Technická a organizační opatření v GDPR
Nařízení GDPR ukládá správcům a zpracovatelům osobních údajů povinnost přijmout odpovídající technická a organizační opatření k zajištění ochrany osobních údajů. Tato opatření musí zajistit splnění požadavků na bezpečnost a transparentnost zpracování osobních údajů.
Základní principy technických a organizačních opatření
V úvodním ustanovení GDPR (bod 78) jsou technická a organizační opatření popsána následovně:
„Pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů je třeba přijmout vhodná technická a organizační opatření, která zajistí splnění požadavků tohoto nařízení...“
Tato opatření se zaměřují zejména na:
- Minimalizaci zpracování osobních údajů.
- Pseudonymizaci údajů, kde je to možné.
- Transparentnost zpracování a umožnění subjektům údajů monitorovat, jak jsou jejich údaje používány.
- Zavedení bezpečnostních opatření odpovídajících aktuálním technologickým standardům.
- Zajištění souladnosti zpracování údajů již při vývoji a zavádění nových technologií („privacy by design“).
Implementace opatření v praxi
Pro správné zavedení ochrany osobních údajů je nezbytné, aby správce provedl audit svých činností a klasifikoval jednotlivé procesy podle účelů zpracování. U každého účelu zpracování je nutné:
- Stanovit právní důvod zpracování.
- Vymezit rozsah zpracovávaných osobních údajů.
- Určit dobu uchovávání údajů.
- Stanovit, jakým způsobem budou údaje chráněny.
V oblasti transparentnosti je správce povinen informovat subjekty údajů o tom, jak jsou jejich údaje zpracovávány. Nejlepším způsobem je zveřejnění těchto informací na webových stránkách správce. K tomu lze využít nástroje jako Klíč k ochraně osobních údajů nebo Databáze informací o zpracování osobních údajů.
Zvláštní technická a organizační opatření dle GDPR
V určitých případech GDPR stanovuje povinnost zavést specifická technická a organizační opatření. Tato povinnost se obvykle netýká malých správců (do 250 zaměstnanců), kteří nezpracovávají citlivé údaje nebo neprovádějí rozsáhlé profilování. Mezi tato opatření patří:
- Záznamy o činnostech zpracování (čl. 30 GDPR) – Povinnost vést přehled o tom, jak jsou osobní údaje zpracovávány.
- Posouzení vlivu na ochranu osobních údajů (čl. 35 GDPR) – Povinné v případech, kdy zpracování pravděpodobně představuje vysoké riziko.
- Předchozí konzultace s ÚOOÚ (čl. 36 GDPR) – Povinné v případě vysokého rizika pro práva a svobody subjektů údajů.
- Pověřenec pro ochranu osobních údajů (čl. 37 – 39 GDPR) – Povinný pro veřejné instituce a organizace provádějící rozsáhlé monitorování.
- Spolupráce s Úřadem pro ochranu osobních údajů – Povinnost poskytovat součinnost dozorovým orgánům.
- Ohlašování bezpečnostních incidentů (čl. 33 GDPR) – Povinnost hlásit porušení ochrany údajů dozorovému úřadu.
- Kodexy chování a certifikace – Možnost využívat standardizované postupy pro prokázání souladu s GDPR.
Závěr
Zavedení technických a organizačních opatření podle GDPR je nezbytné pro splnění požadavků na ochranu osobních údajů. Každý správce by měl provést audit svých činností, identifikovat rizika a přijmout odpovídající bezpečnostní opatření. Automatizované nástroje, jako je Klíč k ochraně osobních údajů, mohou celý proces usnadnit a pomoci zajistit soulad s GDPR.