Osobními údaji je vše podle čehož může být subjekt údajů identifikován. Telefonní číslo i e-mail k nim bezesporu patří.
Je nutné mít uzavřenou kvalitní smlouvu o zpracování osobních dat, kdy vlastník a provozovatel cloudu jsou v pozici zpracovatele osobních údajů a jsou pro něj specifikovány odpovídající povnnosti. V případě pochybností je nutné podrobit daný IT systém nezávislému auditu.
Kvalitní smlouva o zpracování osobních údajů je základním předpokladem pro Vaši ochranu. Vybrané parametry smlouvy jsou je možná zjistit zde. Je nutné mít nastavena jasná pravidla.
V případě, že bude mít dodavatel přístup k osobním údajům, tak je potřeba uzavřít nové smlouvy o zpracování osobních údajů nebo je třeba stávající smlouvy o zpracování osobních údajů doplnit formou dodatku. Jde o doporučený krok, protože přesné vymezení povinností dodavatele IT chrání zpracovatele proti externímu zavinění, které by neměl šanci při provozu ovlivnit nebo odhalit.
Konzultovat svou připravenost na GDPR lze u Úřadu pro ochranu osobních údajů.
Ano, může. Záleží zcela na konkrétní firmě/instituci a jeho finančních prostředcích, které na novou „agendu“ hodlá uvolnit. Implementace GDPR de facto znamená inventarizovat práci s osobními údaji, vyhodnotit možná rizika, přijmout adekvátní opatření a vše kvalitně zdokumentovat. Lze také konstatovat, že firma, které má v pořádku používané IT systémy a dodržuje stávající legislativu ochranu osobních údajů, je již na GDPR dobře připraven a jen doplní stávající dokumentaci. To lze zvládnou svépomocí, zvláště u menších firem.
Za méně závažné porušení je pokuta maximálně 10 000 000€, či 2% ročního obratu. Za závažnější porušení jako je například za porušení základních zásad je sazba dvojnásobná. Kromě pokut/sankcí může úřad uložit omezení nebo pozastavení zpracování.
Zaměstnavatel může RČ na smlouvách uvádět a nemusí je z pracovních smluv mazat. Má-li však zaměstnavatel evidenci uchazečů o zaměstnání, je nutné dát si pozor na nadbytečné údaje, mezi
které patří i RČ uchazeče (není nutné rozhodnutí jestli zaměstnavatel uchazeče přijme či nikoliv). Je-li RČ součástí životopisu, nemusí jej mazat, ale po ukončení výběrového řízení se životopisy neúspěšných kandidátů zničí a tím se vyhoví zásadám zpracování. V případě, že si zaměstnavatel vede databázi uchazečů a životopisy si chce ponechat, je nutné mít od uchazečů souhlas s uložení jejich údajů do evidence!
