Čas neúprosně běží a již v řádu týdnů bude Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR ) účinné. Tato série článků se již od loňského roku zabývala praktickou stránkou přípravy na účinnost GDPR a nejdůležitějšími změnami, které GDPR přináší. Veřejným tajemstvím přitom je skutečnost, že velká většina povinností vyplývajících z GDPR vyplývala již ze zákona o ochraně osobních údajů (zákon č. 101/2000 Sb. ), v některých případech i v přísnější podobě. V předchozích článcích bylo pojednáváno o přípravě projektu zajištění souladu vašeho podnikání s touto novou právní úpravou, dále byla podrobněji rozpracována analytická část projektu a rovněž byly zmíněny specifické instituty, které musí být při přípravě a realizaci projektu zohledněny. V tomto závěrečném dílu vám představíme praktický přehled a shrnutí těch nejzásadnějších kroků, které je před účinností GDPR nutné realizovat, a také zrekapitulujeme rámcový plán celého projektu.
Praktický průvodce přípravou na GDPR: Část IV. Shrnutí nejdůležitějších povinností
Vydáno:
13 minut čtení
Praktický průvodce přípravou na GDPR: Část IV. Shrnutí nejdůležitějších povinností
Mgr.
Michal
Nulíček,
LL.M., CIPP/E
Zásadní kroky před účinností GDPR
1. Identifikovat činnosti zpracování osobních údajů
Prvním a hlavním krokem by mělo být zjištění, zdali vůbec a případně k jakému zpracování osobních údajů v rámci vašeho podnikání dochází. Při takovém posouzení je však nutné uvědomit si, že pojem zpracování je pojat velice široce. Zpracováním osobních údajů je tudíž také jen pouhé nahlédnutí na osobní údaje, jejich shromáždění či uložení. Ke zpracování osobních údajů tedy dochází například již při získávání osobních údajů a registraci uživatelů, uložení takto získaných dat či jejich následném využití pro poskytování služeb. Teprve na základě takové identifikace je dále možné realizovat další a podrobnější kroky k dosažení toho, abyste předmětné zpracování mohli dostat do souladu s GDPR.
Podstatné je neopomenout, že GDPR se vztahuje nejen na problematiku zpracování osobních údajů vašich klientů a zákazníků, ale také na zpracování údajů vašich zaměstnanců či jiných podřízených. V rámci tohoto kroku by tedy měly být identifikovány i procesy zpracování související například s provozem vašeho po