Plán kontrol ÚOOÚ pro rok 2020

Poradna: +420 607 888 494

EVERY REGARD s.r.o.

… s námi zvládnete GDPR s úsměvem

Naše společnost a já osobně především, se implementaci GDPR věnujeme již od samého počátku. Za tuto dobu jsme vytvořili jednoduché know – how, o kterém si troufáme tvrdit, že klade nejnižší ČASOVÉ i FINANČNÍ nároky na naše zákazníky a jeho výstupem je kompletní sada materiálů, které uvedou činnost Vaše firmy, ordinace nebo organizace do souladu s Nařízením GDPR.

Součástí našeho řešení je také 12 měsíční BEZPLATNÝ PORADENSKÝ SERVIS.

Miroslav Kalinský, GDPR konzultant

Konzultační a poradenské centrum 

poradenství právnickým i fyzickým osobám ZDARMA

Poradna

Naše služby

Působíme na území celé ČR

Implementace GDPR "na klíč".

Zpracování kompletního Souladu zpracování osobních dat včetně přípravy všech potřebných dokumentů, vzorů smluv a dohod, vyhlášení obchodního tajemství, návrhu Organizačního opatření k zabezpečení souladu s GDPR.

Informace

Pověřenec pro ochranu osobních údajů

Chcete se jednou pro vždy zbavit problémů s GDPR jeho uplatňováním v praxi? S implementací změn zákonů a nařízení ve Vaší firmě nebo organizaci? Mít neustále k dispozici radu jak postupovat podle GDPR? A to 24 hodin denně.

Nabídka

Semináře a školení o GDPR.

Pořádáme informační semináře ke GDPR přímo u našich zákazníků. Bez memorování paragrafů, zaměřené na konkrétní situace v praxi. Odpovídáme na dotazy týkající se Vaší konkrétní činnosti. Školíme zaměstnance nových firem.

Podrobnosti

Ke každé implementaci GDPR 12měsíční poradenský servis ZDARMA.

Zajímavosti ze světa GDPR

Inteligentní karanténa 

Inteligentní karanténa 

30:03:2020

Lze předpokládat, že koronavirová krize jen tak nepřejde a tak je otázkou, jaký by měl být správný postup při zavádění dalších opatření....

číst více

Reference

Bytové družstvo Hulvácká, SVJ Lucemburská, SVJ V Pařezinách,  SVG Pavlíkova 18 a 20, G-Terma s.r.o. – správcovská firma pro SVJ, CARMETAL s.r.o. – likvidace autovraků, Dorsati s.r.o. – kavárna, Hanio s.r.o., Kleiblová s.r.o., Taurid Ostrava, Mayoun s.r.o. – vydavatelství, PP-Loan s.r.o. – finanční služby, OTICON CZ – naslouchadla, OTICON SK – naslouchadla,  RB servis s.r.o., Respol s.r.o. – stavební firma, Bohumínská stavební s.r.o. – stavební firma, Stolařství Lípa, Taurid s.r.o., PREBE s.r.o. – obchodní společnost, SINEKO Enginnering s.r.o. – výroba, SICOM s.r.o. – spedice, p.Štěpánová – OSVČ, p.Skotnicová – OSVČ,  BE SLIM s.r.o. – zdravá výživa, Taneční klub Trend o.s., Riedel Jaromír – klaun Hopsalín, Taneční škola Trend s.r.o., STOMA Team – vydavatelství, Jan Rumpela – www server, MUDr. Bužga – gastroenterologie, MUDr. Pech – podiatr, MUDr. Tichý – praktik, MUDr. Tichá – praktik, MUDr. Kříž – dentista, MUDr. Černý – dentista, MUDr. Hlávka – dentista, MUDr. Blahutová – dentistka, MUDr. Hrbáček – ortopedie, JB DENT s.r.o. –  dentální služby,  Stomatologické centrum s.r.o. Praha, El-Diente s.r.o. –  dentální služby,  ART Dental s.r.o. – dentální služby, JB Dent s.r.o. – dentální služby,  Nikola Šváchová – zubní hygienistka, BÍLÝ ZOUBEK – dentální služby, Falcon Cornea Center s.r.o. – oční optika, PP Loan s.r.o. – finanční služby, Truck capital s.r.o. – investiční fond,  Atrio-Interier – výroba nábytku, VEJEDENT s.r.o. – dentální služby, MUDr.Jan Vicher – dentista, MUDr. Libuše Neshodová – dentistka, McCormick s.r.o. – IT služby, FINESTLAB s.r.o. – zubní laboratoř, Radka Klecká – účetní služby, Erika Ikriová-BODYTRAINERS, P-KOVO Brno, spol. s r.o., BIO-NANO-TECH s.r.o., Kasea CZ s.r.o., webový portál SkyFly.cz, agentura AccomArt s.r.o., tiskárna Ethics s.r.o. , DentalCare s.r.o. , Excellent Partners s.r.o., Stav-Izol-Iso s.r.o., Katarína Klocová-XATYNG, Penzion Horka,  ALCAM PROFI s.r.o., Ekodoma s.r.o., JAVEJO s.r.o. a další

* proHR-leaders s.r.o. – vývoj SW,  SE-MO Data s.r.o. – vývoj SW

* EUROSOFTWARE s.r.o. – vývoj SW

* JAVEJO s.r.o. – účetní služby

 

* včetně Pověřence pro ochranu osobních údajů

Kromě toho jsme v naší poradně odpověděli na více než 840 dotazů týkajících se GDPR.

Semináře

„Seminář z oblasti GDPR byl přínosem pro všechny zúčastněné.

Spektrum účastníků bylo široké od městských úřadů po příspěvkové organizace, ve kterých byly obsaženy ZŠ, MŠ, Knihovna, Sociální služby a jiné. V krátkém čase byly řečeny srozumitelně všechny důležité oblasti z GDPR včetně novinek z této problematiky. Školitel dokázal udržet pozornost všech zúčastněných díky svým znalostem a důvtipu, se kterým přednášel. Na dotazy dokázal vždy opovědět tak, aby odpověď byla co nejvíce srozumitelná a posluchači dané problematice porozuměli. „

Ing. Daniela Kuczatá, referent správy osobních údajů, DPO

Městský úřad Orlová

Co možná nevíte.

Desatero zpracování pro správce
1. Zpracování údajů, ať je nařízeno zákonem, prováděno z vůle správce nebo po dohodě či se souhlasem dotčených osob, musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou.
2. Každé zpracování údajů musí být založeno na některém ze základních  důvodů (právních titulů pro zpracování), nejčastěji se jedná o smluvní plnění, výkon právních povinností či plnění zákonného oprávnění, výkon veřejné moci nebo zpracování na základě souhlasu dotčené osoby.
3. Každý, kdo shromažduje, dále zpracovává a uchovává osobní údaje, musí jasně vymezit (stanovit a být schopen vysvětlit) sledovaný záměr – účel zpracování údajů.
4. Všechny způsoby a formy, rozsah zpracování a doba uchovávání údajů musí být vždy přiměřené účelu zpracování.
5. Pokud detaily zpracování stanoví veřejnoprávní předpis, nelze se od nich většinou odchýlit. Každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad, takové zpracování nelze nahradit souhlasem se zpracováním údajů.
6. Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit a chránit organizačními a technickými opatřeními – v míře odpovídající rizikovosti zpracování.
7. Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci.
8. Zpracování nesmí nadměrně zasahovat do soukromí. Správci mohou volit různé přiměřené prostředky zpracování, v případě moderních technologií jsou však povinni zvážit nová rizika i dopady do soukromí jednotlivců. Zejména musí uvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.
9. Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat. Delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů (státní statistická služba, nemocenské a důchodové pojištění apod.).
10. V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů, kterou stanoví obecné nařízení (GDPR). Předávat osobní údaje mimo Evropskou unii lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů.

Co se rozumí právními důvody zpracování osobních údajů?
1. Zpracování údajů, ať je nařízeno zákonem, prováděno z vůle správce nebo po dohodě či se souhlasem dotčených osob, musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou.
2. Každé zpracování údajů musí být založeno na některém ze základních  důvodů (právních titulů pro zpracování), nejčastěji se jedná o smluvní plnění, výkon právních povinností či plnění zákonného oprávnění, výkon veřejné moci nebo zpracování na základě souhlasu dotčené osoby.
3. Každý, kdo shromažduje, dále zpracovává a uchovává osobní údaje, musí jasně vymezit (stanovit a být schopen vysvětlit) sledovaný záměr – účel zpracování údajů.
4. Všechny způsoby a formy, rozsah zpracování a doba uchovávání údajů musí být vždy přiměřené účelu zpracování.
5. Pokud detaily zpracování stanoví veřejnoprávní předpis, nelze se od nich většinou odchýlit. Každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad, takové zpracování nelze nahradit souhlasem se zpracováním údajů.
6. Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit a chránit organizačními a technickými opatřeními – v míře odpovídající rizikovosti zpracování.
7. Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci.
8. Zpracování nesmí nadměrně zasahovat do soukromí. Správci mohou volit různé přiměřené prostředky zpracování, v případě moderních technologií jsou však povinni zvážit nová rizika i dopady do soukromí jednotlivců. Zejména musí uvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.
9. Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat. Delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů (státní statistická služba, nemocenské a důchodové pojištění apod.).
10. V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů, kterou stanoví obecné nařízení (GDPR). Předávat osobní údaje mimo Evropskou unii lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů.

Zpracování osobních údajů
je jakýkoli úkon nebo soubor úkonů, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním se rozumí zejména shromažďování, zaznamenání, uspořádání, strukturování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, nahlédnutí, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.
Zpracování ve smyslu Obecného nařízení však nelze chápat jako jakékoli nakládání s osobním údajem.
Zpracování osobních údajů je nutné považovat již za sofistikovanější činnost, kterou správce s osobními údaji provádí za určitým účelem a z určitého pohledu tak činí systematicky.
Pro nakládání s osobními údaji způsobem, který není zpracováním, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník.
Obecným nařízením se tak jako správci řídí pouze subjekty, které osobní údaje zpracovávají ve smyslu definice zpracování.
Jaké jsou právní důvody zpracování osobních údajů subjektu údajů?
Osobní údaje lze zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů:
  • subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
  • zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
  • zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.
Co se rozumí profilováním?
Jde o formu automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu.
Byť je profilování nově definováno, nejde de facto o žádnou novinku, jelikož k profilování dochází i v současné době. Profilování není a priori zákonem o ochraně osobních údajů či obecným nařízením zakázáno, nevyžaduje se a priori souhlas subjektu údajů. Je však důležité, aby se dělo v předvídaných případech a na základě stanovených pravidel. Profilování je běžné např. ve finančních službách, kdy finanční subjekty profilují např. klienta žádajícího o hypotéku, u kterého hodnotí schopnost splácet.
Můžu zpracovávat osobní údaje zveřejněné na internetu?
V některých případech, zejména v zákonem stanovených případech, musí subjekt údajů strpět jejich zveřejnění např. ve veřejném rejstříku, čímž je i dán účel jejich zveřejnění (např. publicita podnikání, veřejnost katastru nemovitostí atd.).
Osobní údaje ve veřejném rejstříku jsou zveřejněny na základě zákona, jelikož tak zákon stanoví (typicky např. živnostenský rejstřík, obchodní rejstřík, katastr nemovitostí).
Skutečnost, že je stanovena veřejnost rejstříku, neznamená, že zveřejněné osobní údaje lze dále neomezeně přebírat a zpracovávat, např. jejich dalším zveřejňováním a tím na nich profitovat. Je nutné si uvědomit, že i další zveřejňování údajů z veřejných rejstříků je zpracováním osobních údajů a k tomu musí správci svědčit právní důvod, tj. zákonem předpokládané oprávnění. Jelikož obecné nařízení oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů, neobsahuje ekvivalent právního důvodu oprávněně zveřejněné osobní údaje, který je v zákoně o ochraně osobních údajů obsažen v § 5 odst. 2 písm. d), bude další zveřejňování z veřejných rejstříků převzatých osobních údajů za použitelnosti obecného nařízení problematické, jelikož správce bude muset využít některý z právních důvodů v článku 6 odst. 1 obecného nařízení.
Obdobná situace je i u osobních údajů, které subjekty údajů dobrovolně zveřejňují na internetu za určitým účelem. Ani tyto údaje, byť jsou dobrovolně zveřejněné, nelze bez dalšího zpracovávat, jelikož i v tomto případě by správce neměl právní důvod k jejich zpracování.
Veřejnost údajů nikdy a priori neznamená možnost jejich dalšího bezmezného zpracovávání.
Jaké údaje spadají do zvláštní kategorie osobních údajů?
Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.
Jejich výčet je téměř totožný s výčtem citlivých údajů v zákoně č. 101/2000 Sb., o ochraně osobních údajů, až na údaj o odsouzení za trestný čin, který již nebude považován za zvláštní kategorii osobních údajů, ale podmínky pro zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů mají zvláštní režim v článku 10 obecného nařízení.
Jaká jsou práva subjektu údajů?
Subjekt údajů má právo na to být informován o zpracování svých osobních údajů. Tím se rozumí právo na určité informace o zpracování jeho osobních údajů, tak aby byla především naplněna zásada transparentnosti zpracování. Jde zejména o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů. V tomto případě jde o pasivní právo, jelikož aktivitu musí vůči subjektu údajů vyvinout správce, aby požadované informace stanovené v obecném nařízení subjektu údajů poskytl, resp. zpřístupnil.
Úplný výčet informací, které správce poskytuje při shromažďování osobních údajů, lze nalézt v článcích 13 a 14 obecného nařízení. Obecné nařízení formálně rozlišuje poskytování informací v případě, že osobní údaje jsou získány od subjektu údajů, resp. nejsou získány od subjektu údajů. Právo na informování je ekvivalentem práva na informace o zpracování stanoveném v § 11 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.
Mezi další práva subjektu údajů, která jsou mnohdy založena na aktivitě (žádosti) subjektu údajů, patří
• právo na přístup k osobním údajům,
• právo na opravu, resp. doplnění,
• právo na výmaz,
• právo na omezení zpracování,
• právo na přenositelnost údajů,
• právo vznést námitku,
• právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.
Je nějaká lhůta, do kdy musí správce reagovat na podanou žádost subjektu údajů?
Pokud se jedná o žádost podle článků 15 až 22 obecného nařízení, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti.
Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.
Co se rozumí přístupem k osobním údajům?
Přístupem k osobním údajům se rozumí oprávnění subjektu údajů na základě jeho aktivní žádosti získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat následující informace:
  • účely zpracování,
  • kategorie dotčených osobních údajů,
  • příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
  • plánovaná doba, po kterou budou osobní údaje uloženy,
  • existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku,
  • právo podat stížnost u dozorového úřadu,
  • veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.
Pokud správce o fyzické osobě žádné údaje nezpracovává, poskytuje se informace, že osobní údaje tazatele nejsou předmětem zpracování osobních údajů ze strany správce.
Jde o ekvivalent práva přístupu k osobním údajům, stanoveném v § 12 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.
Kdy lze vznést námitku proti zpracování osobních údajů?
Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:
zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.
Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Do jisté míry jde o ekvivalent práva na vysvětlení dle § 21 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.
Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
Co se rozumí porušením zabezpečení osobních údajů?
Za porušení zabezpečení osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
Pokud dojde k porušení zabezpečení osobních údajů, měl by správce zvážit, zdali nejde o okolnost, kterou je nutné ohlásit dozorovému úřadu, resp. oznámit subjektu údajů. Tyto povinnosti nastanou tehdy, pokud porušení zabezpečení představuje riziko, resp. vysoké riziko pro práva a svobody fyzických osob.
Co je bezpečnostní incident?
  1. Za zjištění narušení bezpečnosti osobních údajů se považuje situace, kdy oznamovatel (poskytovatel veřejně dostupných služeb elektronických komunikací v přímém smluvním vztahu s koncovým uživatelem) získal dostatečné informace o tom, že došlo k bezpečnostní události, která měla za následek narušení osobních údajů tak, aby podal opodstatněné oznámení o narušení bezpečnosti osobních údajů Úřadu pro ochranu osobních (dále jen oznámení Úřadu).
  2. Oznámení Úřadu je nutno zaslat do 24 hodin po zjištění narušení bezpečnosti osobních údajů. Pokud oznamovatel nemá k dispozici všechny informace předkládané v oznámení Úřadu a je nutné další vyšetřování narušení bezpečnosti osobních údajů, podá do 24 hodin oznámení Úřadu vyplněné v oddíle 1 (první oznámení). Další údaje (tj. identifikační údaje a ostatní aktualizované údaje oddílu 1, pokud je aktualizace třeba, a údaje oddílu 2) podá jako změnu/doplnění oznámení o narušení bezpečnosti osobních údajů (druhé oznámení), a to nejpozději do tří dnů po podání prvního oznámení. Jestliže oznamovatel ani po vyšetřování nemůže ve lhůtě tří dnů od prvního oznámení Úřadu poskytnout všechny informace, oznámí informace, které má v této lhůtě k dispozici a předloží Úřadu pro ochranu osobních údajů odůvodnění, proč musí být zbývající informace oznámeny později. Oznamovatel co možná nejdříve oznámí zbývající informace Úřadu pro ochranu osobních údajů a v případě potřeby aktualizuje již poskytnuté údaje.
  3. Oznámení Úřadu se může zasílat elektronicky (prostřednictvím datové schránky) nebo dopisem (u subjektů, které datovou schránku nemají nebo mají nastavenu pouze na příjem zpráv) v listinné podobě nebo zasláním formuláře na nosiči dat.
  4. Elektronicky se oznámení Úřadu vyplňuje přímo na webových stránkách Úřadu pro ochranu osobních údajů, po vyplnění formuláře označte nabídku uložit v pdf, která vám umožní uložit vyplněný formulář na vámi zvolený datový nosič/do vámi zvoleného adresáře. V rámci ukládání je generován název souboru (na základě údajů vložených uživatelem). Název souboru nesmí být z technických a organizačních důvodů měněn – umožňuje identifikovat oznamovatele, datum podání a druh oznámení. Výsledný soubor připojte jako přílohu k datové zprávě a odešlete do datové schránky Úřadu pro ochranu osobních údajů: qkbaa2n.
  5. V případě využití listinné podoby vytiskněte formulář, oznámení vyplňte (případně v elektronické podobě uložte na nosič dat) a poštou zašlete na adresu Úřadu pro ochranu osobních údajů: Pplk. Sochora 27, 170 00 Praha 7.
  6. K oznámení Úřadu nesmí být, s výjimkou vyplněného formuláře, přiloženy žádné další dokumenty obsahující osobní údaje (například seznam osob a jejich osobních údajů zasažených narušením bezpečnosti osobních údajů).

Zdroj: https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/p1=4744