Zásady zpracování

Zásady zpracování osobních údajů specifikuje článek 5 GDPR. Tyto zásady popisují základní pravidla, jak s osobními údaji nakládat.

Níže jsme tyto zásady shrnuli. Přesné znění článku 5 GDPR i náš obsáhlejší popis naleznete v přílohách této kapitoly.

 

Zásada zákonnosti

Povinnost určit pro každé zpracování osobních údajů správný právní titul (souhlas subjektu údajů, plnění smlouvy, zákonný důvod, oprávněný zájem správce, veřejný zájem a životně důležitý zájem). Toto je nejdůležitější zásada, která musí být nutně dodržena. Tato zásada zakazuje jakékoliv zpracování osobních údajů, které není podloženo ani jedním z právních titulů.

Zásada korektnosti a transparentnosti

Povinnost správce zajistit subjektu údajů co největší informovanost o tom, co se děje s jeho osobními údaji. V rámci plnění informační povinnosti musí správce užívat jednoduchých jazykových prostředků. Např. již před udělením souhlasu se zpracováním, musí mít subjekt všechny potřebné informace o zpracování jeho údajů.

 

Zásada minimalizace

Povinnost správce či zpracovatele zpracovávat jen ty osobní údaje, které potřebuje pro plnění stanoveného účelu zpracování. Příkladem je nábor zaměstnanců, při kterém můžete za účelem přijetí uchazeče zpracovávat jen ty osobní údaje, které potřebujete v přijímacím procesu pro danou pozici (nesmíte zpracovávat rodné číslo, rodinný stav, počet dětí a další údaje). Rodné číslo potřebujete až po podpisu smlouvy k nahlášení nového zaměstnance na zdravotní pojišťovnu a Českou správu sociálního zabezpečení.

Účelové omezení

Povinnost zpracovávat osobní údaje jen pro určité, jasně vyjádřené a legitimní účely. Jiné zpracování osobních údajů je zakázáno. Zjednodušeně řečeno, abyste mohli zpracovávat osobní údaje, je nutné si stanovit účely, proč osobní údaje zpracováváte. Tento účel musí být legitimní, určitý a výslovně vyjádřený. Legitimita účelu znamená, že účel musí být vždy v souladu s platnými zákony. Určitost účelu znamená, že účel musí být stanoven tak, aby z něj bylo jasné, jaká zpracování osobních údajů budou probíhat a proč. Aby byl účel výslovně vyjádřený, měli byste s ním seznámit subjekty údajů. Vyhněte se používání obecných frází, jako jsou „marketingové účely“ nebo „zkvalitňování služeb“. Naopak vhodné fráze můžou být „hodnocení spokojenosti našich zákazníků“ nebo „zasílání nabídek našich produktů a služeb“. Také byste neměli spojovat více účelů dohromady.

 

Zásada přesnosti

Veškeré osobní údaje, které jsou zpracovány, musí být aktuální a přesné. Jakékoliv nesrovnalosti musí být neprodleně odstraněny či opraveny.

Zásada omezení uložení

Stanovuje povinnost uchovávat osobní údaje pouze po takovou dobu, která je nezbytná pro účely zpracování. Může se jednat, buď o zákonem stanovené lhůty (například 10 let pro některé daňové doklady), interně stanovené lhůty dle trvání účelu zpracování (pouze po dobu přijímacího řízení) či doba vztahující se k rozhodné události, jako například ukončení poskytování určité služby. O době uchování osobních údajů by měl být informován zejména subjekt těchto údajů.

 

Zásada integrity a důvěrnosti

Povinnost zpracovávat osobní údaje takovým způsobem, aby byla zachována jejich bezpečnost a nedošlo k jejich protiprávnímu či neoprávněnému zpracování nebo k jejich poškození, zničení či ztracení.

Zásada odpovědnosti

Povinnost dodržovat všechna pravidla a zásady stanovené Nařízením a zároveň doložit soulad s GDPR případné kontrole. Přístup správců údajů se bude muset změnit z reaktivního na proaktivní, což znamená, že správce osobních údajů musí být schopen sám doložit, že je v souladu s GDPR a nikoliv čekat, že mu bude prokázáno, že v souladu není. Bude nutné zavést vhodné systémy a postupy ochrany, včetně vedení záznamů o zpracování či provedení Posouzení vlivu na ochranu osobních údajů (DPIA).