Správce osobních údajů (anglicky Data Controller) je podle nařízení GDPR firma, úřad nebo osoba, která nese odpovědnost za zpracování osobních údajů. Správce sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů.
Správce nese odpovědnost za zpracování osobních údajů. Správcem může být jakýkoliv právní subjekt, tedy firma, podnikatel jednotlivec, ale také úřady veřejné správy, orgány místní samosprávy a další osoby.
Za zpracování osobních údajů ručí vždy správce
Správce může zpracováním osobních údajů pověřit jiný subjekt, který se podle nařízení označuje jako zpracovatel. Typicky je to účetní firma nebo firma, která zpracovává mzdy. I pokud ale správce pověří zpracováním zpracovatele, stále platí, že za zpracování osobních dat odpovídá správce. Proto je třeba vybrat spolehlivého zpracovatele, který poskytuje dostatečné záruky při zpracování osobních údajů, a jeho povinnosti mít ošetřené ve vzájemné smlouvě. Ta musí zavazovat zpracovatele vůči správci.
Jaké základní povinnosti správce vyplývají z GDPR?
Správce musí mít v pořádku své procesy, postupy, používané evidence a veškerý software, aplikace a informační systémy, ve kterých vede osobní údaje. Stejně tak musí mít zdůvodněno, proč konkrétní osobní údaje vede, a mít právně podloženou zákonnost jejich zpracování. V případě, že toto v pořádku nemá, musí zavést organizační, procesní a technická opatření tak, aby se dostal do souladu s požadavky GDPR.
Správci musí doložit minimálně:
- jaké osobní údaje uchovávají
- že jsou osobní údaje zpracovávány pouze v rozsahu nezbytném ke konkrétnímu účelu
- jak nakládají s osobními údaji po celou dobu zpracování
- kdo a z proč (z jakých pracovních důvodů) k nim má přístup
Dále musí být správci schopni přijímat žádosti lidí (tzv. subjektů údajů) a umožnit jim uplatnit jejich základní práva, jako jsou:
- Právo na přístup ke svým osobním údajům
- Právo na přenositelnost
- Právo na výmaz
Kromě toho musejí správci v případě úniku nebo jiného narušení bezpečnosti osobních údajů tuto skutečnost oznámit dozorovému úřadu.
Firmy nad 250 zaměstnanců musí navíc zřídit nezávislou pozici, tzv. DPO DPO (Data Protection Officer), jejíž úkolem je dohled nad dodržováním pravidel zacházení s osobními údaji v dané firmě.
Co znamená, že správce rozhoduje o účelu zpracování osobních dat?
Správce zpracovává osobní údaje pro účely vyplývající z jeho činnosti (například ze smluv, z podnikatelské činnosti, nebo ze zákonem stanovených povinností), může také osobní údaje zpracovávat pro své oprávněné zájmy, například se chránit proti podvodnému jednání. To znamená, že je odpovědností správce, aby zdůvodnil účel a opřel jej o právní zdůvodnění - tedy zákonnost a nezbytnost uchovávání osobních dat.
Nařízení jednoznačně definuje seznam právních důvodů, kdy je možné osobní údaje zpracovávat:
- Plnění smlouvy - například smlouva se zákazníkem
- Oprávněný zájem - například ochrana proti podvodům
- Plnění právní povinnosti - například vedení mzdové agendy
- Ochrana životně důležitých zájmů
- Veřejný zájem a výkon veřejné moci
- Souhlas subjektu údajů - cokoliv, kde firma získá svolení člověka; ten ho má právo kdykoliv odvolat
Správce tedy musí rozhodnout, z jakých důvodů ty které osobní údaje uchovává, a toto rozhodnutí obhájit. Je to klíčový prvek ochrany osobních údajů - bez správného zdůvodnění správce zpracovává data nelegálně. Jinými slovy je uchovávat a zpracovávat nesmí.
Co znamená, že správce rozhoduje o prostředcích zpracování osobních dat?
Správce musí rozhodovat o tom, jak fungují jeho procesy, software, informační systémy a vůbec celá jeho infrastruktura a zajistit, aby vše odpovídalo požadavkům na dostatečnou bezpečnost osobních údajů. Je povinen zavést přiměřená technická a organizační opatření, tedy opatření, která budou svými náklady odpovídat možné škodě, respektive citlivosti vedených osobních údajů. O přiměřenosti opatření tedy musí rozhodnout především správce a toto své rozhodnutí musí být schopen při kontrole obhájit.
Komentáře
Do diskuze nelze přispívat, protože je uzamčená