Vnitřní předpis k ochraně osobních údajů (GDPR)

Vnitřní předpis k ochraně osobních údajů (GDPR)

Účelem vnitřního předpisu je implementace závěrů vnitřního auditu a zajištění souladu běžných činností daňové a účetní kanceláře EUREGNIA, s.r.o. (dále jen „daňový poradce“) s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 (dále jen „GDPR“).

1.DEFINICE ZÁKLADNÍCH POJMŮ

Osobní údaje jsou jakékoliv informace, jež se týkají fyzické osoby, kterou lze přímo či nepřímo identifikovat (zejména jméno a příjmení, rodné číslo či datum narození, údaje o vzdělání či rodinném stavu, podobizny či videozáznamy apod.).

1.1.Citlivé údaje, nebo též zvláštní kategorie údajů, jsou

1. údaje o zdravotním stavu;

2. biometrické údaje;

3. genetické údaje;

4. údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech a;

5. údaje o sexuálním životě nebo sexuální orientaci fyzické osoby.

Dotčená osoba (v terminologii GDPR subjekt údajů), je fyzická osoba, které se údaje týkají. Dotčenou osobou je tak například zaměstnanec klienta v rozsahu zpracování jeho osobních údajů v mzdovém účetnictví klienta či zaměstnanec daňového poradce v rozsahu vedení zákonem předepsaných agend. Dotčenou osobou jsou také rodinní příslušníci klienta, jejichž osobní údaje jsou obsaženy v podkladech zpracovávaných daňovým poradcem.

Zpracování osobních údajů je jakákoliv operace nebo soubor operací s osobními údaji, prováděné za určitým účelem či cílem. Není rozhodující, zda je příslušná činnost prováděna manuálně či automaticky, elektronicky či papírovou formou. Typickým zpracováním u daňového poradce je ukládání získaných osobních údajů v informačním systému (vytištění dokumentu a jeho založení do šanonu, založení příchozího e-mailu v poště, zapsání údaje do excel tabulky a její uložení na vnitřní server), třídění a výběr záznamů s osobními údaji v informačním systému nebo použití osobních údajů pro komunikaci (např. zaslání e-mailu na e-mailové adresy).

1.2.Správce osobních údajů je kdokoliv, bez ohledu na to, zda se jedná o fyzickou či právnickou osobu, kdo určuje účely a prostředky zpracování osobních údajů, resp. mu zpracování ukládá právní předpis. Správcem dle tohoto vnitřního předpisu je daňový poradce.

1.3.Zpracovatel osobních údajů je každý, kdo zpracovává osobní údaje pro účely stanovené správcem a podle jeho pokynů. Zpracovatelem může být právnická i fyzická osoba, není jím však zaměstnanec správce. Osoba, která má potenciální přístup k datům jiné osoby, ale není pověřena jejich zpracováním, není zpracovatelem. Jeden subjekt může být současně správcem i zpracovatelem (i týchž osobních údajů), pokud vykonává více rozdílných činností ve vztahu k osobním údajům. Zpracovatelem dle tohoto vnitřního předpisu je daňový poradce.

1.4. Při zpracování osobních údajů daňový poradce:

- vystupuje jako správce osobních údajů, a to zejména při zpracování daňového tvrzení dle obecných pokynů klienta a při poskytování ostatních služeb daňového poradenství;

- vystupuje jako zpracovatel osobních údajů, a to zejména při vedení účetních a mzdových agend klienta a při zpracování daňového tvrzení dle podrobných pokynů klienta;

- pro své běžné činnosti jako správce osobních údajů nepotřebuje souhlasy dotčených fyzických osob, své činnosti totiž vykonává na základě plnění smlouvy s klientem, sledování oprávněného zájmu a plnění svých zákonných povinností;

- má jako správce osobních údajů povinnost informovat klienty o zpracování osobních údajů například formou smluvního dokumentu či oznámení;

- uzavře s příslušnými klienty písemnou smlouvu o zpracování osobních údajů v případě, že vykonává činnosti jako zpracovatel osobních údajů;

- nemá pro své běžné činnosti povinnost jmenovat pověřence pro ochranu osobních údajů (DPO) a provádět posouzení vlivu na ochranu osobních údajů (DPIA).

2.ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

2.1.Při každém zpracování či jiném přístupu k osobním údajům respektuje daňový poradce soukromý a osobní život dotčených osob a veškerá jejich práva a oprávněné zájmy.

2.2.Daňový poradce vždy udržuje přiměřená technická a organizační opatření k zabezpečení osobních údajů, zejména

1. chrání osobní údaje před přístupem neoprávněných osob tím, že listinné dokumenty a datové nosiče s osobními údaji uchovává výhradně v uzamykatelných schránách přístupných pouze pověřeným pracovníkům a osobní údaje v elektronické formě výhradně v databázích přístupných pouze pověřeným pracovníkům na základě zadání jedinečného přístupového hesla a loginu (všechny pověřené pracovníky instruuje k dodržování bezpečnostních opatření, mj. aby listiny a datové nosiče nebyly nikdy ponechány bez dozoru),

2. chrání osobní údaje před náhodnou ztrátou či zničením pomocí přiměřeného užití postupů a zásad popsaných v předchozím bodě,

3. zajišťuje dostupnost osobních údajů v potřebném rozsahu zejména péčí o funkčnost a přehlednost databází.

2.3.Daňový poradce dokumentuje porušení zabezpečení osobních údajů a oznamuje je příslušným osobám.

2.4.Zpracování osobních údajů jako jejich správce provádí daňový poradce pouze pro dosažení jednoznačně vyjádřeného a zákonného účelu, a to pouze na základě řádného a dokumentovaného právního základu.

2.5.Osobní údaje jako jejich zpracovatel zpracovává daňový poradce pouze na základě písemné smlouvy s jejich správcem a v souladu s jeho pokyny, pokud mu jiné zpracování neukládá právní předpis.

2.6.Osobní údaje jako jejich správce daňový poradce shromažďuje pouze v rozsahu, který je zcela nezbytný pro dosažení konkrétního účelu zpracování, a uchovává je pouze po nezbytnou dobu. Po uplynutí doby nezbytné pro dosažení účelu osobní údaje vždy nevratně zlikviduje skartací listiny či vymazáním elektronického dokumentu. Udržuje přiměřená opatření, aby jím zpracovávané údaje byly přesné a nikoli zavádějící.

2.7.Dotčené osoby při shromažďování osobních údajů daňový poradce jako správce osobních údajů prokazatelně informuje zejména o tom, že jejich údaje bude zpracovávat, o účelu daného zpracování a o jejich základních právech.

2.8.Všem dotčeným osobám, jejichž údaje zpracovává daňový poradce jako správce, umožňuje využít jejich práva plynoucí z GDPR, zejména právo získat kopii osobních údajů, které jsou zpracovávány, a právo vznést námitku proti zpracování založeném na oprávněném zájmu. Žádosti a dotazy dotčených osob přijímá všemi běžnými komunikačními kanály. Žádosti uplatnění práva dotčené osoby vyřizuje v plném rozsahu, řádně a bez zbytečného odkladu, zpravidla do jednoho měsíce od obdržení.

3.PRAVIDLA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

3.1.Zákonnost a řádnost zpracování

4. Účely a právní tituly zpracování

   1. Zpracování osobních údajů může být prováděno pouze pro určité, výslovně vyjádřené a zákonné účely a musí být založeno na některém z právních základů (právních titulů) v GDPR uvedených. Pokud daňový poradce zpracovává osobní údaje jako správce, je povinen účely a právní základy určit a uvést je v záznamech o zpracování.

   2. Účely omezují rozsah zpracování, jednu sadu osobních údajů však lze zpracovávat i pro více různých účelů. Každý účel však musí mít svůj vlastní právní základ.

5. Daňový poradce jako správce osobních údajů

   1. Zpracování daňového tvrzení na základě obecných pokynů klienta (např. na základě pouhé obecné žádosti o přípravu daňového přiznání v souladu s právními předpisy), provádí daňový poradce tuto činnost z pozice správce osobních údajů a klient, pokud je fyzickou osobou, zde vystupuje v roli dotčené osoby. Účelem činnosti je zde zpracování daňového tvrzení klienta a právním základem zpracování je v tomto případě plnění smlouvy s klientem (pokud je klient fyzickou osobou) a oprávněný zájem ve vztahu ke statutárním zástupcům klienta jako právnické osoby a třetím osobám, jejichž údaje jsou obsaženy v podkladech pro zpracování daňového tvrzení (např. rodinní příslušníci klienta).

   2. Obdobně při poskytování jiné právní pomoci a finančně ekonomických konzultací ve věcech daní, odvodů, poplatků a jiných plateb, jakož i ve věcech, které s daněmi přímo souvisejí (dále jen „ostatní daňové poradenství“), jako jsou zastupování klientů před úřady, příprava stanovisek ke konkrétnímu problému klienta nebo poradenství klientům při kontrolách, provádí daňový poradce zpracování taktéž z pozice správce osobních údajů a klient zde vystupuje v postavení dotčené osoby. Účelem zpracování je zde poskytování daňového poradenství a poradce zpracovává osobní údaje klienta, který je fyzickou osobu, na základě plnění smlouvy s klientem. Osobní údaje statutárních zástupců klienta, který je právnickou osobou, a údaje třetích osob, jejichž údaje jsou obsaženy v podkladech pro poskytnutí daňového poradenství (např. rodinných příslušníků klienta, či jeho zaměstnanců), zpracovává poradce v tomto případě na základě oprávněného zájmu.

   3. Správcem osobních údajů je daňový poradce rovněž když zpracovává údaje pro plnění svých právních povinností, mj. vedení zákonem předepsaných agend týkajících se jeho zaměstnanců, vedení účetnictví a daňové evidence o vlastní činnosti či provádění identifikace klienta dle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu. Plnění právních povinností je zde účelem a současně právním základem takového zpracování.

   4. Jako správce na základě oprávněného zájmu daňový poradce zpracovává osobní údaje také za účelem ochrany vlastních právních nároků. K takovému zpracování dochází, např. když poradce po ukončení vztahu s klientem uchovává ve spisové evidenci doklady pro případ, že by klient rozporoval řádnost postupů poradce. To se může týkat jak osobních údajů, které daňový poradce v minulosti zpracovával jako správce, tak údajů, které zpracovával jako zpracovatel. Dotčenou osobou je zde klient, pokud je fyzickou osobou, statutární zástupce klienta, pokud je právnickou osobu, a třetí osoby, jejichž údaje byly obsaženy v podkladech pro poskytnutí daňového poradenství. Na základě oprávněného zájmu budou osobní údaje zpracovávány pouze do uplynutí promlčecích lhůt takových plnění.

Pokud daňový poradce zpracovává osobní údaje svých klientů-fyzických osob, popř. statutárních zástupců klientů-právnických osob, pro účely nabídky svých služeb, vystupuje rovněž v postavení správce. Takové zpracování může poradce provádět v základním rozsahu na základě svého oprávněného zájmu. Z tohoto titulu je poradce nicméně oprávněn kontaktovat pouze své stávající klienty (tedy ty, se kterými jej pojí, nebo do nedávna pojil obchodní vztah) a pouze v rozsahu, ve kterém lze marketingovou činnost důvodně očekávat (např. kontakt prostřednictvím e-mailu, ve kterém nabídne poradce klientovi své další služby, které s již poskytnutou službou souvisí).

Pokud poradce kontaktuje klienta s nabídkou elektronickými prostředky (např. e-mailem), musí mít klient možnost zpracování pro účely marketingu odmítnout, a to jak v průběhu zpracování (v každé zaslané zprávě), tak již při prvotním sběru předmětných údajů.¹ Obchodním sdělením je jakákoliv forma zprávy, určená k podpoře zboží, služeb nebo pověsti daňového poradce. (Příkladem obchodního sdělení může být nabídka souvisejících služeb daňového poradce, ale také newsletter obsahující informaci o účinnosti nové legislativy, týká-li se služeb daňového poradce. Obchodním sdělením však není provozní komunikace s klientem, např. informace o blížícím se konci lhůty, ve kterém má klient splnit určitou povinnost.) Každá taková zpráva rovněž musí být označena jak obchodní sdělení a musí být jasná totožnost jejího odesilatele. Tyto náležitosti upravuje též základní smlouva s klientem.

5. Jako správce na základě souhlasu dotčených osob daňový poradce zpracovává údaje v případech, ve kterých nelze využít žádný z výše uvedených důvodů (titulů) stanovených GDPR, např. při archivaci životopisů, které daňovému poradci poskytli uchazeči o zaměstnání, nebo při vytváření databáze nezasmluvněných obchodních partnerů.

6. Daňový poradce jako zpracovatel osobních údajů

   1. V případě, kdy daňový poradce vede klientovi účetnictví, popř. zpracovává jeho mzdovou agendu, vystupuje daňový poradce v pozici zpracovatele osobních údajů a klient v pozici správce osobních údajů. V těchto případech poradce zpracovává osobní údaje klienta a případných třetích osob (zaměstnanců, obchodních partnerů, nájemníků atd.) pouze na základě pokynů klienta. Za zajištění právního základu zde odpovídá, jakožto správce osobních údajů, klient.

   2. V pozici zpracovatele vystupuje daňový poradce rovněž v případě, kdy pro klienta zpracovává daňové tvrzení na základě komplexních a podrobných pokynů klienta. V těchto případech poradce rovněž zpracovává osobní údaje klienta a případných třetích osob (zaměstnanců, obchodních partnerů, nájemníků atd.) pouze na základě pokynů klienta. Za zajištění právního základu zde odpovídá, jakožto správce osobních údajů, klient poradce.

   3. Zákonné zpracování osobních údajů daňovým poradcem z pozice zpracovatele může probíhat pouze na základě smlouvy o zpracování osobních údajů uzavřené s klientem. Taková smlouva mezi klientem a poradcem musí zejména:

1. vymezovat předmět zpracování (typ osobních údajů, kategorie dotčených osob a účel zpracování);

2. upravovat součinnost poradce (bezplatně či za úplatu) při provádění auditů (a jiných forem dohledu nad zpracováním) správcem, při ohlašování bezpečnostních incidentů a při výkonu práv dotčených osob a;

3. stanovovat povinnost vymazat údaje po ukončení smlouvy (pokud zpracovatel nezpracovává dané údaje současně také jako správce).

3.2.Minimalizace údajů a omezení doby uložení

7. Daňový poradce zpracovává pouze takové údaje, které jsou potřebné, přiměřené a relevantní vzhledem k účelu, pro který jsou údaje zpracovávány, a pouze po dobu trvání tohoto účelu. Po naplnění všech účelů, pro které jsou příslušné údaje zpracovávány, zajišťuje výmaz těchto údajů. Za tímto účelem daňový poradce stanovuje lhůty pro výmaz.

8. Osobní údaje, které daňový poradce získá v souvislosti s poskytováním služeb daňového poradenství klientovi, uchovává poradce ve spisové evidenci pro účel ochrany svých právních nároků, a to po dobu poskytování daňového poradenství klientovi a následně nejdéle po dobu 10 let od jeho ukončení s ohledem na prekluzivní lhůty v daňovém řízení a 1 další rok s ohledem na možné opožděné uplatnění škody klientem. Běh této doby se staví, pokud klient u daňového poradce či u jiného orgánu či subjektu uplatní nárok na náhradu škody způsobené poradcem při poskytování daňového poradenství, nebo má poradce důvodné podezření, že by klient takový nárok mohl uplatnit. Toto ustanovení se uplatní bez ohledu na to, zda poradce zpracovává údaje pro klienta jako správce, či zpracovatel.

9. Údaje uchované ve spisové evidenci pro ochranu právních nároků daňový poradce nevyužívá k jiným účelům.

10. Údaje potřebné pro plnění svých právních povinností uchovává daňový poradce po dobu vyžadovanou právními předpisy, zejména zákonem č. 563/1991 Sb., o účetnictví, zákonem č. 235/2004 Sb., o dani z přidané hodnoty, a zákonem 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu.

11. Pro marketingové aktivity může daňový poradce osobní údaje klienta zpracovávat po dobu poskytování daňového poradenství klientovi a následně po přiměřenu dobu od jeho ukončení. Přiměřená doba závisí na uvážení daňového poradce a bude odpovídat době, po kterou klient může důvodně očekávat, že ho poradce bude s nabídkami oslovovat.

3.3.Přesnost zpracování

12. Poradce zpracovává údaje, které důvodně považuje za přesné a v případě potřeby zajišťuje jejich aktualizaci. Poradce je povinen přijmout rozumná opatření, aby osobní údaje, které jsou nepřesné, s přihlédnutím k účelům, pro které jsou zpracovávány, byly bezodkladně vymazány nebo opraveny, zejména klienta smluvně zavázat, aby poradci poskytoval pouze přesné údaje a v případě potřeby jej informoval o jejich změnách.

13. Povinnost aktualizace se netýká údajů, u kterých je nutné věrné dochování určitého historického stavu z důvodu ochrany právních nároků poradce.

3.4.Transparentnost zpracování a práva dotčených osob

14. Daňový poradce zajišťuje, aby dotčeným osobám bylo zřejmé, jaké osobní údaje a k jakým účelům zpracovává. Tyto informace musí být dotčené osobě jednoduše dostupné a měly by být podány jednoznačným a srozumitelným jazykem.

15. Daňový poradce jako správce osobních údajů své klienty-fyzické osoby a rovněž statutární zástupce klientů-právnických osob informuje o zpracování jejich osobních údajů, a to v okamžiku sběru jejich osobních údajů, typicky při uzavírání základní smlouvy, nebo ve vhodné době později (týká se např. stávajících aktivních klientů).

16. Třetí osoby, jejichž údaje jsou obsaženy v podkladech pro poskytnutí daňového poradenství (např. rodinné příslušníky klienta, či jeho zaměstnance), není poradce o zpracování jejich údajů povinen informovat, protože údaje nezískává přímo od těchto osob a takové informování by vyžadovalo nepřiměřené úsilí.² Poradce však poskytne obecnou informaci prostřednictvím svých internetových stránek.

17. V případě, že daňový poradce zpracovává osobní údaje jako správce, je povinen umožnit dotčeným osobám výkon práv, která jim GDPR přiznává.

18. Pokud daňový poradce zpracovává osobní údaje jako zpracovatel, není ve vztahu k těmto údajům povinen ani oprávněn žádosti dotčených osob vyřizovat, pokud tak nebylo ujednáno ve smlouvě s klientem. V rámci smlouvy s klientem však musí být upravena součinnost daňového poradce ve vztahu k žádostem dotčených osob, které obdrží klient.

19. Žádosti dotčených osob musí být vyřízeny nejpozději do jednoho měsíce od okamžiku jejich obdržení daňovým poradcem. Ve výjimečných případech lze s ohledem na složitost a počet žádostí prodloužit tuto lhůtu o další dva měsíce, v těchto případech je však nezbytné dotčenou osobu o prodloužení do jednoho měsíce informovat.

20. Výkon práv dotčených osob zajišťuje daňový poradce bezplatně, kromě případů opakovaných či zjevně nedůvodných a nepřiměřených žádostí. V takovém případě může daňový poradce vyhovění žádosti zpoplatnit nebo odmítnout žádosti vyhovět.

21. Při každé žádosti dotčené osoby je daňový poradce s ohledem na bezpečnost osobních údajů povinen přiměřeně ověřit její totožnost. V případě pochybností o původu žádosti, zejména v případě žádostí přijatých z neznámých e-mailových adres nebo telefonních čísel, je možné požádat o prokázání totožnosti osobně, o zaslání žádosti z datové schránky fyzické osoby či o jinou vhodnou formu potvrzení. Na nepotvrzené žádosti nebude daňový poradce reagovat, nejde-li např. pouze o námitku proti přímému marketingu.

22. Daňový poradce umožní dotčené osobě přístup k údajům, které o ní jako správce zpracovává, aby mohla zpracovávané osobní údaje zkontrolovat, a případně žádat jejich opravu, podat námitku proti zpracování nebo zažádat o výmaz údajů. V případě žádosti o přístup má klient právo být informován, jaké osobní údaje daňový poradce o dané dotčené osobě zpracovává. Pokud o to dotčená osoba požádá, je daňový poradce povinen dotčené osobě poskytnout též kopii osobních údajů, které o ní zpracovává v rozsahu, v jakém je tato žádost přiměřená.

23. Podá-li žádost dotčená osoba, která není klientem daňového poradce (např. zaměstnanec klienta), musí poradce posoudit, zda by zpřístupněním zpracovávaných osobních údajů této osobě neporušil závazek mlčenlivosti vůči klientovi, nebo zda by nedošlo k jinému zásahu do práv klienta. V případě existence závazku mlčenlivosti je před umožněním přístupu takové osobě nezbytné požádat klienta o zbavení mlčenlivosti a v případě, že klient daňového poradce mlčenlivosti nezbaví, žádost dotčené osoby zamítnout.

24. Pokud daňový poradce obdrží námitku dotčené osoby proti zpracování jejích osobních údajů na základě oprávněného zájmu, posoudí daňový poradce, zda jsou pro předmětné zpracování dány závažné oprávněné důvody převažující nad zájmy a základními právy a svobodami dotčené osoby. Závažné oprávněné důvody jsou dány zejména tam, kde údaje nejsou nepřiměřené a daňový poradce je potřebuje pro plnění právních povinností klienta (např. pro zpracování daňového tvrzení klienta), nebo pro ochranu svých právních nároků. Do doby vyřízení žádosti poradce omezí zpracování osobních údajů dotčené osoby v konkrétní situaci.

25. Pokud směřuje námitka proti zpracování za účely přímého marketingu (nabízení služeb poradce klientovi), poradce bez dalšího posouzení zpracování pro tento účel ve vztahu k dotčené osobě ukončí.

26. V případě, že daňový poradce obdrží od dotčené osoby žádost o opravu osobních údajů, které se jí týkají, ověří poradce přesnost zpracovávaných údajů a následně nepřesné údaje opraví nebo vymaže. Toto právo se nevztahuje na údaje, jež nepodléhají povinnosti aktualizace (tj. které musí zachycovat historický stav). Po dobu vyřizování žádosti rovněž poradce přiměřeně omezí zpracování osobních údajů.

27. Pokud daňový poradce obdrží žádost dotčené osoby o výmaz jí se týkajících osobních údajů, posoudí, zda existuje právní důvod pro zpracování těchto údajů, a v případě jeho neexistence údaje vymaže.

28. Pokud klient po dobu poskytování daňového poradenství požádá daňového poradce o přenos svých osobních údajů, je daňový poradce povinen údaje, jež mu klient poskytl a jež daňový poradce zpracovává v elektronické formě, poskytnout klientovi v obvyklé, strukturovaném a strojově čitelném formátu, popř. je na klientovu žádost předat jinému správci osobních údajů určenému klientem, např. jinému daňovému poradci.

3.5.Integrita a důvěrnost zpracování

1. Daňový poradce je povinen jím zpracovávané osobní údaje uchovávat a nakládat s nimi způsobem, který zajistí náležité zabezpečení a ochranu údajů (pomocí vhodných technických a organizačních opatření) před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením, a to jak z vnějšího prostředí, tak samotným poradcem či jeho zaměstnanci. Daňový poradce a jeho zaměstnanci zejména:

1. přistupují k osobním údajům pouze tehdy, pokud je to nezbytné k účelu příslušné činnosti zpracování, a nevyužívají údaje za jiným než vymezeným účelem;

2. nesdělují a nezpřístupňují osobní údaje a pro jejich ochranu přijatá bezpečnostní opatření neoprávněným osobám (např. známým, příbuzným apod.);

3. nevytváří neoprávněné kopie osobních údajů a neukládají osobní údaje na nezabezpečená zařízení a úložiště (např. soukromé USB disky, soukromá cloudová úložiště apod.), neponechávají listiny a nosiče bez dozoru, a;

4. bezodkladně řeší a případně též ohlašují všechna porušení zabezpečení osobních údajů.

1. V případě, že dojde k neoprávněnému či protiprávnímu zpracování osobních údajů, které daňový poradce zpracovává, jejich náhodné ztrátě, zničení nebo poškození (dále jen „porušení zabezpečení“), je daňový poradce povinen přijmout opatření k řešení takového porušení.

2. Daňový poradce ustanovuje osobou odpovědnou za řešení bezpečnostních incidentů svoji zaměstnankyni Vladimíru Jurákovou, email jurakova@euregnia.cz.

3. V případě, že má zaměstnanec daňového poradce podezření na porušení zabezpečení osobních údajů, je povinen toto podezření bezodkladně ohlásit odpovědné osobě.

4. Každé porušení zabezpečení je daňový poradce povinen přiměřeně dokumentovat.

5. Pokud poradce zpracovává osobní údaje jako správce a porušení zabezpečení pravděpodobně představuje riziko pro práva a svobody dotčené osoby (např. existuje riziko narušení její osobní cti, riziko majetkové újmy apod.), je daňový poradce povinen takové porušení zabezpečení bez zbytečného odkladu ohlásit Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“).

6. Pokud poradce zpracovává osobní údaje jako správce a porušení zabezpečení pravděpodobně představuje vysoké riziko pro práva a svobody dotčené osoby (např. existuje pravděpodobné riziko závažného narušení její osobní cti, riziko významné majetkové újmy, riziko diskriminace apod.), je daňový poradce povinen takové porušení zabezpečení bez zbytečného odkladu oznámit také dotčené osobě.

7. Pokud poradce zpracovává osobní údaje jako zpracovatel, oznamuje veškerá porušení zabezpečení takto zpracovávaných údajů bez zbytečného odkladu klientovi.

8. Součástí oznámení o porušení zabezpečení osobních údajů je popis povahy porušení zabezpečení, popis jeho pravděpodobných důsledků, popis opatření, které daňový poradce přijal za účelem vyřešení porušení zabezpečení. ÚOOÚ je třeba oznámit též přibližný počet dotčených osob, o jaké osoby se jedná, kategorie dotčených osobních údajů a přibližný počet dotčených záznamů.

3.6.Odpovědnost při zpracování

1. Daňový poradce je odpovědný za dodržování všech pravidel zpracování osobních údajů dle tohoto vnitřního předpisu a soulad s nimi musí být schopen prokázat. Soulad poradce prokazuje zejména závazným přijetím tohoto vnitřního předpisu a vedením záznamů o zpracování, to vše prostřednictvím ustanovené odpovědné osoby Vladimíry Jurákové, email jurakova@euregnia.cz.

2. Daňový poradce je povinen vést záznamy o zpracování osobních údajů pro všechny činnosti zpracování osobních údajů, které provádí systematicky. V záznamech o zpracovávání osobních údajů neuvádí poradce jako správce jednotlivě každý případ zpracování (např. každý spis), ale pouze typové činnosti zpracování osobních údajů. Pokud však klient vykonává činnosti jako zpracovatel (zejména vedení mzdového či finančního účetnictví), je povinen udržovat seznam, pro které z klientů jednotlivé činnosti jako zpracovatel vykonává, a na žádost tento seznam jako součást záznamů předložit ÚOOÚ.

3. Běžné činnosti daňových poradců nevyžadují jmenování pověřence pro ochranu osobních údajů (DPO), jelikož jejich hlavním předmětem není zpracování velkého rozsahu citlivých osobních údajů nebo údajů týkajících se trestných činů, ani rozsáhlé a systematické monitorování dotčených osob a nejsou tedy naplněny podmínky pro jmenování pověřence stanovené GDPR. V případě, že by v rámci své hlavní činnosti daňový poradce např. ve velkém rozsahu zpracovával údaje o zdravotním stavu, je nezbytné postupovat dle čl. 37 GDPR.

4. Při běžné činnosti daňového poradce nevzniká povinnost provést posouzení vlivu na ochranu osobních údajů (DPIA). V případě, že poradce zamýšlí nad rámec svých běžných činností zahájit po účinnost GDPR zpracování, které ze své povahy, rozsahu, kontextu a účelu představuje vysoké riziko pro práva a svobody dotčených osob, je povinen postupovat dle čl. 35 a násl. GDPR.

4.DALŠÍ POVINNOSTI PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

V případě, že při poskytování daňového poradenství dojde k předávání osobních údajů do zemí mimo Evropský hospodářský prostor, je nezbytné zajistit splnění podmínek dle čl. 44 až 49 GDPR.