Správcům a zpracovatelům osobních údajů ukládá Obecné nařízení nejen povinnost zpracovávat data v souladu s ním, ale také povinnost soulad prokázat. K prokazování souladu je bude sloužit mimo jiné Osvědčení o souladu zpracování, nicméně to samo o sobě nelze považovat za dostačující.
K dostatečnému prokázání souladu zpracování bude zapotřebí provádět řadu dílčích činností, určených zejména požadavky Úřadu pro ochranu osobních údajů. Součinnost s Úřadem je ostatně jednou z podmínek naplnění povinností vyplývajících z GDPR.
Jak zjistím, jaké povinnosti mi s účinností GDPR vznikají?
Pro snadnější orientaci v nově vzniklých povinnostech budou vznikat kodexy, které mohou být vydávány sdruženími zastupujícími správce, zpracovatele či fyzické osoby v určitém sektoru, ale i jinými subjekty. Kodexy budou obsahovat souhrn zásad pro zpracování osobních údajů, které se daného sektoru dotýkají, a také doporučení k nastavení interních předpisů.
Kodex schválený ÚOOÚ je pak považován za směrodatný předpis, jehož implementací a dodržováním plní správce či zpracovatel povinnosti stanovené GDPR.
Lze získat osvědčení o souladu zpracování?
Ano, po nastavení interních procesů a pravidel pro zpracování osobních údajů bude možné požádat o udělení osvědčení (certifikátu) o souladu. Tato osvědčený budou moci vydávat akreditované subjekty na základě auditu souladu s GDPR.
Co jsou Záznamy o činnostech zpracování?
Záznamy o činnostech zpracování budou sloužit správci ke snazší orientaci ve zpracováních, která provádí. V záznamech by měla být uvedena forma zpracování, metody k němu použité, právní důvod a cíl zpracování, a další náležitosti. Konkrétní specifikaci záznamu o zpracování určí kodex, popřípadě ji může stanovit pověřenec pro ochranu osobních údajů, nebo ÚOOÚ.
Kdy je třeba provádět Posouzení vlivu zpracování?
Posouzení vlivu zpracování na ochranu osobních údajů je primární analýza, kterou je správce povinen provést před započetím zpracování. Povinnost vzniká, pokud lze předpokládat, že předmětné zpracování představuje vysoké riziko pro ochranu práv a svobod subjektu údajů (tedy fyzických osob). Pokud společnost ustavila DPO, pak zpracování posudku náleží jemu.
Mezi takováto zpracování se mimo jiné řadí zpracování citlivých osobních údajů, profilování a automatizované, rozsáhlé vyhodnocování osobních aspektů, které vyvolává vůči fyzickým osobám právní důsledky. Do těchto kategorií zpracování patří například hodnocení bonity, zpracování pro risk management apod. Dalším ze zpracování, která vyžadují provedení posouzení vlivu, je rozsáhlé systematické monitorování veřejně přístupných prostor.
Jak mít jistotu, že má společnost splní všechny náležitosti GDPR?
K přípravě na GDPR doporučujeme zvolit správného partnera. V EO SECURITY jsme specialisté na bezpečnostní prohlídky a odhalování odposlechu, přičemž námi prováděné prohlídky plní náležitosti zákona 412/2005 Sb., o ochraně utajovaných informací a bezpečnostní způsobilosti.
Naše bezpečnostní audity a prohlídky představují vhodný vstupní krok pro přípravu společnosti pro vstup do GDPR. Po standardní obranné prohlídce vám můžeme nabídnout rovněž konzultaci k GDPR auditu, který prověří připravenost vaší instituce na GDPR.