Snadna odpoved.
1) pokud vy zpracovavate data v rezimu "ze zakona", muzete je v principu predavat i tretim osobam (v rezimu se souhlasem pouze v pripade, ze na to mate souhlas). Tyto treti osoby jsou pro vas tzv "zpracovateli dat", a vy snimi musite mit smlouvu, ze takova data v zadnem pripade nepredaji nikomu dalsimu a ze budou radne zabezpecena, pripadne ze je po jejich vyuziti (napriklad dopravce nebo i posta) zlikviduji.
Ovsem pokud by se stalo, ze zabezpecena nebudou pripadne predana budou, je to VASE vina. Tzn, do takovych smluv (par jsem jich jiz v ruce mel) se dava mimo jine, ze dotycny zpracovatel uhradi veskere skody i pripadne pokuty a dalsi prislusenstvi, pokud data neochrani.
Zpracovatel vam taktez musi garantovat, ze se data nedostanou v zadnem rezimu mimo uzemi EU.
A protoze toto vam zadny dodavatel garantovat nebude, nebo mu za to budete muset zaplatit vyrazne vice ... specielne se to tyce i zcela beznych hostingu, kde namnoze muzete platit i 0 nebo nekolik desetikorun, a jiste neocekavate, ze za takovy poplatek bude nekdo cokoli komukoli garantovat. Predpokladam, ze na naruseni zabezpeceni dat z viny takoveho hostingu by se jednoduse nahliselo tak, ze za nizkou bezpecnost muze prave provozovatel webu, nikoli hosting, protoze prave provozovatel se rozhodl zvolit dodavatele kteremu bez dalsiho predal data.
2) toho cloveka potrebujete pouze v pripade, ze mate osobni data ve velkem meritku tzn rekneme stovky tisic osob nejmene. A potrebuje jej ten, kdo ta data "vlastni", nikoli ten, kdo je pro nej zpracovava. Zpracovatel totiz v principu nemusi ani tusit jaka data a v jakem rozsahu jsou u nej ulozena.
Tak ono řešení eshopu pro levné hostingy může být docela jednoduché, email zákazníka, ani objednávka se na eshopu nebude ukládat a bude odeslána na mail prodejce. Na hostingu pak žádná data chráněná GDPR nebudou a data budou jen v rámci emailů.
A lze vůbec podle GDPR používat email k obchodnímu styku, když nešifrovaný email není nijak chráněn, může být po cestě mailovými servery scanován třetími osobami?
Posílání osobních dat emailem na systematické bázi může být bezpečnostní problém sám o sobě. Navíc GDPR je jedno jak dlouho si provozovatel hostingu k datům čuchne. Prostě bude muset mít zpracovatelskou smlouvu, jinak pokud ví, že tam jsou osobní údaje, zpracovává nezákonně. Pokud neví, pak je z obliga.
A je vůbec email legální? Požadavky GDPR přece nelze zajistit, nevíte kudy váš mail jde a není možno zajistit souhlas se zpracováním emailu, který je sám GDPR chráněným údajem včetně obsahu, který obsahuje osobní údaje.
A jak to bude, když v emailu uvedete osobní údaje a email někdo po cestě vykrade? Logicky pokutu byste měli dostat vy, protože emailová služba je jen zpracovatelem údajů.
Co se týče cloudu, tak ze školení mám poznamenané, že bych si měl zkontrolovat, zda-li Cloud je držitelem ISO 27018 – bezpečnost osobních údajů v cloudových řešeních.
Ten kdo to má, se s tím rád pochlubí, není to zrovna levná záležitost...
No a co se týče mailů, včetně freemailů, tak tam lze vždy operovat tzv. oprávněnou domněnkou, že poskytovatel mailu je povinen dodržovat Směrnici EP a Rady 2002/58/ES o soukromí a
elektronických komunikacích
Článek 5
Důvěrný charakter sdělení
1. Členské státy zajistí prostřednictvím vnitrostátních právních předpisů důvěrný charakter sdělení přenášených pomocí veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací a s nimi souvisejících provozních údajů. Zejména
zakáží příposlech, odposlech, uchovávání nebo jiné druhy zachycování či sledování sdělení a s nimi souvisejících provozních
údajů osobami jinými než uživateli bez souhlasu dotčených uživatelů, pokud k takovému jednání nejsou zákonem oprávněny
v souladu s čl. 15 odst. 1.