Zpracování osobních údajů

Povinnosti organizace

  • oznamovací povinnost vůči Úřadu pro ochranu osobních údajů při zpracování osobních údajů, na něž se tato povinnost vztahuje,

  • zajistit komplexní bezpečnost osobních údajů a příslušných informačních systémů,

  • informovat všechny osoby, jejichž údaje jsou zpracovávány, o prováděném zpracování a vyžádat si jejich písemný souhlas (mimo zpracování, která jsou v zákoně vymezena),

  • zajistit pravidelné kontroly bezpečnosti, aktuálnosti a účelnosti zpracování,

  • zajistit, aby nemohlo dojít k neoprávněnému zpracování nebo zneužití osobních údajů.

 

V rámci poradenství k problematice zákona o ochraně osobních údajů poskytujeme:

Provedení nezávislého auditu

Provedení nezávislého auditu stanoví, zda byly splněny všechny zákonem určené povinnosti, které povinnosti splněny nebyly a jaká opatření je nutné realizovat. Zejména jde o:

  • seznámení odpovědných zaměstnanců s problematikou ochrany osobních údajů (výklad práv, povinností a sankcí),

  • identifikace všech probíhajících zpracování osobních údajů,

  • zjištění základních informací o jednotlivých zpracováních,

  • identifikování účelu jednotlivých zpracování,

  • eliminovat nadbytečného zpracování osobních údajů,

  • audit splnění oznamovací povinnosti.

Návrh opatření, která vyžaduje zákon

Veškeré činnosti jsou prováděny na základě provedeného auditu s cílem splnit určená ustanovení zákona. Zejména jde o:

  • určení zpracovatelů a příprava směrnic pro každé zpracování osobních údajů,

  • návrh formy a obsahu souhlasu se zpracováním osobních údajů,

  • příprava smluv o zpracování osobních údajů mezi správcem a zpracovateli (dodavateli),

  • stanovení podmínek a rozsahu zpracování osobních údajů pro zpracovatele (dodavatele),

  • příprava informace pro subjekty o zpracování osobních údajů,

  • příprava postupu při porušení ochrany osobních údajů.

Opatření bezpečnosti informací a osobních údajů

Podle § 13 zákona 101/2000 Sb. jsou správce a zpracovatel povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo informací a nahodilému přístupu k osobním údajům, k jejich změnám, zničení či ztrátě , neoprávněným přenosům, neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Zejména jde o:

 

  • stanovení rolí bezpečnosti informací, určení jejich odpovědnosti a pravomoci,

  • zajištění výkonu funkce managera bezpečnosti a zpracování plánu kontrol bezpečnosti,

  • zpracování bezpečnostního záměru IS,

  • provedení analýzy rizik IS,

  • provedení školení bezpečnosti a ochrany osobních údajů.