Splňujete všechny povinnosti stanovené GDPR?

Obecné nařízení (GDPR) vstoupilo v platnost v květnu 2018. Mnoho organizací přistoupilo k naplnění GDPR s veškerou zodpovědností. Přesto jsme se v naší konzultační praxi velice často setkali s neúplnou znalostí povinností definovaných obecným nařízením. Dle našeho názoru tento fakt vyplývá z toho, že mnoho povinností správců a zpracovatelů je uvedeno či blíže vysvětleno v tzv. recitálu (úvodním textu) obecného nařízení a v samotném nařízení je zmíněno jen okrajově, velmi nekonkrétně nebo jen "jedním slovem". Proto jsme naše klienty v průběhu příprav na GDPR vždy nejdříve seznámili se všemi povinnostmi, které pro ně z obecného nařízení vyplývají.

Seznam povinností jsme sestavili na základě úplného rozboru obecného nařízení a od května provádíme u klientů ověření souladu s GDPR. Procházíme s nimi veškeré obecným nařízením definované povinnosti a zjišťujeme úroveň jejich naplňování. Kontrolujeme, jakým způsobem organizace dodržují např.

• zásady zpracování osobních údajů
• zákonnost (právní důvod) zpracování osobních údajů
• výkon práv subjektů údajů (fyzických osob)
• podmínky vyjádření souhlasu se zpracováním osobních údajů
• podmínky zpracování zvláštních kategorií osobních údajů
• podmínky předávání osobních údajů mimo Evropskou unii (do tzv. třetích zemí)
• podmínky hlášení porušení zabezpečení osobních údajů (včetně vedení jejich dokumentace)
• podmínky zpracování osobních údajů prostřednictvím zpracovatelů s dostatečnými zárukami
• povinnost přijetí vnitřní koncepce ochrany osobních údajů
• povinnost vést písemné záznamy o činnostech zpracování
• povinnost posuzovat rizika pro práva a svobody fyzických osob (tzv. analýza rizik)
• povinnost zavést, evidovat, pravidelně kontrolovat a vyhodnocovat technická a organizační opatření
• případnou povinnost provést posouzení vlivu na ochranu osobních údajů
• případnou povinnost jmenovat pověřence pro ochranu osobních údajů

Nejčastěji se setkáváme s tím, že organizace nesprávně určuje zákonnost (právní důvod) zpracování osobních údajů a vyžaduje od svých zaměstnanců, zákazníků či dodavatelů neoprávněně souhlas se zpracováním osobních údajů nebo podepisuje nadbytečné smlouvy. Většina organizací pak zapomíná na zásadní povinnost posoudit rizika z hlediska dopadů na práva a svobody fyzických osob nebo nedokáže určit vhodnou metodiku pro takové posouzení rizik. Častým problémem je také plnění povinností pro výkon práv subjektů údajů, především způsob poskytnutí povinných informací v okamžiku získání osobních údajů fyzických osob.


Chcete ověřit, jak plníte veškeré povinnosti stanovené obecným nařízením?

Potřebujete poradit, jak posoudit rizika pro práva a svobody fyzických osob?


Kontaktujte nás: