Splňujete všechny povinnosti stanovené GDPR?
Obecné nařízení (GDPR) vstoupilo v platnost v květnu 2018. Mnoho organizací přistoupilo k naplnění GDPR s veškerou zodpovědností. Přesto jsme se v naší konzultační praxi velice často setkali s neúplnou znalostí povinností definovaných obecným nařízením. Dle našeho názoru tento fakt vyplývá z toho, že mnoho povinností správců a zpracovatelů je uvedeno či blíže vysvětleno v tzv. recitálu (úvodním textu) obecného nařízení a v samotném nařízení je zmíněno jen okrajově, velmi nekonkrétně nebo jen "jedním slovem". Proto jsme naše klienty v průběhu příprav na GDPR vždy nejdříve seznámili se všemi povinnostmi, které pro ně z obecného nařízení vyplývají.
Seznam povinností jsme sestavili na základě úplného rozboru obecného nařízení a od května provádíme u klientů ověření souladu s GDPR. Procházíme s nimi veškeré obecným nařízením definované povinnosti a zjišťujeme úroveň jejich naplňování. Kontrolujeme, jakým způsobem organizace dodržují např.
- zásady zpracování osobních údajů
- zákonnost (právní důvod) zpracování osobních údajů
- výkon práv subjektů údajů (fyzických osob)
- podmínky vyjádření souhlasu se zpracováním osobních údajů
- podmínky zpracování zvláštních kategorií osobních údajů
- podmínky předávání osobních údajů mimo Evropskou unii (do tzv. třetích zemí)
- podmínky hlášení porušení zabezpečení osobních údajů (včetně vedení jejich dokumentace)
- podmínky zpracování osobních údajů prostřednictvím zpracovatelů s dostatečnými zárukami
- povinnost přijetí vnitřní koncepce ochrany osobních údajů
- povinnost vést písemné záznamy o činnostech zpracování
- povinnost posuzovat rizika pro práva a svobody fyzických osob (tzv. analýza rizik)
- povinnost zavést, evidovat, pravidelně kontrolovat a vyhodnocovat technická a organizační opatření
- případnou povinnost provést posouzení vlivu na ochranu osobních údajů
- případnou povinnost jmenovat pověřence pro ochranu osobních údajů
Nejčastěji se setkáváme s tím, že
organizace nesprávně určuje zákonnost (právní důvod) zpracování osobních údajů a vyžaduje od svých zaměstnanců, zákazníků či dodavatelů
neoprávněně souhlas se zpracováním osobních údajů nebo podepisuje nadbytečné smlouvy. Většina organizací pak zapomíná na zásadní
povinnost posoudit rizika z hlediska dopadů na práva a svobody fyzických osob nebo nedokáže určit vhodnou metodiku pro takové posouzení rizik. Častým problémem je také plnění povinností pro výkon práv subjektů údajů, především
způsob poskytnutí povinných informací v okamžiku získání osobních údajů fyzických osob.
Tomáš Jandečka, konzultant
Chcete ověřit, jak plníte veškeré povinnosti stanovené obecným nařízením?
Potřebujete poradit, jak posoudit rizika pro práva a svobody fyzických osob?
Kontaktujte nás:
European Business Enterprise, a.s.
Masarykovo nám. 14, 251 01 Říčany
info@helpgdpr.cz
tel. +420 323 601 531
mob. +420 739 012 615
Související
V současné době digitalizace se ne vždy daří, aby byly ve veřejných agendách respektovány požadavky na...
vydáno 07.10.2022
Téma: Zákony a GDPR
Úřad pro ochranu osobních údajů připomíná na základě svých dozorových poznatků odpovědnost správce i za...
vydáno 12.08.2020
Téma: GDPR a IT systémy
Úřad pro ochranu osobních údajů připravil aktualizovanou verzi dokumentu „K povinnosti správců provádět...
vydáno 09.01.2020
Téma: Dokumentace GDPR
Související dotazy
Odpovídá Mgr. Martin Leskovjan
Kodexy chování a osvědčení o ochraně osobních údajů jsou dva odlišné nástroje v oblasti ochrany osobních údajů, které jsou uznány podle obecného...
Odpovídá Vladimír Paclík
Dovolíme si Vás informovat o klíčových požadavcích Obecného nařízení o ochraně osobních údajů (GDPR), které se týkají všech subjektů...
Odpovídá Vladimír Paclík
Dobrý den,
ano, povinnost vést záznamy o činnostech zpracování se na Vás vztahovat bude.
Jednak bude nutné mít se všemi správci, pro které osobní...