Poradna

Dobrý den, s kolegou již delší dobu vyvíjíme aplikaci pro neziskové organizace, která slouží pro koordinaci humanitárních jednotek v terénu. Nyní…

Dobrý den,
s kolegou již delší dobu vyvíjíme aplikaci pro neziskové organizace, která slouží pro koordinaci humanitárních jednotek v terénu. Nyní probíhá finalizace našeho produktu, a tak bychom si chtěli ujasnit věci týkající se GDPR, tak abychom do budoucna neměli v tomto směru jasno a neporušovali tím žádné nařízení. Mj. jednáme o tom, zda naši aplikaci poskytneme třetí straně zdarma, jako službu, přes crowdfunding nebo ji prodáme jako sw balík (kde bych figuroval jako OSVČ). K samotné aplikaci - ta se v základu sestává ze dvou částí - aplikace v mobilním telefonu a webový backend. Pro funkčnost aplikace je v telefonu nutné zadat: telefonní číslo, email, jméno a příjmení, příslušnost k organizaci a heslo (automaticky se přidá i IMEI) - tyto údaje se následně šifrovaně odešlou a uloží se do databáze (veškerá komunikace probíhá šifrovaně). Po přihlášení do aplikace v telefonu, začne telefon každých 30 sekund odesílat do DB informaci o své pozici (GPS) - v databázi se následně uchovává pouze poslední poloha. Aplikace pak slouží jako textový terminál pro komunikaci s krizovým štábem a pro sběr dat například v rámci monitoringu zasažených osob. Shromažďují se zde osobní údaje třetích stran (jméno / telefon / adresa ... a mnohé další). Druhá aplikace běží na štábu, který zaopatřuje krizový management. Štáb má k dispozici vizualizaci dat, které do DB tečou z telefonů. Vidí tedy v reálném čase na mapě polohu jednotek v terénu, výstupy z formulářů pro monitoring a k dispozici má i textovou komunikaci s uživateli mobilní aplikace. Všechny tyto služby zajišťuje server, který si sami spravujeme a máme na něj výhradní přístup. Nyní potřebujeme vědět, jaké povinnosti máme k uživatelům naší aplikace, jaké povinnosti máme k třetím stranám v rámci monitoringu. Zda potřebujeme mít nějaké interně zpracované dokumenty o řízení nakládání s daty. Co bychom měli zmínit v terms and conditions u mobilní aplikace a zda a případně ja bude nutné do aplikace integrovat souhlas se zpracováním dat v rámci GDPR.
Děkuji za případnou odpověď a jsem s pozdravem.

Petr Smetana

Odpověď na 1

GDPR vs sofwarová podpora krizového řízení

12:40 04.06.2018

Dobrý den, pane Smetano,   děkujeme za Váš dotaz. Přestože informace, které jste poskytl, jsou obsáhlé, není jich dostatek pro to, abychom mohli…

Dobrý den, pane Smetano,

 

děkujeme za Váš dotaz. Přestože informace, které jste poskytl, jsou obsáhlé, není jich dostatek pro to, abychom mohli odpovědět. Vezmu to od konce. Souhlas se zpracováním osobních údajů je jeden z šesti právních důvodů pro zpracování osobních údajů a nemá být primárním důvodem. Tuším, že ve Vašem případě může přicházet do úvahy např. zpracování nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby. Více viz GDPR čl. 6 odst. 1. Pak tuším, že budete v roli zpracovatele osobních údajů. Potom Vaši uživatelé mají povinnost uzavřít si s Vámi písemnou smlouvu (i elektronicky) o zpracování osobních údajů a přezkoumávat, zda jsou u Vás dány záruky, že při zpracování zajistíte odpovídající ochranu dat. V praxi to můžete řešit i nějakým kodexem, k jehož plnění se veřejně zavážete apod.

 

Další odpovědi jsou již nad rámec poradny zdarma. Pokud máte zájem o následné konzultace, kontaktujte nás na +420 541 212 509 nebo info@bellcons.cz.

 

S pozdravem

Ing. Libor Barták

Zašlete nám prosím svůj dotaz k problematice GDPR. V nejbližší možné době jej zdarma zodpovíme a naši odpověď zveřejníme na tomto místě. Rádi také zveřejníme Vaše příspěvky a názory k tématům blízkým naší webové stránce.