Menu
K čemu slouží Zásady ochrany osobních údajů?
Podle článku 5 GDPR musí být osobní údaje mimo jiné zpracovávány korektně a transparentně. To znamená, že správce musí být ohledně zpracování osobních údajů velice otevřený, přičemž podrobnější povinnosti jsou stanoveny v článcích 12 – 14 GDPR. Podle článku 13 a 14 GDPR mají klienti právo být informováni o tom, jak je s jejich osobními údaji nakládáno. Jinými slovy to znamená, že správce je povinen sdělit subjektům údajů (klientům, zaměstnancům apod.): jaká osobní data o nich sbírá, co s nimi dělá a s kým je sdílí. Tyto informace je povinen jim zpřístupnit bezplatně, stručně a srozumitelně.
Co musí být obsaženo v Zásadách ochrany osobních údajů podle GDPR?
Zásady ochrany osobních údajů by měly obsahovat alespoň tyto informace:
- Specifikace správce, jeho kontaktní údaje a případně specifikaci a kontaktní údaje pověřence pro ochranu osobních údajů (je-li jmenován).
- Rozsah zpracování osobních údajů.
- Účel zpracování osobních údajů.
- Právní základ zpracování osobních údajů.
- Retenční doba, tj. informace o tom, jak dlouho budou údaje uchovávány.
- Informace o tom, jaká jsou práva subjektů údajů v souvislosti se zpracováním jejich osobních údajů.
- Podrobnosti o tom, komu správce předává osobní údaje subjektů údajů.
- Informace o dozorovém orgánu a možnosti podat stížnost.
- Informaci o tom, ze kterého zdroje informace pocházejí (jsou-li osobní údaje získávány od třetích stran).
- Případě i informaci o skutečnosti, že dochází k automatizovanému rozhodování nebo profilování.
Kdy je třeba poskytnout tyto informace o zpracování subjektu údajů?
Správce může získat osobní údaje buď přímo od subjektů údajů nebo od třetích osob. Toto má pak vliv na okamžik vzniku povinnosti informovat.
Pokud správce získává osobní data přímo od subjektu údajů, pak jej musí informovat ve chvíli, kdy jeho osobní data získává.
V případě, že správce získává osobní údaje od třetích stran, pak musí klienta informovat:
- Bez zbytečného odkladu po tom, co osobní údaje získal, nejpozději do 1 měsíce, nebo
- Pokud mají být osobní data použity pro komunikaci s klientem, pak mu tuto informaci musí správce poskytnout nejpozději v okamžiku, kdy poprvé dojde k takové komunikaci, nebo
Pokud má správce v úmyslu zpřístupnit osobní data získaná od třetí strany někomu dalšímu, musí klientovi poskytnout informace ještě před takovým zpřístupněním.
Jak začít s přípravou Zásad ochrany osobních údajů?
Vzhledem k tomu, že Zásady ochrany osobních údajů mají být srozumitelné a psané jednoduchým jazykem, může správce použít metodu otázka/odpověď.
Před tím, než správce začne vytvářet jakýkoli dokument, vezme si k ruce výstupy datového auditu a případně i vizualizaci datových toků. Podle nich doplní odpovědi k připraveným otázkám.
- Specifikace správce– lze uvést např. otázkou: „Kdo jsme?„
- Rozsah zpracování osobních údajů– lze uvést např. otázkou: „Jaké osobní údaje a v jakém rozsahu budeme zpracovávat?„
- Účel zpracování– lze uvést např. otázkou: „Pro jaké účely zpracováváme osobní údaje?„
- Právní základ zpracování– lze uvést např. otázkou: „Jaký je právní základ pro zpracování vašich osobních údajů?“
- Retenční doba– lze uvést např. otázkou: „Jak dlouho budeme údaje uchovávat?„
- Práva subjektů údajů– lze uvést např. otázkou: „Jaká jsou vaše práva v souvislosti se zpracováním vašich osobních údajů?„
- Pohyb osobních údajů– lze uvést např. otázkou: „Komu dále vaše osobní údaje předáváme?„
- Informace o dozorovém orgánu a možnosti podat stížnost– lze uvést např. otázkou: „Kam se můžete obrátit máte-li dojem, že vaše osobní údaje nejsou zpracovávány v souladu s právními předpisy?„
Je-li v textu článku vyjádřen právní názor, pak pro úplnost dodáváme, že takový právní názor není právně závazný. K závaznému výkladu právních předpisů jsou v konkrétních případech oprávněny pouze příslušné soudy či správní orgány.
Další články
© 3CM s.r.o. – Všechna práva vyhrazena