Základní povinnosti správce osobních údajů dle GDPR

_{Informační povinnost}

Správce musí subjekt údajů informovat o tom, jaké osobní údaje o něm zpracovává, za jakým účelem, na jakém právním základu, o případných příjemcích nebo kategoriích příjemců osobních údajů, o případném úmyslu správce předat osobní údaje do třetí země nebo mezinárodní organizaci, o době, po kterou budou osobní údaje u správce uloženy, o jeho právech apod. 

_{Povinnost uzavřít zpracovatelskou smlouvu se zpracovateli osobních údajů}

Minimální náležitosti zpracovatelské smlouvy: 

• předmět, doba trvání, povaha a účel zpracování, typ osobních údajů 

• závazek mlčenlivosti 

• závazek řídit se pokyny správce 

• povinnost zabezpečit osobní údaje technickými a organizačními opatřeními 

• po skončení povinnost vrátit nebo vymazat osobní údaje 

_{Povinnost jmenovat pověřence pro ochranu osobních údajů (DPO)}

Úkolem pověřence je: 

• monitorovat soulad zpracování osobních údajů s povinnostmi plynoucími z GDPR 

 • provádět interní audity 

• školit zaměstnance 

• řídit agendu interní ochrany dat 

_{Povinnost vést záznamy o činnostech}

Ty až na výjimky musí obsahovat: 

• jméno a kontaktní údaje správce a zpracovatele včetně jména DPO 

• účely zpracování 

• popis kategorií subjektů údajů a kategorií osobních údajů 

• kategorie příjemců, kterým byly nebo budou údaje zpřístupněny 

• informace o mezinárodním předávání osobních údajů 

• lhůty pro výmaz jednotlivých kategorií údajů 

• popis technických a organizačních opatření 

_{Povinnost ohlásit narušení bezpečnosti}

 • Úřadu pro ochranu osobních údajů

Nutno učinit neprodleně, nejpozději do 72 hod; nemusí, pokud by narušení pravděpodobně neznamenalo riziko pro práva fyzických osob (např. unikly pouze šifrované údaje). 

• dotčeným fyzickým osobám 

Nutno učinit jen pokud narušení znamená vysoké riziko pro práva fyzických osob.