Povinnosti správce dle zákona o ochraně osobních údajů

Tento výčet povinností správce vychází z již neplatného zákona o ochraně osobních údajů. V současnosti se správci musí řídit GDPR, avšak pro srovnání a lepší pochopení historického vývoje je užitečné tyto povinnosti uvést. Správce je zároveň povinen vyhovět právům subjektů údajů. Povinnosti lze rozdělit do dvou skupin:

• Deklarační a dokumentační povinnosti – nutnost stanovit, evidovat nebo deklarovat určité informace.
• Faktické povinnosti – povinnost určitého chování a jednání v praxi.

Deklarační a dokumentační povinnosti

Tyto povinnosti lze splnit písemně, typicky prostřednictvím vydání interních dokumentů nebo vyplnění předepsaných formulářů. Mezi ně patří:

• Stanovení účelu, ke kterému budou osobní údaje zpracovány.
• Určení prostředků a způsobu zpracování osobních údajů.
• Zpracování osobních údajů pouze se souhlasem subjektu údajů.
• Informování subjektů údajů o rozsahu a účelu zpracování, o správci údajů a příjemcích údajů.
• Poskytnutí informací o právech subjektu údajů, včetně práva na přístup a opravu osobních údajů.
• Poučení subjektu údajů o povinnosti nebo dobrovolnosti poskytnutí osobních údajů a o následcích odmítnutí.
• Poskytování informací o zpracování osobních údajů na žádost subjektu údajů.
• Zajištění dostupnosti informací o účelu zpracování, kategoriích osobních údajů a příjemcích dálkovým přístupem nebo jinou vhodnou formou.
• Oznamovací povinnost vůči Úřadu pro ochranu osobních údajů (ÚOOÚ) v určitých případech.
• Žádost o povolení k předání osobních údajů do zahraničí.

Většinu těchto povinností lze splnit pomocí Klíče k ochraně osobních údajů, který umožňuje správně popsat zpracování osobních údajů a vygenerovat odpovídající dokumentaci.

Faktické povinnosti

Tyto povinnosti vyžadují aktivní jednání správce nebo zpracovatele osobních údajů a je nutné je dodržovat při jakémkoli zpracování osobních údajů. Mezi faktické povinnosti patří:

• Zpracovávat pouze přesné osobní údaje získané v souladu se zákonem.
• Dokumentovat přijatá technická a organizační opatření k ochraně osobních údajů.
• Blokovat a likvidovat osobní údaje, pokud jejich uchování není nadále oprávněné.
• Shromažďovat pouze ty osobní údaje, které jsou nezbytné pro stanovený účel.
• Uchovávat osobní údaje pouze po dobu nezbytně nutnou k dosažení účelu zpracování.
• Zpracovávat osobní údaje výhradně v souladu se stanoveným účelem.
• Zajistit, aby osobní údaje byly shromažďovány transparentně.
• Nesdružovat osobní údaje získané pro rozdílné účely.
• Dbát na to, aby při zpracování osobních údajů nebyla porušena práva subjektů údajů.

Závěr

Dodržování těchto povinností bylo klíčové v rámci předchozího zákona o ochraně osobních údajů. I když se nyní řídíme GDPR, mnoho těchto principů stále platí a je součástí moderních předpisů. Pro efektivní splnění těchto požadavků lze využít specializované nástroje, jako je Klíč k ochraně osobních údajů, který usnadňuje správu povinností a zajišťuje soulad s právními předpisy.