Posts Tagged ‘GDPR’
Uvedení jmen zaměstnanců na firemních webových stránkách a ochrana osobních údajů
Mnohé firmy, úřady i organizace na svých webových stránkách uveřejňují některé kontaktní údaje na své zaměstnance. Nemůže však být takové zveřejnění osobních údajů v rozporu s ochranou osobních údajů dle nařízení GDPR?
V sekci kontakty na firemních internetových stránkách mnohdy můžeme najít jméno a příjmení, služební telefon a firemní internetovou adresu nejen na statutární zástupce firmy, ale i na pracovníky na pozicích vedoucích zaměstnanců i na obchodní zástupce.
Dle názoru ÚOOÚ zveřejněném na webu úřadu plyne, že zaměstnavatel je oprávněn sdělovat ty osobní údaje zaměstnance, které se týkají výlučně jeho pracovních aktivit a zjevně nevypovídají o jeho soukromém životě. Jedná se tak o oprávněný důvod zaměstnavatele.
Nakládání s osobními údaji zaměstnanců nelze brát na lehkou váhu. Zpracovávat osobní údaje zaměstnance, které se týkají jeho osobního života a není-li pro toto zpracování dána některá ze zákonných výjimek, lze pouze s výslovným souhlasem zaměstnance.
Pokud si nevíte rady s řešením ochrany osobních údajů dle nařízení GDPR ve vaší firmě, poraďte se ve společnosti ANERI s.r.o. v Liberci.
Výmaz osobních údajů na základě požadavku subjektu údajů
Pokud jste upravili své procesy dle GDPR a máte přehled kde a jaká data zpracováváte, lehce se s požadavkem na výmaz osobních údajů vypořádáte.
Jestliže nezpracováváte osobní údaje na základě souhlasu subjektu údajů a dodržujete veškeré termíny na zpracování osobních údajů dané ostatními zákony a předpisy, je žádost o výmaz bezpředmětná a můžete obratem žadatele informovat, proč jeho žádosti nemůžete vyhovět.
Pokud nemáte GDPR vyřešeno, začněte se požadavkem o výmaz osobních údajů zabývat. Na vyřešení máte 1 měsíc. Nejprve si ověřte, že žadatelem je opravdu ten, jehož data mají být vymazána. Pokračujte tím, že si zmapujete, jaká data a kde zpracováváte a zda pro vás tato data zpracovávají i vaši zpracovatelé. Až budete mít přehled, jaká data zpracováváte, ujasněte si, na základě jakého důvodu je zpracováváte. Pokud osobní údaje zpracováváte na základě souhlasu a nemáte pro jejich zpracování jiný právní důvod, musíte na požádání osobní údaje vymazat. Nezapomeňte na tuto povinnost upozornit i zpracovatele, kteří na základě vašeho požadavku osobní data zpracovávají, aby také provedli výmaz.
Jestliže osobní údaje zpracováváte na základě smlouvy, objednávky, daňové povinnosti, oprávněného zájmu či jiné zákonné povinnosti, výmaz provést nemůžete a pouze o této skutečnosti žadatele informujete.
Je pochopitelné, že pro každou firmu je zavedení GDPR nemalou zátěží administrativní, časovou i finanční. Žádné organizaci nic nebrání v tom, využít služeb externích konzultantů pro úkoly související s ochranou osobních údajů. Mezi firmy nabízející pomoc, poradenství a konzultace při zavádění GDPR ve firmách patří společnost ANERI s.r.o. z Liberce.
Vyřešením ochrany osobních údajů dle GDPR a přijetím potřebných opatření firma předchází problémům, následným starostem a případným pokutám.
Ochranu osobních údajů stéle ještě nemají všechny firmy vyřešenu
Přestože média se nařízení o ochraně osobních údajů (GDPR) už téměř nevěnují, nařízení opravdu platí a období klidu, ve kterém ÚOOÚ slibuje toleranci k případným prohřeškům, nebude trvat věčně.
Vzhledem k riziku pokut se určitě vyplatí přijmout základní opatření a řídit se potřebnými pravidly při ochraně osobních údajů.
Ne všichni lidé jsou přející, a tak se každé firmě může stát, že nespokojený zákazník či zaměstnanec nebo konkurence upozorní kontrolní úřad na nedostatky při nakládání s osobními údaji. Kontrola pracovníků Úřadu na ochranu osobních údajů na sebe nenechá dlouho čekat. Připravte se na tuto kontrolu včas a dejte si alespoň základní věci do pořádku.
V případě kontroly pracovníků ÚOOÚ musíte být schopni doložit řadu dokladů, mezi kterými nemůžou chybět vnitrofiremní směrnice nakládání s osobními údaji, smlouvy se zpracovateli osobních údajů a doložitelné dokumenty o informování zaměstnanců. Důležité je také vyřešení zabezpečení elektronických dat s osobními údaji.
Pokud vám ještě nějaké kroky či případné dokumenty k zavedení GDPR ve vaší firmě chybí a chcete se poradit, neváhejte kontaktovat pracovníky společnosti ANERI s.r.o. z Liberce. V případě vašeho zájmu vám přímo pro vaši firmu vypracují potřebné dokumenty a smlouvy certifikovaní konzultanti GDPR.
http://dataosobni.cz/zakladni-pojmy/
http://dataosobni.cz/2019/01/24/ochranu-osobnich-udaju-stele-jeste-nemaji-vsechny-firmy-vyresenu/
Vztah správce a zpracovatele při zpracování osobních údajů
Při některých úkonech zpracování osobních úkonů může správce využít služeb jiného subjektu – zpracovatele. Správce by měl vždy využívat služeb takového zpracovatele, který je schopen poskytnout dostatečné záruky technických a organizačních opatření, tak aby byla zajištěna ochrana zpracovávaných osobních údajů a práva subjektu údajů.
Zpracovatel v rámci činnosti pro správce může provádět pouze takové zpracovatelské operace, kterými jej správce pověřil, nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.
Vztah mezi správcem a zpracovatelem osobních údajů musí být ošetřen smluvně. Smlouva musí obsahovat dobu trvání zpracovávání osobních údajů, předmět a účel zpracování, typ osobních údajů a povinnosti a práva správce i zpracovatele.
Uzavřením smlouvy se zpracovatelem se správce nezbavuje odpovědnosti za zpracování osobních údajů.
V případě porušení zabezpečení osobních údajů musí správce nahlásit na ÚOOÚ do 72 hodin od okamžiku zjištění možnost rizika pro subjekt údajů. Kdežto zpracovatel je povinen porušení neprodleně nahlásit správci a ne na ÚOOÚ.
Každý správce i zpracovatel osobních údajů by měl mít jasno o svých právech a povinnostech. Určitě se vyplatí požádat o radu zkušené odborníky. Jak nakládat s osobními údaji a zajistit smluvní vztah mezi správcem a zpracovatelem poradí proškolení pracovníci ze společnosti ANERI s.r.o. v Liberci.
http://dataosobni.cz/2018/11/22/vztah-spravce-a-zpracovatele-pri-zpracovani-osobnich-udaju/
Zabezpečení elektronických dokumentů s osobními údaji
Osobní údaje v počítačích a ostatních elektronických zařízeních musí být zabezpečeny tak, aby byl k těmto datům znemožněn přístup neoprávněným osobám.
Přístup k osobním údajům v počítači může mít vždy pouze pracovník pověřený s danými údaji pracovat. Přístup k údajům by měl být zabezpečen na základě správně zvoleného hesla. U velkých a složitých systémů je nutné zajistit elektronické záznamy, které umožní ověřit, kdo a kdy data s osobními údaji užíval.
Zabezpečení dat s osobními údaji musí být zajištěno i při jejich převážení. Např. nenechávat počítače či datové nosiče bez dozoru v autě.
Osobní údaje je nutné chránit i při jejich zasílání elektronickou poštou. Doporučuje se soubory s větším množstvím dat s osobními údaji nebo s citlivými osobními údaji zasílat šifrované.
Posílání prostých e-mailů používaných v běžné komunikaci s obchodním partnerem není dle vyjádření ÚOOÚ porušením zákona.
Pokud si nevíte rady s řešením ochrany osobních údajů dle nařízení GDPR ve vaší firmě, poraďte se ve společnosti ANERI s.r.o. v Liberci.
http://dataosobni.cz/2018/10/19/zabezpeceni-elektronickych-dokumentu-s-osobnimi-udaji/
Každá firma zpracovávající osobní údaje by měla mít interní směrnice pro GDPR
Pokud hledáte na internetu vzorové interní směrnice pro GDPR, těžko najdete takovou, která bude odpovídat přesně vašim potřebám. Každá firma je jiná a jinak nakládá s osobními údaji.
Základem je udělat si jasno (nejlépe sepsat), jaká data jsou shromažďována, jak jsou chráněna a kdo k nim má přístup a kdo odpovídá za veškeré související procesy. Až budete směrnici sepisovat, nezapomeňte uvést: Podle jakého zákona (nařízení) je tvořena, od kdy je směrnice platná, jak se nakládá s daty s osobními údaji ve vaší firmě (jak jsou data pořizována, zpracovávána a ukládána). Důležité je uvést způsob ochrany a zabezpečení dat jak elektronických, tak tištěných. Směrnice by také měla obsahovat zásady bezpečnostních principů pro práci s daty. Určitě nesmíte zapomenout určit odpovědné osoby, osoby, které s daty nakládají a zpracovávají je včetně osob i firem externích, které na základě smlouvy pro vás data s osobními údaji zpracovávají. Každá směrnice také musí obsahovat ustanovení, kdo směrnici vydává a schvaluje.
Je pochopitelné, že pro mnohé menší a středně velké firmy je časově náročné podrobně studovat veškeré náležitosti související s GDPR. Takovýmto firmám se určitě vyplatí poradit se s odborníky a vyřešit otázku GDPR bez zbytečných starostí. Mezi společnosti, které nabízej pomoc nejen s vytvořením vnitrofiremních směrnic, ale i s kompletním zavedením GDPR ve firmách patří společnost ANERI s.r.o. z Liberce.
GDPR nařízení
Legislativa řídící ochranu osobních údajů v ČR byla zastaralá. Neznala sociální sítě ani moderní technologie. Kdysi lidé nemohli vědět, v jak obrovském formátu se v budoucnosti bude pracovat s daty, a proto bylo potřeba vše zmodernizovat. Proto v květnu 2018 vstoupilo v platnost nové GDPR nařízení. Oproti původním pravidlům se však jedná o velký pokrok, které nová tzv. “GDPR směrnice” přinese.
Co se vlastně díky GDPR nařízení změní?
Lidé získají díky GDPR nařízení nová práva. Budou moci po správcích údajů vyžadovat vymazání dat, je potřeba jim umožnit přístup ke shromažďovaným údajům, vznést námitku proti zpracování apod. Za osobní údaje jsou přitom chápány nejen rodná čísla, jména apod., ale také IP adresy, cookies, e-maily, genetické i biometrické údaje a vše, co je s nimi propojeno. Státní instituce a větší firmy (orgány veřejné moci, společnosti, jejichž hlavní činností je zpracování informací) musejí nyní mít svého pověřence pro ochranu osobních údajů (DPO z anglického Data Protection Officer). Ten napomáhá s realizací všech postupů a také kontroluje, zda vše probíhá tak, jak by mělo. Velkou změnou je rovněž oznamovací povinnost. Pokud bude narušena bezpečnost, musí subjekt tento únik či ohrožení do 72 hodin ohlásit Úřadu pro ochranu osobních údajů. V určitých situací budou informovány i subjekty, o jejichž údaje se jednalo. EU si od toho slibuje, že se vyhneme případům, kdy se lidé o úniku jejich osobních dat dozvídali až po několika letech.
Jak se ke GDPR jako firma postavit?
Nejdůležitější je detailně se informovat, co je GDPR a co pro vás vlastně znamená. Pravděpodobně si pak najmete odborníka, který vám se vším pomůže, nicméně je dobré mít aspoň trochu tušení, o čem se mluví. Je možné, že se vás nařízení třeba ani týkat nebude. Odvíjí se to od činnosti i velikosti společnosti. Opět je dobré obrátit se na profesionály a nechat je, ať vaši situaci zhodnotí. Podcenit GDPR nařízení se nevyplácí, sankce nejsou zrovna nízké. V případě porušení může pokuta dosáhnout až 20 000 000 eur nebo 4 % z ročního obratu (vyšší z těchto možností). Závisí ovšem na spoustě faktorů, takže se nebojte, že by pro vás nějaká drobná chyba v implementaci nařízení byla likvidační.
Je potřeba mít z GDPR strach?
Rozhodně ne. GDPR je nařízení jako každé jiné, s nímž se bez problémů vyrovnáte. Nebude vás stát spoustu peněz ani úsilí. Vyhledejte si na internetu informace, navštivte nějaké školení či konferenci, kde se o problému mluví, a vyhledejte odbornou pomoc. Začněte třeba tím, že si přečtete český text GDPR směrnice i s komentářem zde: https://lepsi-reseni.cz/ochrana-osobnich-udaju-gdpr/.
Pokud se příliš neorientujete v oblasti práva, je dost možné, že ani po přečtení celého nařízení nebudete o moc moudřejší. Mějte ale na paměti, že nejste jediní, kdo musí řešit GDPR. Lidí jako vy je jenom v České republice spousta. A také je tady dost takových, kteří vám pomohou. Nechte si zpracovat GDPR audit, získejte certifikaci a ukažte, že splňujete veškeré požadavky. Pravděpodobně na to uslyší i zákazníci, hlavně pokud se jedná o významnější osoby či firmy. Všichni budou chtít, aby jejich údaje byly v bezpečí.
GDPR souhlas se zpracováním osobních údajů
GDPR, General Data Protection Regulation nebo také česky Obecné nařízení o ochraně osobních údajů (GDPR směrnice). To je v posledních měsících největší strašák českých majitelů e-shopů a marketérů, kteří ve velkém operují s osobními údaji. Všichni se tohoto nařízení bojí, málokdo má ale přesnější představu, o co vlastně jde. Když proniknete do jeho tajů, zjistíte, že se opravdu není čeho obávat. GDPR směrnice je nová legislativa EU, která byla schválena už v dubnu roku 2016. Nějaký čas se o ní ovšem vůbec nemluvilo, všichni ji brali jako jakési nařízení, které jednoho dne vejde v platnost. Teď se ale ta doba přiblížila, v účinnost vstoupila 25. května 2018, a proto je nejvyšší čas začít se zajímat, koho se GDPR nařízení týká a co pro nás vlastně znamená.
Co je GDPR?
Jak napovídá název „Obecné nařízení o ochraně osobních údajů“ si klade za cíl zlepšit nakládání s osobními údaji a od zákazníků bude třeba mít tzv. GDPR souhlas s nakládáním jejich údajů. Týká se každého, kdo nějakým způsobem zpracovává či shromažďuje osobní informace Evropanů, a to ať jde o evropskou instituci či společnost mimo EU působící na našem trhu. Podřídit se mu musí veřejná správa, zdravotnictví, bankovní instituce, ale třeba i e-shopy. A právě drobní podnikatelé a provozovatelé e-shopů mají největší strach z toho, že je bude implementace nařízení stát spoustu peněz a času.
Co se díky GDPR změní?
Ačkoliv zní GDPR děsivě, spousta jeho mechanismů už v ČR dávno funguje podle stávajících zákonů. Novinkou jsou zejména práva subjektů údajů (tj. lidí, o nichž jsou údaje uchovávány) – musí být detailně informováni o tom, co se s jejich informacemi děje, a mohou požádat o jejich odstranění. Také budete mít přístup ke všem údajům, kdykoliv bude možné podívat se, co o vás jaká firma ví.
Za osobní údaje přitom nelze považovat pouze adresu, rodné číslo, národnost, náboženství aj., ale rovněž moderní parametry jako e-mail, IP adresa či cookie. Přísnému režimu budou podléhat i genetické a biometrické údaje. Chcete-li se dozvědět více, podívejte se na přesné znění GDPR směrnice zde.
Firmy nyní mají povinnost ohlásit jakékoliv narušení bezpečnosti údajů Úřadu pro ochranu osobních údajů, a to do 72 hodin od zjištění. V některých situacích budou muset být informováni i majitelé odcizených dat. Zabrání se tím případům, kdy jsme se o únicích dat dozvídali po několika letech. A to je jeden z mnoha důvodů, proč GDPR směrnice vůbec vznikla.
Informace v oblasti GDPR
Nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů o volném pohybu těchto údajů. To je aktuálně velice žhavé téma, které se týká poměrně velkého množství subjektů. GDPR nařízení začalo platit s účinností od 25. května 2018 a vztahuje se na řadu právnických osob a podnikatelů, včetně veřejného sektoru.
Co vlastně musí firmy udělat jinak?
Díky platnosti GDPR nařízení musejí společnosti implementovat ochranu dat, vypracovat tzv. Data Protection Impact Assessment (posouzení vlivu na ochranu osobních údajů), některé jmenovat Data Protection Officer (pověřence pro ochranu osobních údajů), vést záznamy o zpracování osobních dat a konzultovat rizikové záležitosti s dozorovým orgánem. Pokud se podíváme na konkrétní příklady, je nezbytné vlastníky údajů informovat o tom, co s jejich daty provádíte. Ti nyní kdykoliv mají možnost požádat o odstranění svých informací, jestliže už je nadále k ničemu nepotřebujete. Nově je rovněž nezbytné nahlásit jakýkoliv únik citlivých informací, abychom se o něm nedozvídali až o několik let později, jako tomu bylo v loňské kauze Yahoo. Možná by bylo dobré také vyjasnit, že za osobní údaje GDPR považuje jméno, příjmení, pohlaví, věk, datum narození, fotografický záznam, nákupy, osobní stav, IP adresu, e-mail, telefonní číslo, genetické, biometrické údaje, náboženské a politické názory, zdravotní stav, sexuální orientaci, trestní delikty.
Proces GDPR certifikace
Za nedodržování směrnice GDPR čekají právnické subjekty nemalé finanční postihy. Seznamte se s potřebnými kroky pro správné nakládání s citlivými daty a zaměřte se na odpovídající kodexy, zvolte vhodného pověřence a zajistěte si procesy pro bezpečnou automatizaci firmy. Mimo jiné si pojistíte též kybernetickou bezpečnost a v případě, že nemáte ve společnosti vlastního specializovaného právníka, nechte si profesionálem navrhnout odbornou konzultaci a datový audit. Tím obdržíte vyhodnocení situace, návod na řešení a konzultace vám umožní získat odpovědi na všechny důležité otázky z tohoto odvětví. Své soukromé údaje by si měl každý pečlivě střežit a informovat se, jak se s nimi nakládáno. Jakmile by se vaše data dostala do nesprávných rukou, mohlo by se stát, že by adresa, čísla dokladů i elektronické údaje byly zneužity. Na trhu ale najdete strůjce špičkových programů splňujících náročné podmínky pro práci s citlivými daty, na které se neváhejte obrátit ještě dnes a ti vám s GDPR nařízením pomohou..
Jak je to s osobními údaji vedenými ve veřejných rejstřících přístupných na internetu?
Na internetu lze v dostupných veřejných rejstřících najít řadu osobních údajů. Každé zpracování osobních údajů však musí mít podle nařízení GDPR určitý právní základ. Osobní údaje uvedené na internetu například v obchodním rejstříku nebo v katastru nemovitostí jsou zveřejněné ze zákonných důvodů – plnění právní povinnosti.
Zákonem stanovená veřejnost určitého rejstříku však neznamená, že v takovémto rejstříku zveřejněné osobní údaje lze dále neomezeně zpracovávat či distribuovat.
Pro každé zpracování osobních údajů musí mít správce podle nařízení GDPR určitý právní důvod. S osobními údaji povinně zveřejněnými ve veřejně přístupných rejstřících nelze jen tak nakládat. Veřejnost osobních údajů sama o sobě totiž neznamená možnost jejich dalšího neomezeného zpracovávání.
Problematika GDPR je velmi obsáhlá a implementace všech nových nařízení do firemních pravidel je pro řadu firem složitý proces. V případě nejasností se určitě vyplatí poradit s odborníky.
Ptáte se jaký má význam zkratka GDPR?
Co je GDPR nařízení? Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation, zkratka GDPR), plným názvem nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), je nařízení Evropské unie, jehož cílem je výrazné zvýšení ochrany osobních dat občanů.
Evropské nařízení o ochraně osobních údajů GDPR nabývá účinnosti 25. května 2018.
Stanovit pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů a pravidla pro pohyb osobních údajů. Nařízení chrání základní práva a svobody fyzických osob se zaměřením na právo ochrany osobních údajů. Volný pohyb osobních údajů v Evropské Unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.
A k čemu to všechno je?
Práv občanů přináší GDPR nařízení hodně. Občané musejí mít přístup ke všem o nich uchovávaných údajům a být informováni o tom, za jakým účelem se tato data zpracovávají. Pokud nejsou údaje potřeba, zpracovatel je musí vymazat. Pro výmaz existuje ještě několik dalších důvodů. Každý bude mít také právo být zapomenut.
Nové nařízení
Nové zařízení přišlo zejména z důvodu, že stará legislativa ohledně ochrany osobních údajů platí již od roku 1995. Tehdy neexistovalo nic jako cloudová úložiště, sociální sítě a další technologie dnešní doby. Avšak ani GDPR nařízení nepokryje plně všechny moderní problémy. Nepočítá výslovně například s IoT (Internetem věcí) nebo BYOD (Bring Your Own Device – zaměstnanci si nosí do práce vlastní zařízení).
Platnost nařízení GDPR se velmi rychle blíží
Obecné nařízení o ochraně osobních údajů GDPR (z anglického General Data Protection Regulation) je platné ve všech zemích Evropské unie. Nevztahuje se pouze na firmy zaměstnávající méně než 250 lidí. Toto GDPR nařízení nabude účinnost dne 25. května 2018. Pojem osobní údaje se vztahuje ke všem údajům, které lze přiřadit konkrétní osobě prostřednictvím jména, bydliště, rodného čísla nebo dne narození, podobně jako čísel osobních dokladů (občanský a řidičský průkaz, cestovní pas) a elektronických dat (IP adresa, cookie, lokalizační údaje). Nařízení se vztahuje jak na automatizované, tak neautomatizované zpracování. Pokud se na firmu vztahuje GDPR nařízení o ochraně osobních údajů, musí zavést odpovídající kodex, procesy a systémy. Audit nám spolehlivě provede Asociace za lepší ICT řešení. Díky GDPR konzultaci Asociace za lepší ICT řešení zjistí, zda je firma schopna zobrazit uživateli přehled osobních údajů, zpracovat žádost o jejich úpravu nebo vymazání a zpřístupnit je pro přenos. Dále je její povinností přiřadit příznak omezení a příslušné blokování nebo doložení zavedení procesů zanesení, ochrany a likvidace dat.
Proč by firmy měly objednat GDPR audit?
Implementace požadavků nařízení GDPR není úplně snadný krok. Aby měla smysl, je důležitá prvotní analýza, správné nastavení kodexu a souvisejících procesů a systémů, a poté otestování a vyhodnocení finálního stavu. Směrnice GDPR nařízení je zároveň příležitostí zvýšit celkovou kybernetickou bezpečnost a zároveň nevyhnutelnou zátěží, kterou musí pod pohrůžkou vysoké finanční sankce dodržovat každá firma. Zanedbání ochrany osobních údajů se může stát dokonce trestným činem. Ne každý podnik má dostatečně zkušeného právníka, takže v rámci procesu zavádění GDPR nařízení bude většina firem využívat externí dodavatele služeb. Specialisté vám mohou zpracovat datový audit, audit procesů, připravit kodex ochrany osobních údajů a navrhnout kroky k dosažení shody s GDPR. Pokud budete jmenovat pověřence DPO z řad zaměstnanců, určitě je důležité kvalitní GDPR školení. Ale klíčová je výsledná podoba práce s osobními údaji – a právě její správnost pomůže doladit a potvrdit GDPR audit od certifikované autority. GDPR audit je garancí pro vedení společnosti, důkazem pro ÚOOU a jasným signálem pro zákazníky, že se jedná o seriozního obchodního partnera. Přitom cena GDPR auditu nemusí být nijak horentní – pokud je zavedení GDPR transparentní a správně zdokumentované.
Odpovědnost správce osobních údajů dle GDPR
Nové nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním a shromažďováním osobních údajů neboli GDPR přináší řadu změn zejména pro správce osobních údajů.
Správcem osobních údajů je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí jejich shromažďování, zpracování a uchování. Pro zpracování osobních údajů musí mít správce právní důvod.
Správce je odpovědný za zabezpečení, správu a veškeré zpracování osobních údajů. Mezi základní povinnosti správce patří zavedení vhodných technických a organizačních opatření, aby zajistil a byl schopen doložit soulad s GDPR. Tato opatření musí revidovat a aktualizovat.
Správce je povinen nahlásit porušení zabezpečení osobních údajů na ÚOOÚ do 72 hodin od okamžiku, kdy se o tom dozví v případě, že incident bude mít za následek riziko pro subjekty údajů.
Na základě principu odpovědnosti musí být správce schopen doložit, že dodržuje zásady pro zpracování osobních údajů po celou dobu trvání zpracování a že zpracovává pouze ty údaje, které jsou nutné pro daný účel zpracování.
http://dataosobni.cz/2018/04/26/odpovednost-spravce-osobnich-udaju-dle-gdpr/