Zpracujte seznam nových povinností

---

Zmapovali jste stávající stav. Udělali jste si pořádek ve zpracovávaných osobních údajích ve firmě. Nyní porovnejte stávající stav s tím, co je třeba podle GDPR.

Posouzení vlivu na ochranu os. údajů:

Musíte zhodnotit, zda provést posouzení vlivu na ochranu osobních údajů neboli Data Protection Impact Assessment (DPIA) (více v článku 35 GDPR).

Pokud vyhodnotíte, že povinnost provést DPIA se vás týká, potom by výsledkem této analýzy měla být dokumentace, na jejímž základě můžete přijmout nezbytná opatření ke snížení rizika zpracování osobních údajů, které není v souladu s GDPR, nebo dokonce úniku osobních údajů.

• DPIA se povinně provádí:
  • Při systematickém a rozsáhlém vyhodnocování osobních aspektů týkajících se fyzických osob, které je založené na automatizovaném zpracování (včetně profilování)
  • Při rozsáhlém zpracování citlivých osobních údajů
  • Další případy, kdy je provedení DPIA povinné, může určit dozorový orgán

• DPIA musí obsahovat alespoň:
  • Popis zamýšleného zpracování, účel a oprávněné zájmy
  • Posouzení nezbytnosti a přiměřenosti zpracování
  • Posouzení rizik pro práva a svobody subjektů údajů
  • Plánovaná opatření k odstranění nebo snížení těchto rizik

Pokud na základě této analýzy dojdete k závěru, že riziko nelze snížit nebo zcela eliminovat, poslouží vám tato dokumentace v případě nutnosti k vyvinění nebo prokázání dozorovému úřadu, že jste v souladu s GDPR postupovali.

Získání souhlasu se zpracováním os. údajů

Musíte vědět, jak správně získávat souhlasy ke zpracování osobních údajů dotčených osob (více v článku 6 a 7 GDPR). Souhlas musíte získat k veškerému zpracování osobních údajů s výjimkou:

• Zpracování nezbytného pro plnění smlouvy uzavřené se subjektem údajů
• Zpracování nezbytného pro splnění právních povinností
• Zpracování nezbytného pro ochranu životně důležitých zájmů a veřejného zájmu
• Zpracování nezbytného pro účely oprávněných zájmů správce či třetí strany

Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný a doložitelný (subjekt údajů ho dává prohlášením nebo jiným zjevným potvrzením, které správce údajů eviduje). Souhlas musí být snadno a kdykoliv odvolatelný.

Pověřenec pro ochranu os. údajů

Musíte zjistit, zda potřebujete nového pověřence pro ochranu osobních údajů (tzv. Data Protection Officer, DPO) a jaké jsou jeho povinnosti (více o DPO se dočtete dále).

Revize interních pravidel i uzavřených smluv

Musíte provést revizi stávajících interních kodexů chování s ohledem na ochranu osobních údajů a proškolit své zaměstnance. Nezapomeňte vše dokumentovat!
Do souladu s GDPR musíte uvést také platné smlouvy se zpracovateli osobních údajů.

Právo na výmaz

Musíte vědět, jak postupovat, když dotčená osoba uplatňuje právo na výmaz svých osobních údajů (více v článku 17 GDPR). Správce údajů má v takové situaci povinnost bez zbytečného odkladu vymazat osobní údaje dotyčné osoby. Důvody pro výmaz mohou být například:

• Osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny / zpracovány
• Subjekt údajů odvolá souhlas
• Subjekt údajů vznese oprávněné námitky proti zpracování

Porušení zabezpečení a únik os. údajů

Musíte vědět, co dělat, když dojde k úniku osobních údajů (více o úniku osobních údajů se dočtete dále).