Povinnosti správce dle GDPR

Koncepce GDPR je z pohledu správce poněkud jiná než ZOOU. ZOOU stanovoval poměrně explicitně nejrůznější povinnosti správce a rovněž obecnou ohlašovací povinnost ÚOOÚ. Směrnice 95/46/ES, ze které vycházel ZOOÚ, stanovila obecnou povinnost ohlašovat zpracování osobních údajů dozorovým úřadům. Tato povinnost přináší administrativní a finanční zátěž, avšak nepřispěla ve všech případech ke zlepšení ochrany osobních údajů. Proto byla tato nerozlišená obecná ohlašovací povinnost zrušena a nahrazena účinnými postupy a mechanismy, které by se místo toho zaměřily na takové typy operací zpracování, jež mohou s ohledem na svou povahu, rozsah, kontext a účely představovat vysoké riziko pro práva a svobody fyzických osob.(odst. 89 úvodních ustanovení GDPR).

GDPR je poněkud obecnější, když v podstatě stanovuje zásady zpracování osobních údajů a pak jednu hlavní povinnost správce a to zpracovávat osobní údaje v souladu s těmito zásadami. Dílčím způsobem pak stanovuje, jak v určitých případech postupovat. ZOOU se tak zaměřoval spíše na formální stránku věci, GDPR pak spíše na materiální stránku věci.

O to je posouzení řádného zpracování osobních údajů dle GDPR složitější než při posuzování zpracování dle ZOOU. GDPR stanovuje obecné mantinely, ale způsob řešení (postup správce při zpracování osobních údajů) spíše naznačuje, než striktně přikazuje. Každopádně tím dociluje efektu, že správce musí o zpracování osobních údajů přemýšlet právě v intencích základních zásad a vymyslet, jak je naplnit. To s sebou mimo jiné nese potřebu určitého auditu zpracování osobních údajů v tom smyslu, že je třeba agendy, při kterých se osobní údaje zpracovávají roztřídit podle účelu zpracování a nad každým účelem zpracování se zamyslet samostatně.

Základní zásady, které je třeba při zpracování osobních údajů dodržovat jsou uvedeny v čl. 6 GDPR a jsou to tyto.

Osobní údaje musí být:

a) ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem ("zákonnost, korektnost a transparentnost");

b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely ("účelové omezení");

c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány ("minimalizace údajů");

d) přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny ("přesnost");

e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů ("omezení uložení");

f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením ("integrita a důvěrnost");

Následně GDPR stanovuje odpovědnost správce za zpracování oosbních údajů tak, že správce odpovídá za dodžení zásad ochrany osobních údajů, jak byly uvedeny výše, přičemž musí být schopen dodržení těchto zásad doložit.

S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.

Správce má povinnost zavést vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

Právě k doložení uvedených zásad zpracování, zejména zásady transparentnosti slouží Klíč k ochraně osobních údajů. Pomocí tohoto nástroje jste schopni popsat Vaše zpracování osobních údajů a zároveň vygenerovat dokumenty, které umožňují požadavek natransparentost s jiné zásady splnit. Soulží rovněž jako jedno z možných technických a organizačních opatření využitých při ochraně osobních údajů.