Legal/Compliance se ptá: Jaký máte právní základ a dokumenty k GDPR pro Empatyzer?

TL;DR: Stručně: máme DPA, provedli jsme DPIA tam, kde je to nutné, hostujeme data v EU, používáme šifrování a separaci klientů, máme politiku retence a postupy pro uplatnění práv subjektů a omezení použití pro pracovní hodnocení.

DPA: smlouva o zpracování s jasně vymezenými rolemi a povinnostmi.
DPIA: hodnocení dopadů na ochranu osobních údajů tam, kde profilování nebo citlivé údaje zvyšují riziko.
Právní základ: závisí na scénáři (oprávněný zájem, plnění smlouvy, případně souhlas).
Retence: plán minimalizace, anonymizace a výmaz na vyžádání.
Práva subjektu: přístup, oprava, výmaz, omezení, přenositelnost, námitka, zákaz plně automatizovaného rozhodování.

Empatyzer poskytuje vzor DPA a popis technicko‑organizačních opatření pro bezpečnost údajů. Tam, kde zpracování zahrnuje profilování nebo citlivé informace a může mít značný dopad na práva osob, provádíme nebo pomáháme s DPIA a dodáváme shrnutí zjištění a nápravná opatření. Data hostujeme na serverech v EU, používáme šifrování v klidu i při přenosu, oddělení úložišť klientů, auditní logy a řízení přístupu administrátorů. Doporučujeme posoudit konkrétní scénáře: hromadné analytické zpracování se často opírá o oprávněný zájem správce, zatímco individuální výsledky spojené s osobní diagnózou vyžadují základ smluvní nebo zvážení souhlasu vzhledem k nerovnováze postavení zaměstnance. Retence vychází z principu minimalizace: osobní surová data jsou uchovávána omezenou dobu podle harmonogramu a poté anonymizována pro souhrnné reporty; výmaz účtu odstraní data z provozních souborů a provede korekce agregovaných statistik podle stanovené procedury. Empatyzer nezasílá surové individuální výsledky zaměstnavateli, používá agregaci a prahové hodnoty ve zprávách, čímž snižuje riziko identifikace a zneužití. Ve smlouvách a podmínkách máme zákaz používání nástroje pro formální hodnocení zaměstnanců a klauzule proti škodlivému využití dat, přičemž klíčové je také, aby klient implementoval interní pravidla užívání a eskalační procesy. Postupy pro uplatnění práv subjektů popisují, jak podat žádost, lhůty pro odpověď, ověření identity a kroky pro opravu, omezení zpracování, výmaz a přenositelnost. V případě bezpečnostního incidentu informujeme klienta neprodleně, nejpozději do pěti pracovních dnů, a poskytneme logy a nápravná opatření; o dalším oznamování orgánům dohlíží administrátor jako správce. Nepoužíváme data klientů k tréninku veřejných modelů; přístup dodavatele je omezený, auditovaný a logovaný.

Dostupné dokumenty: DPA, vzor DPIA nebo její shrnutí, politika retence, instrukce pro uplatnění práv subjektů a popis zabezpečení a incidentních postupů; právní základy a konkrétní nastavení zavádíme ve spolupráci s klientem.

Autor: Empatyzer

Publikováno: 7.listopadu (pátek), 2025 roku (uplynulo: 13 týdnů)

Aktualizováno: 7.listopadu (pátek), 2025 roku (uplynulo: 13 týdnů)