebuje. Počet uživatelů ani připojených zařízení neomezujeme, protože si dobře uvědomujeme, že kdo přístup nemá, zůstává u papírové agendy. Pokud má systém přinést organizaci užitek, musí ho používat co největší počet zaměstnanců.

Digitalizujte s našimi aplikacemi.

Výhodou našich produktů je, že jsou plně online (v cloudu). Jestli je to úložiště DISQIE, podnikový informační systém QML nebo aplikace tvořené na míru našim klientům, je jedno, odkud k nim uživatelé přistupují. Cloudujte z kanceláře, od zákazníka, z mobilu, z domova či chalupy nebo klidně od rybníka. S našimi aplikacemi potřebujete jen zařízení připojené na Internet.

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Blokace cookies v prohlížeči

Cookies je potřeba mít pod kontrolou. Jste-li provozovatel webu, doporučujeme k přečtení naši novinku o tom, jak se s cookies vypořádat, aby bylo vše v souladu s platnou právní úpravou „Cookies už jen se souhlasem – upravte weby„. Jste-li uživatel, pojďme se spolu podívat, jak si nenatáhnout do prohlížeče víc cookies, než je potřeba.

Určitě se vám už při procházení webových stránek stalo, že na vás najednou vyskočilo oznámení, že máte v košíku e-shopu vložené zboží, tedy nedokončenou objednávku a přitom jste si ten nákup dávno rozmysleli a e-shop opustili. Ale stejně na vás v příštích dnech útočily bannery s nabídkou stejného nebo podobného zboží, které jste si prohlíželi…

Za to mohou cookies. Malé nenápadné soubory, které webové stránky ukládají do vašeho zařízení. Díky nim webové servery zjistí, že jste to vy a že se vracíte na nějaký web a zůstáváte přihlášení, nebo že máte v košíku e-shopu vložené zboží. Díky cookies se vám zobrazuje reklama dle vašich preferencí (podle toho, co jste si v minulosti prohlíželi, na co jste klikli). A díky nim také weby fungují, jak mají (nutné technické cookies). Bez cookies by se vám obsah košíku e-shopu vymazal s každou nově načtenou stránkou se zbožím, což by vám jistě příjemné nebylo.

Podle nově chystané právní úpravy by už nemělo být pro provozovatele webu tak jednoduché nasypat vám cookies do vašeho zařízení, jak tomu bylo dosud. Od ledna 2022 k tomu bude potřebovat váš předchozí souhlas. Pokud vás toto téma zajímá, doporučujeme k přečtení naši novinku Cookies už jen se souhlasem – upravte weby. Nicméně získání souhlasu neznamená nic jiného, než že nás cookie lišty budou na webech otravovat víc, než dosud.

Pokud jsou vám praktiky způsobené soubory cookies na obtíž, doporučujeme zaměřit se na to, k čemu vlastně dáváte souhlas. Provozovatelé by vám totiž měli umožnit zvolit, s čím souhlasíte a co už je pro vás nepřijatelné. Není rozumné slepě odklikávat tlačítko „Povolit vše“, neboť velmi často je součástí i souhlas s postoupením údajů, které o vás byly sesbírány, třetím stranám.

Nemůžeme vám správnou podobu žádosti o souhlas ukázat na našich webech, protože jsme se rozhodli cookies nepoužívat (vyjma těch nezbytných technických), ale můžeme doporučit stránky ČSOB. Koukněte na jejich verzi cookie lišty s vysvětlením k čemu které cookies používají.

Co dělat, když prostě není čas pročítat souhlasy? Když už teda musíte povolit vše, pak doporučujeme jednou za čas cookies z vašeho prohlížeče prostě vymazat (nebo ideálně s každým zavřením prohlížeče).

Rozhodně je také vhodné zablokovat cookies třetích stran.

Podívejte se, jaké možnosti nastavení nabízí váš prohlížeč (a nezapomeňte ani na mobilní telefony, tablety a jiná zařízení, která pro surfování na netu používáte). Chraňte své soukromí, nikdo jiný to za vás neudělá!

Firefox > Nastavení > Soukromí a zabezpečení

Chrome > Nastavení > Ochrana soukromí a zabezpečení

Buďte v bezpečí s Q – COM.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Bezpečnostní semafor pro měkké cíle

Měkké cíle se vyznačují  vysokou koncentrací osob a nízkou úrovní zabezpečení proti násilným útokům. V tomto ohledu se jedná o velmi specifický cíl, kdy zranitelnost návštěvníků a zaměstnanců je vysoká a hodnota, kterou představují pro své rodiny, ale i pro společnost jako celek, nevyčíslitelná.

Bohužel útoky s cílem způsobit co nejvyšší škody hlavně na lidských životech, jsou reálné už i v České republice. Je potřeba začít se těmito riziky zabývat a být na ně připraven.

Našim dílem je bezpečnostní semafor, který jsme zavedli u našeho významného klienta s velmi vysokou koncentrací osob.

Jedná se o systém vyhlašování stupňů ohrožení v areálu klienta, které jsou vizuálně odlišeny barvami – zelený, žlutý, oranžový a červený stupeň. Takto řídíme režim chodu celé společnosti od stavu bezpečí až po přímé ohrožení ve všech oblastech bezpečnosti (fyzická, IT, kybernetická, ochrana osobních údajů, požární, atd.)

Informace o aktuálním stavu bezpečnostního semaforu je vhodným způsobem předávána nejen zaměstnancům, ale i návštěvníkům klienta.

Jednotlivé stavy jsou určovány na základě aktuální bezpečnostní situace u klienta a v České republice.

Buďte i vy v bezpečí s našim semaforem.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Vývojář PHP

Hledáme nadšeného kolegu nebo kolegyni s chutí společně vyvíjet náš webový informační systém. Dosažené vzdělání u nás nerozhoduje, zásadní je chuť do práce, ale znalost PHP nutná!

Kromě PHP budeš potřebovat i znalost MariaDB/MySQL a HTML. Trochu CSS a JavaScriptu se bude hodit také. Ideálně i znalost nástrojů potřebných pro vývoj aplikací pro Android (ale není nutné). Nehodíme Tě rovnou do vody, začneš pozvolna. Zkušenější kolegové Ti ochotně pomůžou a poradí.

Nabízíme:

remote work/homeoffice,

práci na zajímavých projektech, která Tě bude těšit,

příjemné pracovní prostředí v dogfriendly kanceláři v centru Brna.

Benefity:

homeoffice,

25 dnů dovolené + 3 sickdays,

příspěvek na penzijní připojištění,

příspěvek na dovolenou/fitko/masáže/kulturu,

odměna za získání zakázky,

DISQIE 50 GB,

další.

Práce je vhodná i pro šikovného studenta či rodiče na rodičovské dovolené. Chápeme, že máš zkoušky nebo malé dítě či zrovna řešíš klacky, které Ti život hodil do cesty. U nás je vše otázkou domluvy. Nemáme pevnou pracovní dobu, ale dbáme na kvalitně odvedenou práci v termínu.

Obor: IT

Nástup: ihned

Pracovní úvazek: plný nebo částečný

Místo: Tkalcovská 14, Brno/remote work

Chystá se zákon o ochraně oznamovatelů

Také máte kamaráda, který ví o porušování předpisů ve firmě, ve které pracuje, a má obavy se někomu svěřit? Nechce, aby se o něm mluvilo jako o práskači, udavači nebo bonzákovi. To je u nás bohužel zakořeněný pohled na věc. Ve světě je však takový člověk označován pojmem whistleblower. Tedy někdo, kdo hvízdá na píšťalku. 

Whistleblower je osoba, která přinese jakýkoliv důkaz o podvodu, zneužití moci, postavení, vlivu, nebo korupčního jednání.

Bez takových oznamovatelů by nikdy nikdo nebyl upozorněn na pletichy s veřejnými zakázkami, poškozování spotřebitele, záměrné nedodržování technologických postupů, či na ilegální prodeje zbraní, narkotik, praní špinavých peněz nebo úplatkářství. Mezi nejznámější whistleblowery patří biochemici, manažeři, politici nebo bývalí zaměstnanci. 

Náš výše zmíněný kamarád Filip se obává oprávněně. Nebude se mu vedení za takové oznámení mstít? Koho si nechají? Šéfa, který manipuluje s veřejnými zakázkami nebo zaměstnance, který to vynesl na světlo? Kdo chce udavače v kolektivu? Kdo se za něj postaví? 

Naštěstí se Filipovi a všem, kteří se bojí promluvit blýská na lepší časy. Poslanecká sněmovna aktuálně projednává návrh zákona o ochraně oznamovatelů, který předložilo Ministerstvo spravedlnosti.

Ano, snaha o zákonnou úpravu whistleblowingu zde již v minulosti byla, nyní se však jedná o povinnou transpozici směrnice Evropské unie č. 2019/1937 o ochraně osob, které oznámily porušení práva Unie. Implementace směrnice musí být provedena do 17. prosince 2021. Ke stejnému datu je navržena i účinnost české zákonné úpravy.

Cílem je ochránit lidi, kteří v práci zaznamenají nějaké protiprávní jednání a oznámí ho. Zaměstnavatelé s více než 25 zaměstnanci, ale také veřejní zadavatelé (s výjimkou malých obcí) a další zákonem vymezené osoby, budou muset do 31. března 2022 povinně zavést vnitřní oznamovací systém. Tedy nastavit kanál pro přijímání oznámení od svých zaměstnanců o možném porušování práva v organizaci. Vnitřní oznamovací systém budou moci podniky s méně než 249 zaměstnanci i sdílet.

Každé oznámení bude potřeba pečlivě prošetřit, přijmout a zdokumentovat kroky k nápravě protiprávního stavu a hlavně zabránit odvetným opatřením proti oznamovateli (ukončení pracovního poměru, snížení platu či mzdy, kázeňský trest, přeložení na jiné místo atd.). Systém musí především utajit totožnost oznamovatelů.

Zákon pamatuje také na externí oznamovací kanál, který bude pravděpodobně spravovat Ministerstvo spravedlnosti. Pokud nebude zaměstnanec důvěřovat interním postupům, bude se moci na ministerstvo obrátit. Dotčená organizace pak bude povinna oznámení prošetřit a o výsledku ministerstvo informovat. 

Rovněž bude potřeba určit osobu, která bude mít agendu na starost a náležitě ji vyškolit. Koordinátor oznámení (Whistleblowing officer) nesmí být postihován za výkon své funkce a bude:

Q - COMpřijímat a posuzovat důvodnost oznámení;
Q - COMnavrhovat opatření k nápravě nebo k předejití protiprávního vztahu;
Q - COMvázán ze zákona mlčenlivostí, a to i po ukončení výkonu činnosti;
Q - COMpostupovat nestranně.

Na Internetu bude nutno uveřejnit způsob oznamování prostřednictvím vnitřního oznamovacího systému, kontakt na pověřenou osobu a také informaci o možnosti obrátit se na ministerstvo. Oznamovatel bude moci oznámení učinit písemně či ústně a má právo být do třiceti dnů od oznámení informován o výsledku šetření.

Oznamovatel bude moci své podezření také zveřejnit a v některých případech bude i tak podléhat zákonné ochraně před odvetnými opatřeními.

Rovněž je potřeba myslet na to, že bude nezbytné celý proces dokumentovat – tedy zanalyzovat oblasti, kterých se nová povinnost týká, následně proces popsat (směrnice), zavést elektronickou evidenci učiněných oznámení (oznámení uchovat po dobu 5 let od přijetí) a způsobů jejich prošetření a v neposlední řadě patřičně informovat zaměstnance.

Q – COM má know-how, vy máte nás!

Q - COMZajistíme implementaci vnitřního oznamovacího systému, včetně integrace do stávajícího systému řízení.
Q - COMPřipravujeme online nástroj pro Whistleblowing (podání oznámení, evidence, zaznamenání následného řešení).
Q - COMZaškolíme Koordinátora oznámení.
Q - COMZajistíme outsourcing Koordinátora oznámení.

Kdo bude chtít druhou stranu poškodit a vědomě podá nepravdivé oznámení, zapláče, až mu bude udělena pokuta až do výše 50.000 Kč.

Lépe na tom nebude ani Koordinátor oznámení (Whistleblowing officer), který by snad své povinnosti bral na lehkou váhu, oznámení patřičně neprošetřil, prozradil totožnost oznamovatele nebo snad ohrozil či zmařil účel oznámení. Následoval by trest v podobě pokuty až 100.000 Kč.

Zaměstnavatel, kterého by snad napadlo nezabývat se povinnostmi, které mu nový zákon bude ukládat, se vystavuje riziku udělení pokuty do výše 1.000.000 Kč nebo 5 % z čistého obratu. Pokuta může být udělena pokud:

Q - COMnezabrání odvetným opatřením vůči oznamovateli a dalším zainteresovaným osobám;
Q - COMnezveřejní informace o způsobech oznámení a kontakt na pověřenou osobu;
Q - COMneumožní podání oznámení prostřednictvím vnitřního oznamovacího systému
Q - COMnezajistí přijetí vhodných opatření k nápravě nebo navržená opatření neprovede;
Q - COMneurčí pověřenou osobu či jejího náhradníka nebo jí nezajistí podmínky pro výkon činnosti;
Q - COMnezajistí prošetření důvodnosti oznámení či dodržení mlčenlivosti atd.
V rámci dobrých vztahů si na závěr dovolíme jednu radu. Nespoléhejte na to, že téma whistleblowingu vyšumí. Buďte připraveni! Q – COM bude sledovat, jak se přijetí zákona vyvíjí a včas vám dá vědět, až bude potřeba začít jednat. 

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Legitimace a souhlas s kopírováním dokladů

Doklad totožnosti za účelem legitimování naší osoby vytahujeme čím dál častěji. Někdy do něj dotyčný jen nahlédne, jindy jsou z něj opsány údaje nebo je pořízena jeho kopie. Pojďme se podívat, kdy máme povinnost prokazovat svou totožnost, zda musíme souhlasit s kopírováním dokladu a jak se případně můžeme bránit.

K tomuto tématu nedávno zveřejnil Úřad pro ochranu osobních údajů poměrně rozsáhlý dokument Prokazování totožnosti a zpracování osobních údajů . My vám přinášíme to nejdůležitější obohaceno o náš pohled. 

Občanský průkaz je dle zákona č. 328/1999 Sb., o občanských průkazech veřejnou listinou, kterou občan prokazuje svá jména, příjmení, podobu, státní občanství a další údaje. Ještě letos se pravděpodobně začnou vydávat občanské průkazy s čipy, které budou povinně obsahovat také biometrické údaje – kromě fotky i dva otisky prstů. 

Povinnost vlastnit občanský průkaz má každý, kdo dosáhl věku 15 let. Mezi lidmi je hluboce zakořeněná povinnost nosit občanský průkaz neustále u sebe, avšak zákon, který takovou povinnost určoval, byl v roce 2000 zrušen.

Je-li to druhou stranou akceptováno, lze jako průkaz totožnosti využít i cestovní doklad (obsahuje-li fotografii držitele) nebo jiný doklad, například řidičský průkaz či služební průkaz. Totožnost však v určitých případech můžete prokázat i různými potvrzeními, jejich kombinací, nebo i prohlášením třetí osoby, která dosvědčí vámi uvedené nacionále.

Prokázání totožnosti vůči orgánům veřejné moci je zákonná povinnost občana.

Policie České republiky je oprávněna požadovat prokázání totožnosti. Podle zákona o Policii ČR však rozsah a způsob zjišťování osobních údajů musí být přiměřené účelu zjišťování totožnosti. 

Koho by snad napadlo vzdorovat či svou totožnost na místě prokázat nemohl (za to, že u sebe nemáte doklady nemůžete dostat pokutu), je policista oprávněn odpůrce předvést na policii za účelem zjištění jeho totožnosti dle evidencí, sejmutím otisků prstů, zjišťováním tělesných znaků, měřením těla, pořizováním obrazových, zvukových a jiných záznamů či odebíráním biologických vzorků. 

Obdobná oprávnění mají i příslušníci některých jiných bezpečnostních sborů (vojenská policie, příslušník hasičského záchranného sboru atd.) či strážník dle zákona o obecní policii. 

Zjišťovat totožnost však mohou i další orgány veřejné moci na základě příslušných zákonů například podle daňového řádu, kontrolního řádu, zákona o inspekci práce, zákona o rybářství, zákona o ochraně přírody a dalších. 

Totožnost účastníků soudního řízení ověřují soudy. Stejně tak je potřeba prokázat správním orgánům totožnost účastníků správního řízení.

V některých případech máme zákonnou povinnost prokázat svou totožnost také vůči fyzickým či právnickým osobám, bez jejíhož splnění by nebylo možno uplatnit určité právo či poskytnout nějakou službu.

Zákonnou povinnost identifikovat klienta mají povinné osoby – banky, investiční společnosti, pojišťovny, auditoři, daňoví poradci, účetní – podle zákona o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (dále jen zákon č. 253/2008 Sb.). 

Svou totožnost musíme jakožto volič prokázat volební komisi, jsme-li pacient, prokazujeme ji zdravotnickému pracovníkovi, totožnost prokazujeme také při výkupu kovového odpadu, do kasina nás bez tohoto úkonu nepustí a zariskujeme-li cestování v roli černého pasažéra, prokazujeme svou totožnost osobě pověřené ke kontrole. Stejně tak účastníci dopravní nehody by neměli odmítnout vzájemnou legitimaci. 

Uzavírání řady smluv se také neobejde bez prokázání totožnosti.

Stejně tak může být oprávněný i požadavek na prokázání totožnosti návštěvníka objektu – výrobní haly, skladu, kancelářské budovy, areálu školy apod. Můžeme být vyzváni k předložení občanského průkazu, služebního průkazu či jiného odpovídajícího dokumentu (třeba předvolání). 

Nezřídka dochází k zaznamenání osobních údajů návštěvníka. Obvykle z bezpečnostních důvodů pro případ vzniku mimořádné události a potřeby následné identifikace návštěvníka.

Správce osobních údajů by měl dle GDPR dbát na minimalizaci osobních údajů. Lze zaznamenat jméno a příjmení návštěvníka, číslo a typ předkládaného dokladu, účel návštěvy či jméno navštívené osoby. Je však nezbytné informovat návštěvníky proč, jakým způsobem a po jakou dobu budou jejich osobní údaje zpracovávány. 

Pořizování kopií dokladů totožnosti je poměrně častý jev, byť ve většině případů by mělo stačit jejich pouhé předložení a případné zaznamenání (opsání) nezbytných údajů. Ani orgány veřejné moci při kontrole totožnosti fyzické osoby zpravidla kopii občanského průkazu či cestovního dokladu nepotřebují a ani zákon jim takový postup neukládá.

Zákonem stanovené pořizování kopií těchto dokladů je spíše výjimečné. Kopie se například přikládá k žádosti o ověření rodného čísla.  Kopie či výpisy z předložených dokladů mohou pořizovat povinné osoby dle zákona č. 253/2008 Sb. Kromě bank, dalších finančních institucí, pojišťoven, notářů patří mezi povinné osoby také obchodníci s uměleckými díly či bazary a zastavárny. Nicméně zákonná povinnost zpracovávat kopie průkazu totožnosti je těmto osobám dána pouze v případech, kdy dochází k uzavření smlouvy bez fyzické přítomnosti klienta (například při sjednání bankovního účtu na dálku – online). Jinak by pořizování kopií nemělo být plošné, ale v konkrétních případech odůvodněné (například při podezření na možné porušování zákona).  

Vzhledem ke zneužitelnosti občanského průkazu (případně cestovního dokladu) stanoví příslušné zákony zákaz pořizovat jakýmikoliv prostředky kopie těchto průkazů bez prokazatelného souhlasu občana, kterému byl průkaz vydán. Z praxe však víme, že poskytnutí některých služeb je podmiňováno souhlasem s pořízením kopie průkazu totožnosti. Takový souhlas však není získán v souladu s GDPR, neboť nenaplňuje podmínku svobodného projevu vůle.  

Neoprávněné pořízení kopie občanského průkazu nebo cestovního dokladu je v současné době přestupkem fyzické osoby, která kopii pořídila (byť se tak stalo na základě rozhodnutí zaměstnavatele/právnické osoby) a tento přestupek projednává příslušný obecní úřad. Aktuálně se však projednává novela zákona o občanských průkazech, kde se už počítá s tím, že za takové jednání bude moci být postihnuta i právnická osoba. Nicméně z pohledu GDPR je za správné (a minimalistické) zpracování osobních údajů odpovědný správce, tedy ve zmíněném případu právnická osoba. Tento přestupek patří do agendy Úřadu pro ochranu osobních údajů.

Pozor na pořizování kompletních kopií dokladů a jejich ukládání do evidence. Mohou obsahovat i další osobní nebo i citlivé údaje, které nejsou nezbytné pro daný účel a došlo by tak k porušení zásady minimalizace zpracovávaných údajů. Zde se pak jedná o zpracování osobních údajů na základě souhlasu se zpracováním osobních údajů ve smyslu GDPR (tedy svobodný, konkrétní, informovaný a jednoznačný). 

Možné porušení zásady minimalizace i v případě osobních dokladů bývá někdy řešeno pořízením kopie pouze části dokladu se zakrytím nepotřebných údajů např. pomocí šablony, což je akceptovatelné (např. při uzavírání soukromoprávních smluv).

Přestupky proti zpracování osobních údajů projednává Úřad pro ochranu osobních údajů.  

Proto jsme-li žádáni o umožnění pořízení kopie svého průkazu totožnosti, měli bychom se zajímat, zda je požadavek vznášen na základě zákona nebo na základě dobrovolného souhlasu. Rovněž by nám nemělo být lhostejné, jaké jsou pro to důvody a případné následky odmítnutí. Není-li pořízení kopie pro ověření totožnosti nezbytné, mělo by stačit pouhé nahlédnutí do dokladu či zaznamenání příslušných údajů. 

Pokud byla kopie občanského průkazu nebo cestovního dokladu pořízena neoprávněně, obraťme se se stížností na příslušný obecní úřad s rozšířenou působností. Máme-li podezření na porušení zásady minimalizace (například při ukládání kompletních kopií), jedná se o porušení GDPR, což přísluší k posouzení Úřadu pro ochranu osobních údajů. 

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Testování zaměstnanců – GDPR a odpady

Množí se nám s dotazy, jak se ve firmě postavit k povinnému testování zaměstnanců. Co na to GDPR? A kam s odpadem? 

Povinnost testovat zaměstnance na přítomnost nákazy COVID-19 je zaměstnavatelům nařízena mimořádným opatřením Ministerstva zdravotnictví MZDR 47828/2020-16/MIN/KAN . Přestože se týká zaměstnavatelů s více jak padesátkou zaměstnanců, dá se do budoucna očekávat, že tato povinnost bude rozšířena i na menší společnosti.

Při plnění uložené povinnosti zajišťovat testování zaměstnanců dochází ke zpracování osobních údajů. Zaměstnavatel je v tomto případě správcem a nepotřebuje souhlas zaměstnance. Záznamy o provedených testech u jednotlivých zaměstnanců pořizuje z důvodu zákonné povinnosti a veřejného zájmu v oblasti veřejného zdraví. Jen je potřeba dát pozor na rozsah evidovaných údajů. 

Na webu Ministerstva průmyslu a obchodu je zveřejněn vzor přehledu o provedených testech . Tyto záznamy mohou obsahovat jméno, příjmení, číslo pojištěnce, údaje o zdravotní pojišťovně, údaje o čase provedení testu a výsledku, případně je možno uvést důvod výjimky z testování. Vyjádření Úřadu pro ochranu osobních údajů k povinnosti evidovat testy naleznete zde 
Pozor, pracujeme se zvláštní kategorií osobních údajů (citlivé údaje), které vyžadují důsledné zabezpečení a rozhodně není možné tyto údaje uchovávat po neomezeně dlouhou dobu.

Evidence by měla být zpřístupněna pouze osobám, jež zaměstnavatel pověřil plněním úkolů spojených s dodržováním mimořádného opatření. 

Co se předávání těchto údajů týče (například pojišťovnám), nepředejme více, než co je požadováno. Informaci o pozitivním testu by měl sám zaměstnanec, jehož se výsledek týká, hlásit praktickému/podnikovému lékaři či jinému poskytovateli zdravotních služeb nebo orgánu hygieny.

Doba, po kterou je nutno vést a uchovávat evidenci, stanovena nebyla.
Z logiky věci je však potřeba ponechat si ji po dobu účinnosti mimořádného opatření k provádění povinného testování zaměstnanců a pro případné kontroly zpracování plateb a nároků, které mohou v důsledku testování vzniknout. Po této době musí následovat fyzická i elektronická likvidace údajů. 

Nezapomínejme, že i v tomto případě jsme povinni zaměstnance informovat o tom, kdo jeho osobní údaje zpracovává, komu budou předávány (např. zdravotním pojišťovnám, orgánům ochrany veřejného zdraví), jaký je právní základ tohoto zpracování a po jakou dobu budou údaje uchovávány. Rovněž mu nesmíme zatajit informace o druhu a povaze testů či způsobu testování.

Na závěr je potřeba zdůraznit, že i toto zpracování by mělo být vedeno v záznamech o činnostech zpracování dle článku 30 obecného nařízení. 

Druhý dotaz našich klientů se týká likvidace kontaminovaného materiálu z antigenních testů. Ministerstvo životního prostředí k této problematice vydalo metodické sdělení , které tento odpad zařazuje jako směsný komunální odpad pod katalogové číslo 20 03 01. Je však potřeba dodržet určité postupy při manipulaci s tímto odpadem:

Veškerý odpad z testovacích výrobků ukládejte do pevného plastového pytle určeného na odpady o minimální tloušťce 0,2 mm (u tenčích pytlů obal zdvojte).
Po naplnění pytle (nejpozději do 24 hodin) pytel pevně zavažte a na povrchu ošetřete dezinfekčním prostředkem.
Pytel odložte do černého kontejneru na směsný komunální odpad. Nikdy odpad nenechávejte mimo sběrnou nádobu!
Po manipulaci s odpadem si důkladně umyjte ruce mýdlem a teplou vodou nebo použijte dezinfekci. 
Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Se značkou Q – COM to myslíme vážně

13. ledna 2021 bylo Úřadem průmyslového vlastnictví vydáno Osvědčení o zápisu ochranné známky Q – COM.

Společnost Q – COM má výlučné právo ochrannou známku používat pro označení obrazového loga společnosti. Může také používat symbol Ⓡ, tedy “registered”, který symbolizuje zapsanou známku. Bez jejího souhlasu nesmí nikdo jiný stejnou nebo zaměnitelnou ochrannou známku používat.

Značka Q – COM má na trhu jistou tradici a nemalou hodnotu. Jednoho dne se bude vyjímat v žebříčku nejlepších globálních značek . Neboť jak řekl Svatopluk Čech: „Sláb jenom ten, kdo v sebe ztratil víru, a malý ten, kdo zná jen malý cíl.“

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.

Den bezpečnějšího internetu 2021

SaferInternetDay
SaferInternetDay
Den bezpečnějšího internetu se připomíná druhé úterý v únoru už od roku 2004 a jen v loňském roce se do něj zapojilo 170 zemí po celém světě. V letošním roce připadá na 9. února 2021.
Pod heslem „Společně pro lepší internet“ vyzývá všechny zúčastněné strany, aby se spojily a připomenuly všechny aktivity, které mohou pomoci udělat internet lepším a bezpečnějším místem. Koordinátorem tohoto dne pro Českou republiku je národní Safer Internet centrum, které spravuje sdružení CZ.NIC .
Do této akce jsme se rozhodli zapojit i my ze společnosti Q – COM, která je již více než 20 let předním českým poskytovatelem konzultačních, analytických a auditních služeb v oblasti řízení podniků a informačních technologií.

Aktuálně žijme všichni více v online světě než offline. Prostřednictvím internetu komunikujeme, nakupujeme, platíme, zveřejňujeme o sobě tunu informací a ani si neuvědomujeme, že se vystavujeme obrovskému množství rizik.

Chceme-li něco naučit děti, je potřeba vysvětlovat, ukazovat, sami se tak chovat. Chceme-li něco naučit jejich rodiče, naše zaměstnance, vzdělávejme je!

Vzdělávejme zaměstnance!
Vzdělávejme sami sebe!
Kdy jindy, když ne teď?

Jdete do toho s námi? 
Třeba prostřednictvím školení a kurzů, které připravujeme dle vašich požadavků. Jsme akreditovanou společností pro vzdělávání. Kurzy realizujeme online nebo prezenčně ve vaší organizaci (pokud to situace dovoluje). Zajišťují je naši lektoři s dlouholetou praxí v oboru. Nač jsou zaměřeny?

Q - COMObecné internetové bezpečnosti
Q - COMSprávy hesel
Q - COMCloudů a jejich bezpečnosti
Q - COMPhisingů, virů a kyberútoků
Q - COMOchrany osobních údajů
Q - COMeGovernmentu a datových schránek
Q - COMElektronického podpisu
Q - COMÚvodu do šifrování
Q - COMSociálních sítí

Již několikátým rokem zdarma zasíláme našim klientům, ale i zaregistrovaným odběratelům nepravidelné informační emaily týkající se problematiky informační bezpečnosti, GDPR či jiných zajímavostí z oblasti řízení podniků a informačních technologií.

I vy a vaši kolegové se můžete zaregistrovat k odběru a naše novinky využívat třeba pro školení svých zaměstnanců, jako to již činí mnozí jiní.

V minulosti jste si mohli přečíst:
Den ochrany osobních údajů 2021

Jak to v České republice vypadá s certifikací GDPR. Jaké byly uděleny nejvyšší pokuty za porušení GDPR, proč se mluvilo o štítu soukromí EU – USA a jaký režim GDPR bude nadále panovat ve Velké Británii.

Co čekat od digitalizace a jakou mají malé a střední podniky výhodu proti velkým společnostem. V čem spatřujeme budoucnost digitalizace a představili jsme Pozoruhodný produkt 2021.

Informovali jsme o uniku emailových adres a hesel, který se týká i občanů České republiky. Zároveň jsme zveřejnili návod, jak zjistit, zda se únik týká právě vašich údajů.

Zveřejnili jsme návod co dělat, když byly naše údaje kompromitovány. Jak dál postupovat a jak se takovému problému do budoucna vyhnout. Odpověděli jsme na otázku, proč se kradou hesla.

Nabádali jsme k obezřetnému chování v online světě, ale i když jsme online. Vypíchli jsme několik důležitých zásad, kterými je vhodné se řídit ať už doma, v práci nebo ve škole.

Vybrané novinky zveřejňujeme také na našich sociálních sítích.

V rámci naší podpory při provozování již zavedeného systému řízení bezpečnost informací (ISMS) nebo při přípravě na audit ISMS či certifikaci GDPR (více na našich stránkách ) poskytujeme na poli informační bezpečnosti tyto služby:

Q - COMPraktické prověření zaměstnanců (sociální inženýrství) a rozbor závěrů.
Q - COMPraktická analýza bezpečnosti a prezentace výstupů.
Q - COMŠkolení informační bezpečnosti. 

Myslíte to s bezpečností vážně? Garantujte ji také svým zákazníkům – implementujte a certifikujte systém řízení bezpečnosti informací dle ISO 27001 (ISMS).

#SaferInternetDay

Starosti vyřešíme za vás.
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.