Veďte si záznamy o činnostech zpracování osobních údajů

Nařízení EU o ochraně a zpracování osobních údajů, které nabude účinnosti 25. května tohoto roku a má váhu zákona, klade totiž velký důraz na povinnost doložit, že ho dodržujete.

Foto: Shutterstock

GDPR neboli General Data Protection Regulation bude platit např. pro všechny zaměstnavatele, a tak není divu, že o odborný seminář na toto téma pod vedením Igora Němce, dlouholetého bývalého ředitele Úřadu pro ochranu osobních dat, který v rámci veletrhu Holiday World uspořádalo Fórum cestovního ruchu, byl nadprůměrný zájem.

Co se tedy účastníci semináře mimo jiné dozvěděli? Např. to, že pokud správci osobních údajů dodržují stávající zákon o ochraně osobních údajů, nebudou mít se splněním povinností vyplývajících z GDPR velké potíže, což je dobrá zpráva. Přece jen je však čekají některé změny.

Podstatný je účel shromažďování osobních dat, jeho zákonnost a nově povinnost doložit dodržování GDPR. Proto je třeba vést záznamy o činnostech zpracování údajů, kterými je dodržování možno doložit. Záznam by měl obsahovat název a kontaktní údaje správce dat, účel zpracování, popis kategorie subjektů a kategorie osobních údajů, kategorie příjemců včetně příjemců ve třetích zemích nebo mezinárodních organizacích, lhůtu pro výmaz údajů a popis bezpečnostních opatření při zpracování údajů.

A aby bylo zpracování dat v souladu se zákonem, musí být splněna alespoň jedna ze tří následujících podmínek: ke zpracování získal správce souhlas, zpracování je nezbytné pro splnění smlouvy, nebo je nezbytné pro splnění právní povinnosti.

Správce osobních údajů si rovněž může pořídit pověřence, který bude monitorovat dodržování GDPR, provádět interní audity, školit pracovníky apod. Pokud je správcem osobních údajů orgán veřejné moci nebo veřejný subjekt, pověřence si pořídit musí. Tento pověřenec však nenese osobní zodpovědnost. „Budete ho platit za to, že vám radí, a on není osobně zodpovědný. Myslím, že to bude platit jen do prvního soudu,“ poznamenal Igor Němec.

Kamenem úrazu se může stát i povinnost hlásit každý incident, tedy únik dat apod., do 72 hodin Úřadu pro ochranu osobních údajů. Ten má podle Igora Němce pouhých 95 zaměstnanců, z nichž se ochraně dat věnuje pouze 50. „Budou-li se tam hlásit incidenty z celé republiky, nevím, jak to bude vypadat,“ dodal.

GDPR nabude i u nás účinnosti 25. května, a to bez ohledu na to, zda se do té doby stihne přijmout adaptační zákon. A protože tento zákon ještě nemáme, nenechte se nalákat na „akreditované“ odborníky, kteří vám za úplatu s dodržováním GDPR pomohou. Zatím je neměl kdo akreditovat. A rovněž nedoufejte, že adaptační zákon sníží sankce za porušení ochrany osobních údajů, které nyní budou činit maximálně 20 milionů eur nebo 4 % celosvětového obratu správce. „Adaptační zákon může změnit pouze to, co nařízení předpokládá, že se změnit smí. Výše sankcí tam nepatří,“ řekl Igor Němec.

Naďa Rybárová

 

Jeden komentář

  1. Pingback: Co pro vás znamená GPRD? Jedinečná šance zjistit víc! | TTG - vše o cestovním ruchu

Komentovat

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

This site uses Akismet to reduce spam. Learn how your comment data is processed.