Troufnu si tvrdit, že malý ISP žádný souhlas nepotřebuje.
O zákaznících evidujeme osobní údaje nezbytné pro smluvní vztah (jméno, příjmení, dat. nar., trvalé bydliště) a dále nutné pro zajištění provozu služby (telefon, mail, adresa místa instalace). Z daty pracujeme pouze v rozsahu nezbytném pro poskytnutí naší služby, přístup k nim mají administrativní pracovníci (za účelem administrativy) a technici (za účelem zajištění servisu). Data (kontakt) využíváme i pro direct marketing (občasné newslettery).
O dodavatelích a dalších partnerech (umístění zařízení...) evidujeme jen data nutná pro smluvní vztah a nutná pro využití předmětu smlouvy (musím na něj mít kontakt, když potřebuji k němu na střechu...), v zásadě stejně jako u zákazníků
O zaměstnancích evidujeme jen data nezbytná pro pracovně právní vztah, zpracovává je pouze vedení a externí mzdová účetní na základě smlouvy přičemž smlouva obsahuje klauzule o zpracování...
U všech výše uvedených případů je běžné, že se takové zpracování provádí a dá se vyvozovat, že i subjektu údajů (zákazníkovi) je zřejmé, že takovéto zpracování je nezbytné. Jedná se tedy o oprávněný zájem a souhlas nepotřebujeme. https://www.dpo4u.cz/l/opravneny-zajem/
Dále máme potencionální osobní data v data retention, lozích serverů (mail/dns/web), lozích síťových prvků... Tato data jsou anonymizovaná (IP adresa je údaj který sám o sobě neumožní identifikaci konkrétní osoby) a zpracováváme je na základě:
- zajištění bezpečného a spolehlivého provozu služeb - prohlížíme a analyzujeme logy pro anonymní statistické účely, identifikaci problémů a útoků, ovšem v tomto případě nepracujeme s identifikčními údaji klienta (=hledáme odkud útok šel a až na základě toho dohledáváme klienta a kontaktujeme ho. Nejdeme do dat s tím, že by nás zajímalo "co dělá a posílá konkrétní klient". Toto provádíme na základě oprávněného zájmu zajištění spolehlivého a bezpečného provozu služby, potažmo sítě. Souhlas opět nepotřebujeme
- požadavku oprávněných orgánů na provozní a lokalizační údaje (policie...). Toto provádíme na základě a v rozsahu, které nám ukládá zákon (https://cs.wikipedia.org/wiki/Data_rete ... _v_%C4%8CR). Souhlas ani zde nepotřebujeme.
Výše popsané by pak mělo existovat formou interní směrnice, tedy:
- CO evidujeme
- KDE to leží a jak je to zajištěné proti úniku nebo ztrátě (zálohy, hesla, zámky, šifry, zabezpečovačky, režimový vstup do místností...)
- JAK to zpracováváme
- KDO to zpracovává
- NA ZÁKLADĚ čeho to zpracováváme (zákon, oprávněný zájem, souhlas)
Se směrnicí se musí prokazatelně seznámit všichni zaměstnanci (tedy ví, s čím pracují a jak s tím mají zacházet), vedení musí dodržování směrnice prosazovat a kontrolovat.
Ovšem jestli ukládání logů a dat na DR je soustavné a rozsáhle zpracování (tedy potřeba DPO...)posoudit nedokážu.
