Souhlasím se shromažďováním a zpracováním souborů cookies, které zpracovává společnost Google v souladu se svými Zásadami. Více informací ZDE. Rozumím

Povinnosti

 

Jaké povinnosti mají instituce a firmy (správci nebo zpracovatelé osobních údajů)?

Poznámka: např. provozovatel e-shopu je správcem osobních údajů, zatímco poskytovatel e-shopového řešení je zpracovatel osobních údajů. Dalším zpracovatelem osobních údajů bude třeba mzdová účetní či marketingová firma.
  • získat souhlas se zpracováváním osobních údajů – od lidí, kteří vám poskytují své údaje musíte mít souhlas se zpracováním údajů. V případě dětí je třeba získat souhlas od zákonných zástupců.
Pozor: Všechny souhlasy se zpracováním osobních údajů, udělené před začátkem platnosti GDPR je třeba zrevidovat, zda splňují požadavky GDPR, případně požádat o nové souhlasy.
  • jasně upozorňovat na shromažďování údajů – každá organizace musí jasně vysvětlit, proč osobní údaje zpracovává, jak dlouho bude údaje uchovávat, komu bude osobní údaje poskytovat a jestli bude údaje přenášet i mimo EU
  • zpracovávat osobní údaje jen pro daný, výslovně uvedený účel a jestliže účel zpracování pomine, tak údaje zlikvidovat (pokud není např. ze zákona vyžadováno jejich uchování)
  • chránit osobní údaje pomocí adekvátních bezpečnostních opatření (princip zodpovědnost) – Každá organizace musí přijmout opatření, která zabezpečí osobní údaje. Takovými opatřeními mohou být např. šifrování dat, omezení počtu osob, které mají k osobním údajům přístup. Pokud organizace či instituce provádí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatickém zpracování, bude muset vypracovat DPIA (posouzení vlivu na ochranu osobních údajů). To se týká např. bank, finančních institucí, pojišťoven, nemocnic.
Zabezpečení osobních dat v samotném e-shopu za vás vyřeší poskytovatel e-shopového řešení, ale zabezpečení dat mimo e-shop už si musíte ve firmě vyřešit sami.

Sami tvůrci nařízení uvádí, že po žádné firmě nikdo nebude chtít, aby do zabezpečení dat investovala více než je v jejich možnostech. To znamená, že po obchodníkovi, který má roční obrat 2 mil. Kč nemůže nikdo vyžadovat investici do zabezpečení dat, která tuto částku převyšuje.

  • ohlašovat dozorovému úřadu případy porušení zabezpečení osobních údajů – Jestliže zjistíte, že ve vaší organizaci došlo k porušení zabezpečení osobních údajů (tj. ke zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění osobních údajů), jste povinni toto ohlásit Úřadu pro ochranu osobních údajů do 72 hod. od zjištění. Pokud v souvislosti s tímto porušením zabezpečení hrozí vašim zákazníkům významné riziko poškození, jste povinní toto oznámit i zákazníkům.
  • vést a uchovávat záznamy o činnostech zpracování (o aktivitách týkajících se zpracovávání dat) a na žádost dozorového orgánu mu tyto informace zpřístupnit
  • jmenovat pověřence pro ochranu osobních údajů (DPO) – pozor ale, pověřencem nemůže být např. majitel firmy nebo vedoucí IT oddělení, protože by docházelo ke střetu zájmů.
  • zaškolit zaměstnance v oblasti ochrany a zabezpečení osobních údajů
  • auditovat pravidla týkající se zpracování osobních údajů
  • správce osobních údajů (např. e-shop) musí uzavřít se zpracovatelem údajů (např. účetní firmou, marketingovou agenturou, dopravní firmou) písemnou zpracovatelskou smlouvu

Organizace do 250 zaměstnanců, pro něž není zpracování dat hlavní činností a nezpracovávají citlivá data, jsou od některých povinností osvobozeny. Např. pokud zpracovávají osobní údaje pouze nahodile, nemusí vést záznamy o činnostech zpracování. A tady pozor, právě v té podmínce nahodilosti zpracování je kámen úrazu, protože 95% podnikatelů v České republice nezpracovává osobní údaje pouze nahodile.

Pokud takové organizace (do 250 zaměstnanců viz. výše) neprovádí automatizované zpracování ve velkém rozsahu, nemusí jmenovat pověřence pro ochranu osobních údajů.

 

 

Vytvořeno na systému PublicMC společností BusinessMC s podporou MediaMC | © PublicMC 2005 - 2019