1.111
Plnění povinností GDPR pro případ kontroly z dozorového orgánu – kontrolní checklist
JUDr. Dušan Srp, Ph.D.
NahoruÚčel checklistu
Tento checklist vychází z povinností správců a zpracovatelů vyplývajících z GDPR. Účelem tohoto checklistu je vytvořit stručný přehled povinností, které by správce a zpracovatel měli splňovat dle GDPR, popř. by měli si jich být vědomi a mít řádné odůvodnění jejich oprávněného neplnění. Ačkoli případná kontrola dozorového úřadu může být zaměřena na plnění konkrétních povinností, cílem checklistu je upravit všechny povinnosti správců a zpracovatelů, které by dozorový úřad mohl kontrolovat a sankcionovat.
Jediným dozorovým úřadem s obecnou působností podle GDPR v České republice je Úřad pro ochranu osobních údajů, sídlem Pplk. Sochora 27, 170 00 Praha 7.
Co je vhodné zkontrolovat, uvádí tento checklist.
NahoruPŘEHLED POVINNOSTÍ PODLE GDPR, KTERÉ JE VHODNÉ ZKONTROLOVAT PRO ÚČELY KONTROLY DOZOROVÝM ORGÁNEM
1. Kontrola plnění zásad zpracování osobních údajů správcem
Odpovědná osoba: správce
Správce nese odpovědnost za plnění zásad zpracování osobních údajů, a to:
-
zásada zákonnosti, korektnosti a transparentnosti,
-
zásada účelového omezení,
-
zásada minimalizace údajů,
-
zásada přesnosti,
-
zásada omezení uložení,
-
zásada integrity a důvěrnosti.
Všechny procesy a dokumenty týkající se zpracování osobních údajů musí odpovídat uvedeným zásadám. Bylo k zásadám přihlédnuto při kontrole procesů a dokumentů?
2. Kontrola právních základů pro zpracování osobních údajů
Odpovědná osoba: správce
Správce nese odpovědnost za to, že zpracování osobních údajů probíhá jen podle vhodně zvolených zákonných podmínek a pouze v odpovídajícím rozsahu. Právními základy zpracování osobních údajů jsou (zkráceně):
-
souhlas,
-
plnění smlouvy,
-
splnění právní povinnosti,
-
ochranu životně důležitých zájmů,
-
veřejný zájem či výkon veřejné moci,
-
oprávněný zájem příslušného správce či třetí strany.
3. Kontrola právních základů pro zpracování citlivých osobních údajů
Odpovědná osoba: správce
Správce nese odpovědnost za to, že zpracování citlivých osobních údajů probíhá jen podle vhodně zvolených zákonných podmínek pro zpracování citlivých údajů a pouze v odpovídajícím rozsahu. Citlivými údaji jsou údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, o zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
4. Kontrola souhlasů subjektů údajů
Odpovědná osoba: správce / částečně zpracovatel
Pokud je zpracování založeno na souhlasu subjektu údajů, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů podle pravidel GDPR. Souhlas subjektu údajů musí být svobodný, konkrétní, informovaný a jednoznačný.
Dítěti může být umožněno vyslovit souhlas, jen pokud dosáhlo již 16 let věku (lokální zákon může věkovou hranici snížit). Tuto povinnost zajišťuje správce i zpracovatel.
5. Kontrola balančních testů oprávněného zájmu
Odpovědná osoba: správce
Pokud je zpracování založeno na oprávněném zájmu příslušného správce či třetí strany, je vhodné mít k prokázání řádného zvážení oprávněného zájmu a práv a svobod subjektů údajů tzv. balanční test.
6. Kontrola plnění povinností ohledně práv subjektů údajů
Odpovědná osoba: správce
-
Správce je povinen informovat subjekty údajů o zpracování. Správce musí prokázat informování subjektu údajů.
-
Správce je povinen zajistit subjektům výkon jejich práv, a to práva požadovat od správce přístup k osobním údajům, které se týkají subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů.
-
Nutná kontrola organizačních a technických opatření provedených k tomu, aby byl subjektům údajů výkon jejich práv umožněn.
7. Kontrola úpravy smluv včetně obchodních podmínek podle GDPR
Odpovědná osoba: správce / zpracovatel
-
Správce musí se zpracovateli uzavřít smlouvy o zpracování osobních údajů s obsahem daným GDPR. Původní smlouvy o zpracování osobních údajů tedy musí být nahrazeny smlouvami novými či revidovány.
-
Jiné smlouvy s třetími osobami je vhodné revidovat v částech týkajících se nakládání s osobními údaji.
-
Společní správci spolu uzavírají smlouvu, kterou zejména vymezují svou odpovědnost a plnění povinností.
-
Obchodní podmínky správce je třeba kontrolovat.
-
Zpracovatelé musí se sub-zpracovateli uzavřít smlouvy o zpracování osobních údajů s obsahem daným GDPR. Původní smlouvy o zpracování osobních údajů se sub-zpracovateli tedy musí být nahrazeny smlouvami novými či revidovány.
8. Kontrola úpravy vnitřní dokumentace s údaji zaměstnanců a třetích osob, směrnic, školení
Odpovědná osoba: správce / zpracovatel v roli správce
Interní dokumentaci je nutné zkontrolovat a revidovat podle GDPR. V případě potřeby je nutno doplnit a připravit dokumentaci novou. Tím se rozumí zejména:
-
vnitřní předpis upravující zpracování osobních údajů zaměstnanců správce, případně další dokumentace určená zaměstnancům (např. osobní dotazník, vstupní a výstupní formulář),
-
smlouvy se zaměstnanci,
-
vnitřní předpisy upravující zpracování osobních údajů třetích osob ve společnosti správce,
-
organizace školení na nakládání s osobními údaji a jeho pravidelné (vhodně ročně) opakování.
9. Kontrola záznamů o činnostech zpracování
Odpovědná osoba: správce / zpracovatel
Záznamy o činnostech zpracování vedou správci i zpracovatelé a odpovídají za ně a jejich aktualizaci. Pokud správce či zpracovatel záznamy nevede, měl by mít analýzu důvodů prokazující…