Splňujete všechny povinnosti stanovené GDPR?

Obecné nařízení (GDPR) vstoupilo v platnost v květnu 2018. Mnoho organizací přistoupilo k naplnění GDPR s veškerou zodpovědností. Přesto jsme se v naší konzultační praxi velice často setkali s neúplnou znalostí povinností definovaných obecným nařízením. Dle našeho názoru tento fakt vyplývá z toho, že mnoho povinností správců a zpracovatelů je uvedeno či blíže vysvětleno v tzv. recitálu (úvodním textu) obecného nařízení a v samotném nařízení je zmíněno jen okrajově, velmi nekonkrétně nebo jen "jedním slovem". Proto jsme naše klienty v průběhu příprav na GDPR vždy nejdříve seznámili se všemi povinnostmi, které pro ně z obecného nařízení vyplývají.

Seznam povinností jsme sestavili na základě úplného rozboru obecného nařízení a od května provádíme u klientů ověření souladu s GDPR. Procházíme s nimi veškeré obecným nařízením definované povinnosti a zjišťujeme úroveň jejich naplňování. Kontrolujeme, jakým způsobem organizace dodržují např.

  • zásady zpracování osobních údajů
  • zákonnost (právní důvod) zpracování osobních údajů
  • výkon práv subjektů údajů (fyzických osob)
  • podmínky vyjádření souhlasu se zpracováním osobních údajů
  • podmínky zpracování zvláštních kategorií osobních údajů
  • podmínky předávání osobních údajů mimo Evropskou unii (do tzv. třetích zemí)
  • podmínky hlášení porušení zabezpečení osobních údajů (včetně vedení jejich dokumentace)
  • podmínky zpracování osobních údajů prostřednictvím zpracovatelů s dostatečnými zárukami
  • povinnost přijetí vnitřní koncepce ochrany osobních údajů
  • povinnost vést písemné záznamy o činnostech zpracování
  • povinnost posuzovat rizika pro práva a svobody fyzických osob (tzv. analýza rizik)
  • povinnost zavést, evidovat, pravidelně kontrolovat a vyhodnocovat technická a organizační opatření
  • případnou povinnost provést posouzení vlivu na ochranu osobních údajů
  • případnou povinnost jmenovat pověřence pro ochranu osobních údajů

Nejčastěji se setkáváme s tím, že organizace nesprávně určuje zákonnost (právní důvod) zpracování osobních údajů a vyžaduje od svých zaměstnanců, zákazníků či dodavatelů neoprávněně souhlas se zpracováním osobních údajů nebo podepisuje nadbytečné smlouvy. Většina organizací pak zapomíná na zásadní povinnost posoudit rizika z hlediska dopadů na práva a svobody fyzických osob nebo nedokáže určit vhodnou metodiku pro takové posouzení rizik. Častým problémem je také plnění povinností pro výkon práv subjektů údajů, především způsob poskytnutí povinných informací v okamžiku získání osobních údajů fyzických osob.

Tomáš Jandečka, konzultant

Chcete ověřit, jak plníte veškeré povinnosti stanovené obecným nařízením?

Potřebujete poradit, jak posoudit rizika pro práva a svobody fyzických osob?


Kontaktujte nás:
European Business Enterprise, a.s.
Masarykovo nám. 14, 251 01 Říčany
info@helpgdpr.cz
tel. +420 323 601 531
mob. +420 739 012 615


16.08.2018 (autor Redakce)





Související

Vyjádření ÚOOÚ k otázce plnění informační povinnosti při zpracování osobních údajů v obchodních podmínkách nebo obdobných dokumentech

V rámci obchodní činnosti řada subjektů při sjednávání smluv se zákazníky využívá obchodních podmínek, kdy...

 vydáno 03.10.2019 
Téma: Zavedení GDPR

Pokyny k veřejné diskuzi

Evropský sbor pro ochranu osobních údajů (dříve Pracovní skupina WP29) uveřejňuje na svém webu pokyny k...

 vydáno 19.02.2019 
Téma: GDPR a procesy

K povinnosti správců provádět posouzení vlivu na ochranu osobních údajů

Úřad uveřejnil na svých webových stránkách dokument „K povinnosti správců provádět posouzení vlivu na...

 vydáno 12.02.2019 
Téma: Evidence zpracování



Související dotazy
Odpovídá Mgr. Martin Leskovjan
Kodex chování a Osvědčení o ochraně osobních údajů, jsou instituty dle Obecného nařízení pro ochranu osobních údajů (GDPR), které jsou založeny na...

Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, povinnost vést záznamy o činnostech zpracování se na Vás vztahovat bude. Jednak bude nutné mít se všemi správci, pro které osobní...

Odpovídá Ing. Vladimír Paclík
Dobrý den, požadavky Obecného nařízení se týkají všech subjektů, které zpracovávají osobní údaje - tedy i malých stavebních firem. Primární je...



www.helpgdpr.cz
© Copyright 2000 - 2019, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz