Povinnosti správce dle zákona o ochraně osobních údajů
Tento výčet povinností správce vychází z již neplatného zákona o ochraně osobních údajů. V současnosti se správci musí řídit GDPR, avšak pro srovnání a lepší pochopení historického vývoje je užitečné tyto povinnosti uvést. Správce je zároveň povinen vyhovět právům subjektů údajů. Povinnosti lze rozdělit do dvou skupin:
- Deklarační a dokumentační povinnosti – nutnost stanovit, evidovat nebo deklarovat určité informace.
- Faktické povinnosti – povinnost určitého chování a jednání v praxi.
Deklarační a dokumentační povinnosti
Tyto povinnosti lze splnit písemně, typicky prostřednictvím vydání interních dokumentů nebo vyplnění předepsaných formulářů. Mezi ně patří:
- Stanovení účelu, ke kterému budou osobní údaje zpracovány.
- Určení prostředků a způsobu zpracování osobních údajů.
- Zpracování osobních údajů pouze se souhlasem subjektu údajů.
- Informování subjektů údajů o rozsahu a účelu zpracování, o správci údajů a příjemcích údajů.
- Poskytnutí informací o právech subjektu údajů, včetně práva na přístup a opravu osobních údajů.
- Poučení subjektu údajů o povinnosti nebo dobrovolnosti poskytnutí osobních údajů a o následcích odmítnutí.
- Poskytování informací o zpracování osobních údajů na žádost subjektu údajů.
- Zajištění dostupnosti informací o účelu zpracování, kategoriích osobních údajů a příjemcích dálkovým přístupem nebo jinou vhodnou formou.
- Oznamovací povinnost vůči Úřadu pro ochranu osobních údajů (ÚOOÚ) v určitých případech.
- Žádost o povolení k předání osobních údajů do zahraničí.
Většinu těchto povinností lze splnit pomocí Klíče k ochraně osobních údajů, který umožňuje správně popsat zpracování osobních údajů a vygenerovat odpovídající dokumentaci.
Faktické povinnosti
Tyto povinnosti vyžadují aktivní jednání správce nebo zpracovatele osobních údajů a je nutné je dodržovat při jakémkoli zpracování osobních údajů. Mezi faktické povinnosti patří:
- Zpracovávat pouze přesné osobní údaje získané v souladu se zákonem.
- Dokumentovat přijatá technická a organizační opatření k ochraně osobních údajů.
- Blokovat a likvidovat osobní údaje, pokud jejich uchování není nadále oprávněné.
- Shromažďovat pouze ty osobní údaje, které jsou nezbytné pro stanovený účel.
- Uchovávat osobní údaje pouze po dobu nezbytně nutnou k dosažení účelu zpracování.
- Zpracovávat osobní údaje výhradně v souladu se stanoveným účelem.
- Zajistit, aby osobní údaje byly shromažďovány transparentně.
- Nesdružovat osobní údaje získané pro rozdílné účely.
- Dbát na to, aby při zpracování osobních údajů nebyla porušena práva subjektů údajů.
Závěr
Dodržování těchto povinností bylo klíčové v rámci předchozího zákona o ochraně osobních údajů. I když se nyní řídíme GDPR, mnoho těchto principů stále platí a je součástí moderních předpisů. Pro efektivní splnění těchto požadavků lze využít specializované nástroje, jako je Klíč k ochraně osobních údajů, který usnadňuje správu povinností a zajišťuje soulad s právními předpisy.