Splňujete všechny povinnosti stanovené GDPR?
Obecné nařízení (GDPR) vstoupilo v platnost v květnu 2018. Mnoho organizací přistoupilo k naplnění GDPR s veškerou zodpovědností. Přesto jsme se v naší konzultační praxi velice často setkali s neúplnou znalostí povinností definovaných obecným nařízením. Dle našeho názoru tento fakt vyplývá z toho, že mnoho povinností správců a zpracovatelů je uvedeno či blíže vysvětleno v tzv. recitálu (úvodním textu) obecného nařízení a v samotném nařízení je zmíněno jen okrajově, velmi nekonkrétně nebo jen "jedním slovem". Proto jsme naše klienty v průběhu příprav na GDPR vždy nejdříve seznámili se všemi povinnostmi, které pro ně z obecného nařízení vyplývají.
Seznam povinností jsme sestavili na základě úplného rozboru obecného nařízení a od května provádíme u klientů ověření souladu s GDPR. Procházíme s nimi veškeré obecným nařízením definované povinnosti a zjišťujeme úroveň jejich naplňování. Kontrolujeme, jakým způsobem organizace dodržují např.
- zásady zpracování osobních údajů
- zákonnost (právní důvod) zpracování osobních údajů
- výkon práv subjektů údajů (fyzických osob)
- podmínky vyjádření souhlasu se zpracováním osobních údajů
- podmínky zpracování zvláštních kategorií osobních údajů
- podmínky předávání osobních údajů mimo Evropskou unii (do tzv. třetích zemí)
- podmínky hlášení porušení zabezpečení osobních údajů (včetně vedení jejich dokumentace)
- podmínky zpracování osobních údajů prostřednictvím zpracovatelů s dostatečnými zárukami
- povinnost přijetí vnitřní koncepce ochrany osobních údajů
- povinnost vést písemné záznamy o činnostech zpracování
- povinnost posuzovat rizika pro práva a svobody fyzických osob (tzv. analýza rizik)
- povinnost zavést, evidovat, pravidelně kontrolovat a vyhodnocovat technická a organizační opatření
- případnou povinnost provést posouzení vlivu na ochranu osobních údajů
- případnou povinnost jmenovat pověřence pro ochranu osobních údajů
Nejčastěji se setkáváme s tím, že
organizace nesprávně určuje zákonnost (právní důvod) zpracování osobních údajů a vyžaduje od svých zaměstnanců, zákazníků či dodavatelů
neoprávněně souhlas se zpracováním osobních údajů nebo podepisuje nadbytečné smlouvy. Většina organizací pak zapomíná na zásadní
povinnost posoudit rizika z hlediska dopadů na práva a svobody fyzických osob nebo nedokáže určit vhodnou metodiku pro takové posouzení rizik. Častým problémem je také plnění povinností pro výkon práv subjektů údajů, především
způsob poskytnutí povinných informací v okamžiku získání osobních údajů fyzických osob.
Tomáš Jandečka, konzultant
Chcete ověřit, jak plníte veškeré povinnosti stanovené obecným nařízením?
Potřebujete poradit, jak posoudit rizika pro práva a svobody fyzických osob?
Kontaktujte nás:
European Business Enterprise, a.s.
Masarykovo nám. 14, 251 01 Říčany
info@helpgdpr.cz
tel. +420 323 601 531
mob. +420 739 012 615
Související
Evropský sbor pro ochranu osobních údajů (dříve Pracovní skupina WP29) uveřejňuje na svém webu pokyny k...
vydáno 19.02.2019
Téma: GDPR a procesy
Úřad uveřejnil na svých webových stránkách dokument „K povinnosti správců provádět posouzení vlivu na...
vydáno 12.02.2019
Téma: Evidence zpracování
Úřad pro ochranu osobních údajů informoval ústy vrchního rady pro vládní agendy Miroslavy Matoušové...
vydáno 12.11.2018
Téma: Evidence zpracování
Související dotazy
Odpovídá Mgr. Martin Leskovjan
Kodex chování a Osvědčení o ochraně osobních údajů, jsou instituty dle Obecného nařízení pro ochranu osobních údajů (GDPR), které jsou založeny na...
Odpovídá Ing. Vladimír Paclík
Dobrý den,
ano, povinnost vést záznamy o činnostech zpracování se na Vás vztahovat bude.
Jednak bude nutné mít se všemi správci, pro které osobní...
Odpovídá Ing. Vladimír Paclík
Dobrý den,
požadavky Obecného nařízení se týkají všech subjektů, které zpracovávají osobní údaje - tedy i malých stavebních firem.
Primární je...