Povinnosti správce dle GDPR

Nařízení GDPR přináší jiný přístup ke zpracování osobních údajů než předchozí zákon o ochraně osobních údajů (ZOOÚ). ZOOÚ stanovoval explicitní povinnosti a obecnou ohlašovací povinnost ÚOOÚ. Tato ohlašovací povinnost byla v GDPR zrušena a nahrazena účinnějšími postupy a mechanismy, které se zaměřují na zpracování osobních údajů představující vysoké riziko pro práva a svobody fyzických osob.

GDPR je obecnější a klade důraz na zásady zpracování osobních údajů. Správce je odpovědný za dodržování těchto zásad a musí být schopen jejich dodržení doložit. Tento přístup nutí správce přemýšlet o ochraně osobních údajů v rámci jednotlivých procesů a provádět důkladný audit zpracování.

Základní zásady zpracování osobních údajů dle GDPR

Dle čl. 6 GDPR musí být osobní údaje zpracovávány podle následujících zásad:

• Zákonnost, korektnost a transparentnost – osobní údaje musí být zpracovávány zákonným, korektním a transparentním způsobem.
• Účelové omezení – údaje musí být shromažďovány pro konkrétní, legitimní účely a nesmějí být zpracovávány způsobem neslučitelným s těmito účely.
• Minimalizace údajů – zpracovávané údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah.
• Přesnost – údaje musí být přesné a aktualizované; nepřesné údaje musí být opraveny nebo vymazány.
• Omezení uložení – údaje lze uchovávat pouze po nezbytnou dobu; delší uchování je možné pouze pro archivaci ve veřejném zájmu, výzkumné nebo statistické účely.
• Integrita a důvěrnost – údaje musí být chráněny vhodnými technickými a organizačními opatřeními proti neoprávněnému přístupu, ztrátě či zničení.

Odpovědnost správce

Správce odpovídá za dodržování zásad zpracování a musí být schopen jejich dodržení doložit. To znamená zavedení vhodných technických a organizačních opatření, která zajistí ochranu osobních údajů. Mezi tato opatření patří například:

• Pseudonymizace a šifrování – ochrana údajů před neoprávněným přístupem.
• Minimalizace přístupu – zpracování pouze nezbytných údajů.
• Standardní ochrana osobních údajů – správce musí zajistit, že osobní údaje nebudou standardně zpřístupněny neomezenému okruhu osob.
• Vedení záznamů o činnostech zpracování – dokumentace účelů, právních základů a doby uchování.

Nástroje pro dodržování GDPR

Pro doložení dodržování zásad GDPR a zajištění transparentnosti lze využít Klíč k ochraně osobních údajů. Tento nástroj umožňuje správci popsat zpracování osobních údajů a vygenerovat dokumentaci odpovídající požadavkům GDPR.

Zvláštní povinnosti v určitých situacích

GDPR zavádí některé další povinnosti v situacích, kdy je vyšší riziko zneužití osobních údajů. Mezi ně patří:

• Jmenování pověřence pro ochranu osobních údajů – povinné pro veřejné instituce a organizace provádějící rozsáhlé zpracování citlivých údajů.
• Posouzení vlivu na ochranu osobních údajů (DPIA) – povinné při zpracování údajů, které představuje vysoké riziko pro subjekty údajů.

Závěr

GDPR klade důraz na odpovědnost správce a proaktivní přístup k ochraně osobních údajů. Dodržování zásad zpracování není jen formální povinností, ale klíčovým faktorem pro zajištění bezpečnosti dat a důvěryhodnosti organizace. Pro správnou implementaci a evidenci opatření lze využít nástroje jako Klíč k ochraně osobních údajů, který pomáhá zajistit transparentnost a soulad s GDPR.