Technická a organizační opatření v GDPR

GDPR zavádí povinnost správce a zpracovatele přijmout vhodná technická a organizační opatření k zabezpečení ochrany osobních údajů. V odst. 78 úvodních ustanoveních GDPR jsou technická a organizační opatření popsána následovně: Pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů je třeba přijmout vhodná technická a organizační opatření, aby se zajistilo splnění požadavků vyplývajících z tohoto nařízení. Aby správce mohl doložit soulad s tímto nařízením, měl by přijmout vnitřní koncepce a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by mohla mimo jiné spočívat v minimalizaci zpracování osobních údajů, co nejrychlejší pseudonymizaci osobních údajů, transparentnosti s ohledem na funkce a zpracování osobních údajů, umožnění subjektům údajů monitorovat zpracování osobních údajů a umožnění správcům vytvářet a zlepšovat bezpečnostní prvky. Pokud jde o vývoj, koncepci, výběr a používání aplikací, služeb a produktů, které jsou založeny na zpracování osobních údajů nebo osobní údaje za účelem plnění svých funkcí zpracovávají, je třeba zhotovitele těchto produktů, služeb a aplikací vybízet k tomu, aby při vývoji a koncipování těchto produktů, služeb a aplikací zohledňovali právo na ochranu údajů a brali náležitý ohled na stav techniky s cílem zajistit, aby správci a zpracovatelé mohli plnit své povinnosti v oblasti ochrany údajů. Zásady záměrné a standardní ochrany osobních údajů by rovněž měly být zohledněny v souvislosti s veřejnými zakázkami.

Je tak zřejmé, že tato opatření by měla směřovat k naplnění zásad zpracování v několika oblastech.

Jednak v rozsahu zpracovaných osobních údajů, tak i v době zpracování. Rozsah zpracování včetně doby uchovávání by měl být stanoven již předem.

V tomto ohledu je vhodné, ostatně pro plnění dalších povinností v zásadě nezbytné, aby si správce roztřídil (provedl audit) jednotlivých agend, při kterých zpracovává osobní údaje podle účelů zpracování. U těchto účelů zpracování je třeba vyhodnotit, jaký je právní důvod zpracování, a k jednotlivým účelům zpracování rozmyslet a stanovit, jaký bude rozsah zpracovávaných osobních údajů a doba zpracování.

V oblasti transparentnost a umožnění subjektům údajů monitorovat zpracování osobních údajů je subjekty údajů dopředu informovat o tom, jaké zpracování osobních údajů správce provádí a na základě jakých právních důvodů. Opět pro naplnění této zásady bude vhodné roztřídit agendy podle účelu zpracování a v rámci těchto účelů zpracování pospat rozsah způsob a důvod zpracování osobních údajů a tyto informace zveřejnit někde na webových stránkách správce. Právě k tomu slouží nástroje k ochraně osobních údajů jako je Klíč k ochraně osobních údajů) a Databáze informací o zpracování osobních údajů).

GDPR stanovuje povinnost v určitých případech využít některá zvláštní technická a organizační opatření, stanovená přímo v GDPR. Povinnost provádět tyto technická a organizační opatření nemají všichni správci. Zpravidla se netýká těch malých (správců do 250 zaměstnanců), kteří navíc nezpracovávají osobní údaje citlivé nebo neprovádí profilování na základě osobních údajů. U každého takto nařízeného opatření jsou však podmínky, za kterých se na jednotlivé zpracování vztahují, stanoveny zvlášť. Tyto zvláštní technická a organizační opatření jsou:

Záznamy o činnostech zpracování (čl. 30 GDPR)

Posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů (čl. 35 GDPR)

Předchozí konzultace s ÚOOÚ (čl. 36 GDPR)

Využití pověřence pro ochranu osobních údajů (čl. 37 – 39 GDPR)

Spolupráce s Úřadem pro ochranu osobních údajů

Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu (čl. 33 GDPR)

Využívání kodexů chování a osvědčení