Další vnitro-organizační předpisy

Zásada odpovědnosti vyjádřená v čl. 5 GDPR stanovuje, že správce odpovídá za dodržení všech povinností, které mu GDPR ukládá a zároveň musí být schopen prokázat, že všechny tyto povinnosti dodržuje. GDPR tak do jisté míry předpokládá, že organizace přijme vhodná organizační opatření k zajištění požadovaného souladu. Organizačním opatřením tak budou zejména vydané a dodržované vnitro-organizační předpisy.

Pravidla ochrany osobních údajů

O co se jedná? V tomto vnitro-organizačním předpise by měl být obsažen jednoduchý manuál určený zaměstnancům. Dozví se v něm, jak mají zpracovávat osobní údaje, které potřebují při své práci, jak je mají zabezpečit a jaké jsou následky porušení takového zabezpečení.

Archivační a skartační řád

O co se jedná? Tento vnitro-organizační předpis mj. popisuje, co se stane s osobními údaji, které organizace již aktivně nepoužívá. Jakmile již osobní údaje nejsou aktivně používány, přesouvají se do archivu a (některé) jsou po uplynutí archivační doby stanovené právním předpisem nebo organizací (to v oblastech, které právní předpisy neupravují – např. jak dlouho budou uchovávány životopisy neúspěšných uchazečů o zaměstnání v organizaci) skartovány (tzn. zlikvidovány).

Související předpisy, které stanoví zákonné lhůty pro archivaci/skartaci jsou tyto:

  • Zákon č. 499/2004 Sb., o archivnictví a spisové službě, ve znění pozdějších předpisů
  • Vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby
  • Zákon č. 496/2004 Sb., o elektronických podatelnách, ve znění pozdějších předpisů
  • Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů
  • Zákon č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů
  • Zákon č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů

Bezpečnostní směrnice

O co se jedná? V tomto dokumentu je obsažen „krizový plán“, jak postupovat v případě, že dojde k narušení zabezpečení osobních údajů.

Pro výše uvedené okruhy není nutné vytvářet samostatný vnitro-organizační předpis. Například Pravidla ochrany osobních údajů a bezpečnostní směrnice mohou být součástí jednoho dokumentu.

Při tvorbě vnitro-organizačních předpisů lze doporučit to stejné, jako v případě tvorby dokumentu Zásady ochrany osobních údajů, tedy stručnost, jednoduchost, jednoduchost jazyka, jasnou a přehlednou formu a strukturu.      


Je-li v textu článku vyjádřen právní názor, pak pro úplnost dodáváme, že takový právní názor není právně závazný. K závaznému výkladu právních předpisů jsou v konkrétních případech oprávněny pouze příslušné soudy či správní orgány.

21.10.2018

Mgr. Bc. Georgios Tucoglidis

georgios@3cm.cz

3CM s.r.o.
se sídlem Husova 1848
530 03 Pardubice
IČ: 05177791
DIČ: CZ05177791

Společnost je zapsána v Obchodním rejstříku vedeném krajským soudem v Hradci Králové, oddíl C, vložka 37310

© 3CM s.r.o. – Všechna práva vyhrazena