Mgr. Lenka Suchánková, LL.M. 6. prosince 2016 Ochrana osobních údajů a bezpečnost dat - novinky v GDPR forbes.com
PRÁVNÍ RÁMEC A ZÁKLADNÍ POJMY
ÚVOD K OCHRANĚ ÚDAJŮ Právní úprava dat Zákon o ochraně osobních údajů (101/2000 Sb.) = ZOOÚ Směrnice o ochraně FO v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (95/46/ES) Zákon o kybernetické bezpečnosti (181/ 2014 Sb.) Zákon o některých aspektech informační společnosti (480/2004 Sb.) Zákon o elektronických komunikacích (127/2005 Sb.) Nařízení o ochraně FO v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (2016/679/EU) = GDPR Účinné od 25. 5. 2018 pro celou EU Mezinárodní úprava Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních údajů (Rada Evropy, ETS 108) Dohoda mezi EU a USA Privacy Shield (namísto původní dohody o Safe Harbor) Rozhodnutí Evropské Komise o předávání údajů
GDPR V KOSTCE GDPR obecný přehled Nařízení EU přímo aplikovatelné Vstoupí v účinnost 25. května 2018 Kodexy jednání a doporučení teprve budou vydány
ZÁKLADNÍ POJMY Osobní údaje Informace o identifikované nebo identifikovatelné fyzické osobě Přímá či nepřímá identifikace odkazující na určitý identifikátor Identifikační číslo, lokační údaje, síťový identifikátor Fyzická, fyziologická, genetická, psychická, ekonomická, kulturní nebo společenská identita
ZÁKLADNÍ POJMY Citlivé údaje Rasový, národnostní či etnický původ Genetické a biometrické údaje pro účely jedinečné identifikace fyzické osoby Ke zpracování je potřeba výslovný souhlas nebo jiný nezbytný zákonem určený účel Politické názory, náboženské vyznání, filosofické přesvědčení, členství v odborech Údaje o zdravotním stavu nebo údaje o sexuálním životě či sexuální orientaci fyzické osoby
ÚVOD K OCHRANĚ ÚDAJŮ Co je tedy regulováno jako osobní údaje? údaje identifikující fyzickou osobu Zřejmé: jméno, číslo dokladu totožností, kreditní karta, kontaktní údaje, informace o zdraví, lokalizační údaje, IP adresa, atd. Ale také: jakékoli informace o nákupech, užívaných službách či vlastněných zařízeních, (meta) data týkající se předchozího chování při užívání služby, fotografie
ZÁKLADNÍ POJMY Zpracování osobních údajů Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů Prováděny pomocí či bez pomoci automatizovaných postupů Shromažďování, ukládání, zaznamenání, uspořádání, použití Zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení
ZÁKLADNÍ POJMY Subjekty Subjekt údajů Každý člověk, jehož osobní údaje jsou zpracovávány (identifikovaná či identifikovatelná fyzická osoba) Správce Každý subjekt, který určuje účel a prostředky zpracování, provádí a odpovídá za zpracování zpracováním může pověřit třetí osobu Zpracovatel Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce
OCHRANA OSOBNÍCH ÚDAJŮ PODLE GDPR
Novinky v GDPR Povinnost oznámit neoprávněný přístup k osobním údajům Širší teritoriální a věcný dopad Vyšší pokuty (až 4% celosvětového obratu celého podniku) Pověřenec pro ochranu osobních údajů Privacy by design and by default Vedoucí dozorový úřad jako onestop-shop Zrušení systému registrací u ÚOOÚ Povinnost správce provést posouzení vlivu na ochranu osobních údajů
Novinky v GDPR Posílení práv subjektů údajů Pseudonymizace dat Kodexy a certifikáty Výslovnost souhlasu pro všechna zpracování Evropský sbor pro ochranu osobních údajů Širší informační povinnost Nové náležitosti zpracovatelské smlouvy (vč. řetězení) Odpovědnost zpracovatele za způsobenou újmu
PRÁVNÍ TITULY Souhlas a jeho náležitosti Pro konkrétní účel, nikoliv paušální pro jakékoli zpracování Informovaný Odlišný od jiných záležitostí Jednoznačný/výsl ovný (vždy opt-in) Jasný, svobodný Udělený na určitou dobu Již udělené souhlasy musí být harmonizovány
Souhlas nezletilých SOUHLAS JAKO PRÁVNÍ TITUL < 13 Pouze se souhlasem rodiče 13 15 Pouze se souhlasem rodiče, ale může podléhat vnitrostátní úpravě 16+ Bez souhlasu rodiče
Jak může být souhlas prokázán? Správci údajů musí být kdykoliv schopni dokázat, že: SOUHLAS JAKO PRÁVNÍ TITUL Souhlas souvisí s konkrétním údajem Souhlas byl udělen příslušnou osobou Osoba udělující souhlas byla informována o účelu zpracování Souhlas byl udělen na příslušnou dobu a pokrývá dobu, v rámci níž jsou údaje zpracovávány
Povinnost vymazat údaje SOUHLAS JAKO PRÁVNÍ TITUL Při odvolání souhlasu, ale i pokud již nejsou potřebné pro účely zpracování, pokud sbj. údajů vznese námitky (a nepřevažují oprávněné důvody pro zprac.) Všechny údaje týkající se příslušné osoby musí být nezvratně a kompletně vymazány Potvrzení osobě že její údaje byly vymazány Musí být zajištěno pro celý ekosystém zpracovatele ale objektivní meze (přiměřené kroky, náklady, dostupná technologie) Výjimky: údaje nezbytné pro určení, výkon nebo obhajobu právních nároků; nezbytnost pro plnění právní povinnosti, splnění úkolu provedeného ve veřejném zájmu, výkon veřejné moci
PRÁVNÍ TITULY Zákonné výjimky - GDPR Zpracování bez souhlasu subjektu osobních údajů = zákonné výjimky Úprava v čl. 6 GDPR Rozsah úpravy v nařízení může být rozšířena právem členských států (vč. zachování dosavadního rozsahu) Plnění smlouvy nebo jednání o jejím uzavření Splnění právní povinnosti správce Ochrana životně důležitých zájmů subjektu údajů Ochrana práv chráněných zájmů správce či jiné dotčené osoby Splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci
PRÁVNÍ TITULY Oprávněný zájem dle GDPR Nedopadá na případy: Subjektem údajů je dítě Zpracování údajů provádí orgán veřejné moci při plnění svých úkolů Správce má povinnost uchovávat záznamy o posouzení vlivu na ochranu osobních údajů Povinnost správce informovat subjekt údajů Přenosy do zahraničí na základě oprávněného zájmu Příklady oprávněného zájmu: Přímý marketing nebo ochrana před podvodem Přenos dat v rámci jedné skupiny (holdingu) vč. zaměstnaneckých údajů Zpracování pro účely zajištění síťové bezpečnosti nebo zamezení neoprávněným přístupům Oznamování trestných činů
PSEUDONYMIZACE A ANONYMIZACE
PSEUDONYMIZACE A ANONYMIZACE Anonymizované vs pseudonymizované údaje Anonymizované údaje (nevratně oddělené od osoby) Informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou, nebo osobní údaje poskytnuté anonymně takovým způsobem, že subjekt údajů již není identifikovatelný Pseudonymizované údaje (dočasně oddělené od osoby) Nemohou být přičitatelné konkrétní osobě bez použití dodatečných informací Dodatečné informace jsou uchovávány odděleně Technická a organizační opatření zajišťují, že osoba nebude identifikována Pouze správce může určit identifikaci
PSEUDONYMIZACE A ANONYMIZACE Výhody pseudonymizovaných údajů Mohou být zpracovány nad rámec původně definovaného účelu Mírnější regulace: výjimky z notifikace, dalších povinností Pseudonymizace splňuje požadavek privacy by design Pseudonymizace jako bezpečnostní opatření
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
SMLOUVA O ZPRACOVÁNÍ Smlouva o zpracování údajů dle GDPR Úprava v čl. 28 GDPR v rámci povinností zpracovatele GDPR výslovně upravuje předávání údajů dalšímu zpracovateli (sub-zpracovateli) na základě písemného povolení správce Povinná písemná forma (i elektronická) Zpracovatel vázán pokyny správce Zaměstnanci zpracovatele vázáni mlčenlivostí Audity a inspekce
SMLOUVA O ZPRACOVÁNÍ Smlouva o zpracování údajů dle GDPR Povinnosti zpracovatele ve smlouvě o zpracování: Přijme veškerá nezbytná bezpečnostní opatření Dodržuje podmínky pro zapojení dalšího zpracovatele Zohledňuje povahu zpracování Povinen zajisti správci součinnost Na základě pokynů správce vymaže nebo předá zpět správci veškeré údaje Poskytuje správci veškeré informace Umožní vykonávat audity, vč. inspekcí Zpracovatel povinen poskytovat dostatečné záruky technických a organizačních zabezpečení Lze doložit schváleným kodexem chování nebo mechanismem pro vydávání osvědčení
ZABEZPEČENÍ ÚDAJŮ
Technická a organizační opatření BEZPEČNOST ÚDAJŮ Zákon o ochraně osobních údajů neobsahuje žádné bezpečnostní prostředky nástin nabízí registrační formulář ÚOOÚ: Manuální + automatizované zpracování Automatizované zpracování Zámky, mříže apod. Elektronické zabezpečení Přístupová práva Antivirová ochrana Šifrování Centrální pult ochrany Bezpečnostní směrnice Dokumentace k přijatým technickoorganizačním opatřením Bezpečnostní zálohy Bezpečnostní směrnice
Technické zabezpečení dle GDPR BEZPEČNOST ÚDAJŮ správce a zpracovatel přijmou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku Obnova dostupnosti osobních údajů a přístupu k nim včas v případě fyzických či technických incidentů Čl. 32 GDPR obsahuje demonstrativní výčet možných opatření Pravidelné testování, posuzování a hodnocení Pseudonymizace a šifrování Neustálá důvěrnost, integrita, dostupnost a odolnost systémů a služeb zpracování
BEZPEČNOST ÚDAJŮ Technická a organiz. opatření dle GDPR Kodexy chování Kodexy schvaluje ÚOOÚ nebo EDPB Pomáhají správcům a zpracovatelům prokazovat technické zabezpečení a soulad s právními předpisy Certifikace GDPR podporuje ustanovení orgánů, které budou udílet podnikům akreditace Certifikáty budou platné vždy po dobu 3 let Privacy by design Záměrná a standardní ochrana osobních údajů Organizace musí implementovat technické a organizační prostředky Zahrnuje rovněž zaměstnanecké směrnice Privacy impact assesment Posouzení vlivu na ochranu osobních údajů Slouží k identifikaci a minimalizaci rizik při zpracování údajů Nahrazuje dřívější registrace národním úřadům Možnost předchozích konzultací s dozorovým úřadem
NOVÉ POIVINNOSTI SPRÁVCŮ
NOVÉ POVINNOSTI SPRÁVCŮ Nové povinnosti správců Vedení záznamů o činnostech zpracování Nahrazuje dřívější notifikační povinnost V omezenější podobě se vztahuje i na zpracovatele Výjimky: správci s méně než 250 zaměstnanci provádějící neriziková zpracování / nezpracovávající citlivé údaje Posouzení vlivu na ochranu osobních údajů Pro vysoce riziková zpracování (zejména nové technologie) Demonstrativní výčet: (i) systematické a rozsáhlé vyhodnocování osobních aspektů / profiling (ii) rozsáhlé zpracování citlivých údajů / trestních rozsudků (iii) rozsáhlé systematické monitorování veřejně přístupných prostorů Ale potenciálně i jiné rizikové operace (diskriminace, krádež identity, fin. ztráta, poškození pověsti) Seznamy zpracovatelských operací
NOVÉ POVINNOSTI SPRÁVCŮ Nové povinnosti správců Postup správce při provádění PIA: Posoudí konkrétní pravděpodobnost a závažnost vysokého rizika Stanoví opatření, záruky a mechanismy pro eliminaci rizika Zohlední se dodržování schválených kodexů chování Ve vhodných případech stanovisko subjektu údajů Usoudí-li, že vysoké riziko předchozí konzultace s dozor. úřadem? Výstupu a závaznosti konzultace; doba 8+6 týdnů Výjimka z PIA: pokud jde o zpracování z titulu právní povinnosti, plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci a speciální zákony upravují toto zpracování a PIA již byl proveden v souvislosti s přijetím toho zákona ledaže i přesto to čl. státy považují za nezbytné Další nové povinnosti: Institut pověřence pro ochranu osobních údajů Ohlašování případů porušení zabezpečení osobních údajů
POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ
INSTITUT POVĚŘENCE Institut pověřence Povinný pro správce i zpracovatele v případech: Dle subjektu správce/zpracovatele: Orgán veřejné moci či veřejný subjekt (s výjimkou soudů) Dle typu zpracování Rozsáhlé, pravidelné a systematické monitorování Rozsáhlé zpracování citlivých údajů a trestních rozsudků Skupina podniků může jmenovat jednoho pověřence, je-li snadno dosažitelný Orgán veřejné moci / veřejný subjekt: rovněž může jmenovat jen jednoho pověřence pro několik orgánů nebo subjektů (s přihlédnutím k organizační struktuře) Zaměstnanec či externí poskytovatel na základě smlouvy o poskytování služeb; role, nezávislost, zdroje, ochrana Odbornost, jmenování, přezkušování, evidence??
NAHLAŠOVÁNÍ TZV. DATA BREACHES
PRÁVNÍ TITULY Hlášení dle stávající úpravy Obecná povinnost přijmout opatření proti neoprávněnému a nahodilému přístupu k osobním údajům Notifikace data breaches povinná jen pro poskytovatele veřejně dostupných služeb elektronických komunikací Oznámení narušení bezpečnosti osobních údajů ÚOOÚ 24 hodin Lhůta může být prodloužena Formulář Informování subjektu údajů, jehož osobní údaje byly narušením bezpečnosti zasaženy, pokud bezpečnost narušena zvlášť závažným způsobem a: Citlivé údaje / krádež identity / škoda > 500 000/ fyzická či morální újma Provedení opatření k nápravě Vedení přehledu data breaches včetně posouzení dopadu a nápravných opatření
PRÁVNÍ TITULY Hlášení dle GDPR Bude dopadat na všechny správce Povinnost zpracovatelů ohlašovat správci Oznámení porušení zabezpečení osobních údajů ÚOOÚ Bez zbytečného odkladu, pokud možno do 72 hodin Důvody případného zpoždění Předepsaný min. obsah Výjimka: je-li nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob. Povinnost informovat subjekt údajů, pokud je pravděpodobné, že porušení zabezpečení = vysoké riziko pro jeho práva a svobody Bezodkladně Výjimky: údaje učiněny nesrozumitelnými (např. šifrováním) následná opatření eliminující riziko nepřiměřené úsilí veřejné oznámení
PRÁVNÍ TITULY Hlášení dle zákona o kybernetické bezpečnosti Omezená relevance pro soukromý sektor pouze povinné subjekty Povinnost monitorovat bezpečnost a detekovat kybernetické incidenty Povinnost hlásit bezpečnostní incidenty Národnímu CERTu /CSIRT (orgán nebo osoba zajišťující významnou síť) Vládnímu CERTu (ostatní povinné osoby)
SANKCE Sankce za nesplnění notifikační povinnosti Právní předpis Porušená povinnost Výše sankce ZEK Zákon o ochraně osobních údajů Nařízení o ochraně osobních údajů Oznámení data breaches ÚOOÚ/subjektu údajů Přijetí a provedení opatření pro zajištění bezpečnosti zpracování osobních údajů; Vedení přehledu případů porušení ochrany osobních údajů podle ZEK Oznámení data breaches ÚOOÚ/subjektu údajů 20 mil. Kč (ČTÚ) 5 mil. Kč / 10 mil. Až 2 % ročního světového obratu Kybernetický zákon Ohlášení kyberincidentu CERT 100 000 Kč
PRÁVA SUBJEKTŮ ÚDAJŮ
PRÁVA SUBJEKTŮ ÚDAJŮ Práva subjektů údajů Subjekty mají právo především být informování o zpracování svých osobních údajů Další práva dovozována judikaturou např. právo být zapomenut V GDPR dochází k posílení individuálních práv s cílem zajistit větší transparentnost a lepší přístup; důraz na srozumitelnost jazyka
Práva subjektů údajů v GDPR PRÁVA SUBJEKTŮ ÚDAJŮ Právo na zasílání informací o zpracování (1 měsíc, ochrana proti kverulantům) Komplexní a transparentní informace o zpracování (výjimky: spec. zákon, služební tajemství) Právní titul zpracování a informace o příjemcích údajů, době, předávání, dobrovolnosti, profilování, právech Přístup, oprava a přenos údajů Na žádost subjektu údajů vznikají správci povinnosti Potvrzení o zpracování údajů, poskytnutí jejich kopie,
Práva subjektů údajů v GDPR PRÁVA SUBJEKTŮ ÚDAJŮ Právo vznést námitky proti zpracování Specifická práva ohledně využití pro účely marketingu Online služby - automatizovaná metoda k podání námitek Právo být zapomenut a právo na vymazání Právo být zapomenut je v legislativě novinkou v GDPR (dosud jen soudní výklad) Právo dožadovat se omezení zpracování údajů
PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO ZAHRANIČÍ
PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Předávání mimo státy EHP dle GDPR Rozhodnutí o přiměřenosti (adequacy decisions) Poměrně malá relevance; novinka přezkum každé 4 roky Standardní smluvní doložky Formulářový text smlouvy mezi správcem a příjemcem sídlícím mimo EHP, nyní vždy bez nutnosti schválení dozorovým úřadem Zásah možný pouze pro doplnění údajů v přílohách 1 a 2 Řetězení zpracovatelů, povinnost auditu Typy standardních smluvních doložek: Správce (EU) Správce (mimo EHP) 2 sety doložek Správce (EU) Zpracovatel (mimo EHP) Závazná podniková pravidla (BCR) Pravidla pro předávání uvnitř holdingových skupin s pobočkami mimo EU Náročný proces schvalování konzultace a schvalování ÚOOÚ GDPR podrobně popisuje a zjednodušuje schvalování
PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Předávání mimo státy EHP dle GDPR Nové samoregulační nástroje: Schválené kodexy chování (dozorový úřad, Komise) spolu se závazkem příjemce ve třetí zemi použít vhodná ochranná opatření Schválené certifikační mechanismy spolu se závazkem příjemce ve třetí zemi použít vhodná ochranná opatření (osvědčení, pečetě, známky - akreditace) Právně závazné a vynutitelné nástroje orgánů veřejné moci (administrative arrangements) -? Předávání založená na výjimkách ze zásady odpovídající úrovně ochrany Důležitý důvod veřejného zájmu Nově: legitimní zájem správce omezené využití (převažuje zájem subjektu údajů), povinnost informovat dozorový úřad i subjekt údajů; nelze využít pro opakované či hromadné předávání (v rámci cloudu, nadnárodních personálních databází)
Předávání údajů do USA PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Rozhodnutí SD EU ve věci Schrems (říjen 2015) zrušení rozhodnutí Komise o tzv. bezpečném přístavu (Safe Harbor) Nový právní rámec pro předávání údajů do USA Privacy Shield Rozhodnutí Komise 2016/1250 z 12.7.2016 Platné znění již zohledňuje kritické připomínky pracovní skupiny čl. 29 ze 13. dubna 2016 komplikovanost ochranných mechanismů, nedostatečná úprava uchovávání osobních údajů, nedostatečné zohlednění GDPR Jádrem štítu soukromí je Annex II rozhodnutí závazky amerických dovozců údajů Seznam dovozců: https://www.privacyshield.gov/welcome Průvodce štítem soukromí vydaný Komisí
Předávání údajů do USA PŘESHRANIČNÍ PŘEDÁVÁNÍ ÚDAJŮ Platné znění již zohledňuje kritické připomínky pracovní skupiny čl. 29 ze 13. dubna 2016 komplikovanost ochranných mechanismů, nedostatečná úprava uchovávání osobních údajů, nedostatečné zohlednění GDPR Stejně jako Safe Harbor: Self-certification Není třeba schválení ÚOOÚ Prvky nad rámec Safe Harbor: Závazky amer. ministerstva obchodu ve vztahu ke kontrolám, vedení seznamu, každoročním obnovám certifikace atp. Každoroční společný audit (Komise, FTC, Department of Commerce) Výslovné uvedení odpovědnosti za předávání údajů dalším stranám (onward transfer) Proces řešení stížností arbitrážní řízení Institut nezávislého ombudsmana (stížnosti na amer. zpravodajské služby)
POSTIH ZA PORUŠENÍ PŘEDPISŮ NA OCHRANU OSOBNÍCH ÚDAJŮ
SANKCE Sankce za porušení předpisů Občanskoprávní Správněprávní Trestněprávní
SANKCE Správněprávní odpovědnost ZOOÚ + směrnice GDPR Pokuty stanovuje každý členský dle své diskrece Oprávněným orgánem ÚOOÚ Max. výše ukládaných pokut 10.000.000 Kč Pokuty stanoveny fixně v nařízení pro celou EU Každý členský stát ukládá pokuty samostatně (zůstane ÚOOÚ) Max. výše ukládaných pokut je 20.000.000, resp. 4 % z globálního celoročního obratu podniku
SANKCE Srovnání správních sankcí GDPR Dozorový úřad Vnitrostátní dozorový úřad (ÚOOÚ) Zákon o kybernetické bezpenosti Národní bezpečnostní úřad (NBÚ) NIS Novela zákona o kyber. bezpečnosti Národní bezpečnostní úřad (NBÚ) Maximální výše pokut Vedoucí dozorový úřad 20.000.000 Eur nebo až 4 % celkového světového ročního obratu 100.000 Kč 5 mil. Kč Účinnost 25. května 2018 1. ledna 2015 do května 2018
SANKCE Trestněprávní odpovědnost Neoprávněné nakládání s osobními údaji (nedbalost, sazba až 3 roky / 8 let u kvalif. skutkové podstaty) Porušení tajemství dopravovaných zpráv (již nyní odpovědnost i pro PO) (sazba až 2 roky / 5 let u kvalif. skutkové podstaty) Nebezpečné pronásledování (sazba až 3 roky) Porušení tajemství listin a jiných dokumentů uchovávaných v soukromí (sazba až 8 let)
SANKCE Rozšířený dopad GDPR Dopad na podnik ve významu čl. 101 a čl. 102 SFEU tj. může dopadat např. na celý koncern (podnikatelská seskupení - interpretace dle soutěžního práva, sankce založeny na obratu skupiny) Místní příslušnost pro aplikaci GDPR Organizace, které mají v EU pobočky, které míří svým zaměřením na občany EU (Google v. AEPD) Jakákoliv skutečná a provozovaná aktivita alespoň v jednom čl. státě (Weltimo)
Co pro Vás můžeme udělat? Analýza datových toků PRÁVO PROVÁDĚT AUDIT Posouzení souladu se stávající legislativou Analýza dopadů GDPR do stávajícího modelu Příprava interní a externí dokumentace a krizových plánů
Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších specializovaných právních týmů zaměřených na právo technologií, médií a komunikací Hlavní oblasti praxe: IT smlouvy, včetně smluv na cloudové produkty Ochrana osobních údajů IoT M&A transakce v technologickém sektoru Podpora start-upů při vstupu na zahraniční trhy Outsourcing Pracovní právo (včetně technologických aspektů smluv zaměstnanců, BYOD) IP právo Média Telekomunikační právo Pro více informací: www.pierstone.com Lenka Suchánková Na Příkopě 9 110 00 Praha 1 +420 777 738 046 lenka.suchankova@pierstone.com