Splňujete všechny povinnosti stanovené GDPR?

Obecné nařízení (GDPR) vstoupilo v platnost v květnu 2018. Mnoho organizací přistoupilo k naplnění GDPR s veškerou zodpovědností. Přesto jsme se v naší konzultační praxi velice často setkali s neúplnou znalostí povinností definovaných obecným nařízením. Dle našeho názoru tento fakt vyplývá z toho, že mnoho povinností správců a zpracovatelů je uvedeno či blíže vysvětleno v tzv. recitálu (úvodním textu) obecného nařízení a v samotném nařízení je zmíněno jen okrajově, velmi nekonkrétně nebo jen "jedním slovem". Proto jsme naše klienty v průběhu příprav na GDPR vždy nejdříve seznámili se všemi povinnostmi, které pro ně z obecného nařízení vyplývají.

Seznam povinností jsme sestavili na základě úplného rozboru obecného nařízení a od května provádíme u klientů ověření souladu s GDPR. Procházíme s nimi veškeré obecným nařízením definované povinnosti a zjišťujeme úroveň jejich naplňování. Kontrolujeme, jakým způsobem organizace dodržují např.

  • zásady zpracování osobních údajů
  • zákonnost (právní důvod) zpracování osobních údajů
  • výkon práv subjektů údajů (fyzických osob)
  • podmínky vyjádření souhlasu se zpracováním osobních údajů
  • podmínky zpracování zvláštních kategorií osobních údajů
  • podmínky předávání osobních údajů mimo Evropskou unii (do tzv. třetích zemí)
  • podmínky hlášení porušení zabezpečení osobních údajů (včetně vedení jejich dokumentace)
  • podmínky zpracování osobních údajů prostřednictvím zpracovatelů s dostatečnými zárukami
  • povinnost přijetí vnitřní koncepce ochrany osobních údajů
  • povinnost vést písemné záznamy o činnostech zpracování
  • povinnost posuzovat rizika pro práva a svobody fyzických osob (tzv. analýza rizik)
  • povinnost zavést, evidovat, pravidelně kontrolovat a vyhodnocovat technická a organizační opatření
  • případnou povinnost provést posouzení vlivu na ochranu osobních údajů
  • případnou povinnost jmenovat pověřence pro ochranu osobních údajů

Nejčastěji se setkáváme s tím, že organizace nesprávně určuje zákonnost (právní důvod) zpracování osobních údajů a vyžaduje od svých zaměstnanců, zákazníků či dodavatelů neoprávněně souhlas se zpracováním osobních údajů nebo podepisuje nadbytečné smlouvy. Většina organizací pak zapomíná na zásadní povinnost posoudit rizika z hlediska dopadů na práva a svobody fyzických osob nebo nedokáže určit vhodnou metodiku pro takové posouzení rizik. Častým problémem je také plnění povinností pro výkon práv subjektů údajů, především způsob poskytnutí povinných informací v okamžiku získání osobních údajů fyzických osob.

Tomáš Jandečka, konzultant

Chcete ověřit, jak plníte veškeré povinnosti stanovené obecným nařízením?

Potřebujete poradit, jak posoudit rizika pro práva a svobody fyzických osob?


Kontaktujte nás:
European Business Enterprise, a.s.
Masarykovo nám. 14, 251 01 Říčany
info@helpgdpr.cz
tel. +420 323 601 531
mob. +420 739 012 615


16.08.2018 (autor Redakce)





Související

Poznatky Úřadu k používání GDPR

Úřad pro ochranu osobních údajů informoval ústy vrchního rady pro vládní agendy Miroslavy Matoušové...

 vydáno 12.11.2018 
Téma: Evidence zpracování

GDPR telefonní linka

Telefonní číslo GDPR linky je k dispozici pro rychlé konzultace k obecnému nařízení (GDPR). Linka je určena...

 vydáno 30.08.2018 
Téma: Zákony a GDPR

Metodika ke kodexům chování

Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách metodickou příručku k vytváření kodexů...

 vydáno 06.08.2018 
Téma: Zákony a GDPR



Související dotazy
Odpovídá Mgr. Martin Leskovjan
Kodex chování a Osvědčení o ochraně osobních údajů, jsou instituty dle Obecného nařízení pro ochranu osobních údajů (GDPR), které jsou založeny na...

Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, povinnost vést záznamy o činnostech zpracování se na Vás vztahovat bude. Jednak bude nutné mít se všemi správci, pro které osobní...

Odpovídá Ing. Vladimír Paclík
Dobrý den, požadavky Obecného nařízení se týkají všech subjektů, které zpracovávají osobní údaje - tedy i malých stavebních firem. Primární je...



www.helpgdpr.cz
© Copyright 2000 - 2018, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz