Další vnitro-organizační předpisy

Zásada odpovědnosti vyjádřená v čl. 5 GDPR stanovuje, že správce odpovídá za dodržení všech povinností, které mu GDPR ukládá a zároveň musí být schopen prokázat, že všechny tyto povinnosti dodržuje. GDPR tak do jisté míry předpokládá, že organizace přijme vhodná organizační opatření k zajištění požadovaného souladu. Organizačním opatřením tak budou zejména vydané a dodržované vnitro-organizační předpisy.

Pravidla ochrany osobních údajů

O co se jedná? V tomto vnitro-organizačním předpise by měl být obsažen jednoduchý manuál určený zaměstnancům. Dozví se v něm, jak mají zpracovávat osobní údaje, které potřebují při své práci, jak je mají zabezpečit a jaké jsou následky porušení takového zabezpečení.

Archivační a skartační řád

O co se jedná? Tento vnitro-organizační předpis mj. popisuje, co se stane s osobními údaji, které organizace již aktivně nepoužívá. Jakmile již osobní údaje nejsou aktivně používány, přesouvají se do archivu a (některé) jsou po uplynutí archivační doby stanovené právním předpisem nebo organizací (to v oblastech, které právní předpisy neupravují – např. jak dlouho budou uchovávány životopisy neúspěšných uchazečů o zaměstnání v organizaci) skartovány (tzn. zlikvidovány).

Související předpisy, které stanoví zákonné lhůty pro archivaci/skartaci jsou tyto:

• Zákon č. 499/2004 Sb., o archivnictví a spisové službě, ve znění pozdějších předpisů
• Vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby
• Zákon č. 496/2004 Sb., o elektronických podatelnách, ve znění pozdějších předpisů
• Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů
• Zákon č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů
• Zákon č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů