Zmapovali jste stávající stav. Udělali jste si pořádek ve zpracovávaných osobních údajích ve firmě. Nyní porovnejte stávající stav s tím, co je třeba podle GDPR.
Posouzení vlivu na ochranu os. údajů:
Musíte zhodnotit, zda provést posouzení vlivu na ochranu osobních údajů neboli Data Protection Impact Assessment (DPIA) (více v článku 35 GDPR).
Pokud vyhodnotíte, že povinnost provést DPIA se vás týká, potom by výsledkem této analýzy měla být dokumentace, na jejímž základě můžete přijmout nezbytná opatření ke snížení rizika zpracování osobních údajů, které není v souladu s GDPR, nebo dokonce úniku osobních údajů.
Pokud na základě této analýzy dojdete k závěru, že riziko nelze snížit nebo zcela eliminovat, poslouží vám tato dokumentace v případě nutnosti k vyvinění nebo prokázání dozorovému úřadu, že jste v souladu s GDPR postupovali.
Získání souhlasu se zpracováním os. údajů
Musíte vědět, jak správně získávat souhlasy ke zpracování osobních údajů dotčených osob (více v článku 6 a 7 GDPR). Souhlas musíte získat k veškerému zpracování osobních údajů s výjimkou:
Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný a doložitelný (subjekt údajů ho dává prohlášením nebo jiným zjevným potvrzením, které správce údajů eviduje). Souhlas musí být snadno a kdykoliv odvolatelný.
Pověřenec pro ochranu os. údajů
Musíte zjistit, zda potřebujete nového pověřence pro ochranu osobních údajů (tzv. Data Protection Officer, DPO) a jaké jsou jeho povinnosti (více o DPO se dočtete dále).
Revize interních pravidel i uzavřených smluv
Musíte provést revizi stávajících interních kodexů chování s ohledem na ochranu osobních údajů a proškolit své zaměstnance. Nezapomeňte vše dokumentovat!
Do souladu s GDPR musíte uvést také platné smlouvy se zpracovateli osobních údajů.
Právo na výmaz
Musíte vědět, jak postupovat, když dotčená osoba uplatňuje právo na výmaz svých osobních údajů (více v článku 17 GDPR). Správce údajů má v takové situaci povinnost bez zbytečného odkladu vymazat osobní údaje dotyčné osoby. Důvody pro výmaz mohou být například:
Porušení zabezpečení a únik os. údajů
Musíte vědět, co dělat, když dojde k úniku osobních údajů (více o úniku osobních údajů se dočtete dále).