Odpovědnost - správce je odpovědný za soulad zpracování osobních údajů s GDPR a tento soulad musí být schopen prokázat po celou dobu zpracovávání osobních údajů. Princip odpovědnosti znamená odpovědnost správce za dodržení zásad zpracování. Ty definuje článek 5 odstavec 1, který říká, že osobní údaje musí být:
- ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem
- shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný
- přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány
- přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny
- uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány
- zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
Minimalizace osobních údajů - osobní údaje musí být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelu, pro který jsou zpracovávány.
Osobní údaje není možné uchovávat pro případ, že by se mohly hodit někdy v budoucnu. A také není možné uchovávat je po neomezenou dobu.
Pokud je ze strany majitele údajů odvolán souhlas s jejich zpracováním nebo je ukončena smlouva či vypršel zákonný důvod, musí být odstraněny.
Jednotnost a důvěrnost - osobní údaje musí být zpracovávány způsobem, který zaručí jejich náležitou bezpečnost, včetně ochrany proti neoprávněnému či nezákonnému zpracování a proti náhodné ztrátě, zničení nebo poškození za pomoci odpovídajících technických nebo organizačních opatření
Zpracovatel osobních údajů je subjekt, který na základě zvláštního zákona nebo pověření či zmocnění správcem zpracovává osobní údaje.
Povinnosti zpracovatele údajů:
- zpracovává osobní údaje pouze na základě doložených pokynů správce,
- zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
- zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů
- v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;
- poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.
Zpracování osobních údajů je jakýkoliv úkon nebo soubor úkonů, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky.
Zpracováním se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.
Základní povinnosti, které Obecné nařízení o ochraně osobních údajů přináší(GDPR):
- povinnost vést záznamy o činnostech zpracování
- posouzení vlivu na ochranu osobních údajů
- předchozí konzultace s Úřadem pro ochranu osobních údajů
- ohlašování případu porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů
- oznamování případu porušení zabezpečení osobních údajů subjektu údajů,
- povinnost jmenovat pověřence pro ochranu osobních údajů nebo takovou osobu zajistit externě.