Rychlokurs ochrany osobních údajů

Jak začít s ochranou osobních údajů?

Základem jakékoli činnosti tedy i ochrany osobních údajů je, uvědomit si, co je třeba udělat a proč. Důležité je tedy poznání, co mám jako správce osobních údajů dělat, a dále jak to mám dělat. Začít lze studiem předpisů a dále odborné literatury. Pokud na to nemáte čas ani náladu nabízím Vás stručný rychlokurz ochrany osobních údajů.

Základní ideou ochrany osobních údajů, která je promítnuta do povinností správce, je, že osobní údaje se zpracovávají za určitým účelem. K realizaci konkrétního účelu zpracování jsou potřeba pouze určité osobních údaje (co do množství, tak počtu lidí, jichž se týkají), a dále jsou potřebné pouze určité operace, jež se s osobními údaji provádějí. Stručně řečeno: To, k čemu osobní udaje správce má, musí mít odraz v tom, kolik osobních údajů má a jak je používá. Většina povinností správce nějakým způsobem reaguje na tuto ideu. Základem je proto popis toho, k čemu správce osobní údaje má, kolik jich má, a co s nimi dělá. Zákon si pro to vytvořil speciální termíny jako je účel zpracování, prostředky zpracování, způsob zpracování, kategorie osobních údajů, kategorie subjektů údajů a kategorie příjemců. V těchto termínech je třeba nakládání s osobními údaji (zákon používá termín „zpracování“) popsat.

Zpravidla správce nezpracovává osobní údaje za jedním, ale několika účely. Je proto nutné udělat si jakýsi audit osobních údajů – tedy přehled o tom, jaké osobní údaje zpracovávám, proč to dělám a co s osobními údaji provádím. To je třeba popsat v termínech uvedených v zákoně.

Pokud mám udělaný tento audit osobních údajů, pak mám značnou část jednotlivých povinností splněnou.

Pokud to shrnu, tak jde o to, udělat si audit osobních údajů (co jako správce mám a proč), roztřídit si tyto údaje podle účelu (podle toho, na co je potřebuji) a každý účel podrobně popsat v termínech, jež stanovuje zákon a následně GDPR. Teprve po takto udělaném auditu je možné vyhodnotit, zda je třeba plnit ještě+ nějaké další povinnosti.

Jak to udělat co nejrychleji a nejpohodlněji?

Nejrychlejším způsobem je použít Klíč k ochraně osobních údajů, což je jednak formulář, prostřednictvím kterého lze účel zpracování osobních údajů popsat, a navíc má přímé textové výstupy, které deklarují splnění určité povinnosti. Dle GDPR je pak třeba osobní údaje zpracovávat mimo jiné korektně a transparentně. To znamená, že by měl subjekt údajů mít někde možnost se seznámit s tím, co správce s osobními údaji dělá. K tomu slouží právě Klíč k ochraně osobních údajů, který nabízí vytvoření takové přehledné sestavy a rovněž možnost zveřejnit tuto sestavu informací na webových stránkách v rámci Databáze informací o zpracování osobních údajů.

Výrazné urychlení definování jednotlivých účelů zpracování může přinést použití již vytvořených vzorů zpracování osobních údajů. Mnoho zpracování osobních údajů lze dopředu odhadnout nebo dokonce přímo vyčíst ze zákona, takže je možné vytvořit i obecné vzory, které si správce pouze přizpůsobí svým podmínkám. Tyto vzory, které jsou k dispozici, jsou provedené tak, že je vyplněn Klíč k ochraně osobních údajů těmi údaji, jež zákon vyžaduje pro popis určitého způsobu zpracování.