Co musejí obsahovat zásady zpracování osobních údajů?

Právo na informace je pro GDPR zásadní a vy ho určitě nechcete nikomu odepřít. Proto jsme pro vás připravili výčet všeho, co musí zásady zpracování nutně obsahovat. Pokud si ale netroufáte napsat je sami nebo prostě jen chcete ušetřit čas, vytvořte si zásady ochrany osobních údajů pomocí našeho generátoru.

Základní elementy poskytování informací

  • Správce usnadňuje výkon práv — zajistí vhodný způsob sdělování informací, ať už písemně, elektronicky, nebo ústně, jde-li osobu identifikovat.
  • Adresáti musejí být informováni — správce zajistí, aby se informace k adresátům dostala, a to včetně handicapovaných osob (k tomu mají sloužit standardizované ikony apod.). V opačném případě jde o závažné porušení povinností stanovených GDPR.
  • Správce dodržuje lhůty — informace poskytuje v zásadě předem, respektive v okamžiku získání údajů. Pokud údaje nepocházejí od dotčených osob, má na poskytnutí informace lhůtu 30 dní.
  • Bezplatnost — veškeré úkony se činí zásadně bezplatně.

Co tedy v zásadách o zpracování nesmí chybět?

Především je nutno zmínit, že správci údajů musejí být  transparentní a otevřeně informovat o tom, jak sbírají, užívají a sdílejí veškeré osobní údaje. V rámci práva na informace se informuje o ostatních právech. Při tvorbě zásad ochrany osobních údajů pak nezapomeňte zahrnout následující desatero.

1) Totožnost a kontaktní údaje správce a jeho pověřence
Kontaktní údaje zahrnují typicky e-mailovou adresu, telefon a adresu sídla.

2) Účely a právní základ zpracování

  • Účely by měly být v souladu s vybraným právním základem. Například pro účel dopravy nakoupeného produktu nepoužiji souhlas, nýbrž právní základ plnění smlouvy.
  • Právní základ oprávněných zájmů musí být vždy určen velice specificky (ochrana konkrétního majetku, zdraví osob…) a musí být podložen zpracovaným balančním testem, který porovnává oprávněný zájem s právy a svobodami osob. Test musí být na vyžádání zpřístupněn.

3) Kategorie dotčených údajů
Dotčené osoby by měly mít k dispozici souhrn všech zpracovávaných údajů.

4) Příjemci osobních údajů

  • Dotčené osoby by měly vědět, které další subjekty zpracovávají jejich údaje.
  • V praxi může jít o třetí strany, ale rovněž i o další správce či správcovy zpracovatele.
  • Příjemce je třeba co možná nejkonkrétněji specifikovat, ideálně za použití detailního seznamu zpracovatelů apod.

5) Informace o předání do třetích zemí

  • Informace musí obsahovat článek GDPR, na základě kterého se předání realizuje, a popis přijatých opatření a mechanismů.
  • Správce ideálně poskytne seznam konkrétních třetích zemí, kam lze údaje předat.

6) Doba uchování údajů

  • Je určena zásadou omezení uložení.
  • Správce uchovává údaje jen po dobu nezbytně nutnou pro naplnění účelů zpracování, případně po dobu určenou zákonnými požadavky anebo po dobu stanovenou pro obhájení nároků (obecné promlčecí lhůty).

7) Informace o právech dotčených osob
Podrobnosti se dočtete v našem článku Práva osob při zpracování osobních údajů.

8) Informace o možnosti kdykoli odvolat souhlas, pokud je na něm zpracování založeno.
Informace by měla obsahovat způsob, jakým lze souhlas odvolat, přičemž odvolání musí být alespoň stejně snadné jako poskytnutí.

9) Zdroj údajů

  • Použije se, jen pokud údaje nebyly získány od dotčených osob.
  • Správce zdroj identifikuje co nejkonkrétněji.

10) Informace o použití automatizovaného individuálního rozhodování (včetně profilování)
Správce uvede informaci o použitém postupu a předpokládaných důsledcích takového zpracování.

Povinnost poskytnout informaci není absolutní. Existují výjimky, ale víceméně formální. Ať už je zdroj údajů jakýkoli, správce nemusí informaci poskytnout v situaci, kdy ji dotčené osoby už mají, a v rozsahu, v němž ji mají. Pro případ, kdy údaje nebyly získány od dotčených osob, jsou to ještě služební tajemství, nemožnost či přílišná náročnost poskytnout dané údaje nebo zákonný požadavek týkající se zpřístupňování informací.