GDPR - povinnosti v kostce

Možná o GDPR slyšíte poprvé, nebo se vám jen nechce pročítat dlouhé texty s informacemi. Pro tento případ níže naleznete přehled povinností pro zajištění souladu současných činností zpracování osobních údajů s GDPR (bez ohledu na to, zda jste správcem nebo zpracovatelem osobních údajů).

Pojmy

Pro úplnost se sluší rámcově vysvětlit, jaký je rozdíl mezi správcem a zpracovatelem osobních údajů a kdo je subjekt údajů.

Správcem osobních údajů je taková osoba, která provádí zpracování osobních údajů. Správcem může být jak právnická, tak fyzická osoba. Správcem podle GDPR není fyzická osoba, která s osobními údaji nakládá pouze v rámci osobní nebo domácí činnosti (tedy pro osobní potřebu).

Zpracovatelem je osoba, která zpracovává osobní údaje pro správce. Může se jednat o fyzickou i právnickou osobu. O zpracovateli lze hovořit pouze ve vztahu k osobním údajům, které mu předal správce. Pokud tato osoba zpracovává údaje sama pro sebe, pak není zpracovatelem, ale správcem.

Subjektem údajů je žijící fyzická osoba, jejíž osobní údaje jsou zpracovávány (správcem a/nebo zpracovatelem).


Povinnost informovat

Důležitou povinností je informovat subjekty údajů o tom, jak jsou jejich osobní údaje zpracovávány a v jakém rozsahu, s kým jsou sdíleny a jak dlouho jsou uchovávány. V předchozí větě je uvedena povinnost informovat subjekty údajů, jenže kdo je subjektem údajů? Koho tedy musíme informovat? Je třeba informovat aktivní klienty, zaměstnance a také naše dodavatele (zejména v případě dlouhodobých kontraktů).

Školení zaměstnanců

Dále je třeba proškolit nebo nechat proškolit klíčové zaměstnance, kteří při výkonu své práce přijdou do styku s osobními údaji. Proč je důležité proškolit klíčové zaměstnance? Ne snad, že by povinnost proškolit zaměstnance GDPR stanovilo výslovně, ale stanovuje povinnost minimalizovat riziko, že dojde k porušení zabezpečení zpracování osobních údajů. Statistika uvádí, že více než 37 % případů (celá EU), ve kterých dojde k neúmyslnému porušení zabezpečení zpracování osobních údajů, způsobí právě zaměstnanci. U zaměstnanců, kteří budou patřičně poučeni o svých povinnostech při výkonu své práce, ve vztahu k osobním údajům, lze předpokládat, že se méně často budou dopouštět porušování zákonných ustanovení.

Soulad pracovněprávních smluv s GDPR

Dále je třeba zajistit soulad pracovněprávních dokumentů (vč. smluv a dohod) s pravidly GDPR. Částečně tato povinnost souvisí s povinností informovat zaměstnance o tom, co se děje s jejich osobními daty, které zpracovává zaměstnavatel. Částečně pak tato povinnost souvisí s problematikou povinnosti mlčenlivosti zaměstnanců o informacích, které se dozví při výkonu práce pro zaměstnavatele. O povinnosti mlčenlivosti je více pojednáno v článku Povinnost mlčenlivosti zaměstnance ve vztahu k osobním údajům.

Povinnosti ve spojení s využitím zpracovatele

Pokud správce využívá služeb zpracovatele osobních údajů, je povinen zajistit, aby smlouva se zpracovatelem splňovala požadavky stanovení v čl. 28 GDPR. Tato problematika je podrobněji popsána v článku Zpracovatelská smlouva.

Vypracování vnitro-organizační dokumentace

Další povinností je vypracovat vnitro-organizační dokumenty v souladu s článkem 5 odst. 1 písm. f) GDPR. Tato povinnost je více popsána v následujících článcích: K čemu slouží Zásady ochrany osobních údajů?a Další vnitro-organizační předpisy.

Povinnosti ve vztahu ke kamerovým systémům

Pokud správce nebo zpracovatel využívá kamerové systémy se záznamem, pak je povinen splnit informační povinnost vůči subjektům údajů ve věci těchto kamerových systémů. Podrobnosti o těchto povinnostech jsou rozebrány v článku Kamerové systémy a GDPR.

Ze všeho výše uvedeného je zřejmé, že důležité, stran zpracovávaných osobních údajů, je transparentní jednání správce a zpracovatele, s čímž souvisí i informování subjektů údajů.


Je-li v textu článku vyjádřen právní názor, pak pro úplnost dodáváme, že takový právní názor není právně závazný. K závaznému výkladu právních předpisů jsou v konkrétních případech oprávněny pouze příslušné soudy či správní orgány.

22.10.2018

Mgr. Bc. Georgios Tucoglidis

georgios@3cm.cz

3CM s.r.o.
se sídlem Husova 1848
530 03 Pardubice
IČ: 05177791
DIČ: CZ05177791

Společnost je zapsána v Obchodním rejstříku vedeném krajským soudem v Hradci Králové, oddíl C, vložka 37310

© 3CM s.r.o. – Všechna práva vyhrazena