Prokázání souladu GDPR pomocí důkazů
Existuje celá řada důkazů, které mohou organizace použít k prokázání souladu s obecným nařízením o ochraně osobních údajů (GDPR) a legislativou na ochranu osobních údajů. Pro kontrolu lze použít například níže uvedený checklist.
Zásady ochrany osobních údajů: Zásady ochrany osobních údajů by měly vysvětlovat, jak organizace shromažďuje, používá a sdílí osobní údaje. Měla by také vysvětlovat práva subjektů údajů a způsob, jakým mohou tato práva uplatňovat.
Posouzení vlivu na ochranu osobních údajů (DPIA): DPIA je dokument, který musí organizace vytvořit, pokud zpracovává osobní údaje, které mohou představovat vysoké riziko pro práva a svobody subjektů údajů. DPIA by mělo identifikovat rizika pro subjekty údajů a opatření, která organizace přijímá ke zmírnění těchto rizik.
Bezpečnostní opatření: Organizace musí zavést vhodná technická a organizační opatření na ochranu osobních údajů před neoprávněným přístupem, použitím, zveřejněním, pozměněním nebo zničením.
Práva subjektů údajů: Organizace musí subjektům údajů poskytnout právo na přístup k jejich osobním údajům, právo na výmaz osobních údajů, právo vznést námitku proti zpracování osobních údajů a právo na předání osobních údajů jiné organizaci.
Oznámení o porušení zabezpečení údajů: Organizace musí oznámit porušení zabezpečení osobních údajů dozorovému úřadu do 72 hodin od okamžiku, kdy se o něm dozví.
Kromě těchto konkrétních důkazů mohou organizace prokázat soulad s GDPR také tím, že mají zdokumentovaný program ochrany údajů. Tento program by měl zahrnovat zásady a postupy pro všechny aspekty ochrany údajů, jako je shromažďování, zpracování, ukládání a likvidace údajů.
Organizace mohou prokázat soulad s nařízením GDPR také tím, že podstoupí audit GDPR. Audit GDPR je prověření postupů organizace v oblasti ochrany údajů nezávislým auditorem. Auditor posoudí soulad organizace s nařízením GDPR a poskytne doporučení ke zlepšení.
Shromažďováním a uchováváním důkazů o souladu s nařízením GDPR mohou organizace prokázat svým zákazníkům, zaměstnancům a dalším zúčastněným stranám, že se zavázaly chránit soukromí osobních údajů.
Zde jsou uvedeny některé konkrétní příklady důkazů, které mohou organizace shromažďovat, aby prokázaly svůj soulad s nařízením GDPR:
Záznamy o činnostech zpracování údajů: Mohou zahrnovat seznam všech osobních údajů, které organizace shromažďuje, zpracovává a uchovává, a také účely, pro které jsou údaje zpracovávány.
Záznamy o žádostech subjektů údajů: Mohly by sem patřit záznamy o všech žádostech, které subjekty údajů podaly organizaci, jako jsou žádosti o přístup k jejich osobním údajům nebo žádosti o výmaz jejich osobních údajů.
Záznamy o bezpečnostních incidentech s údaji: Mohly by sem patřit záznamy o všech případech narušení bezpečnosti údajů, k nimž v organizaci došlo, a o krocích, které organizace podnikla ke zmírnění rizik pro subjekty údajů.
Záznamy o školeních o ochraně údajů: Mohly by sem patřit záznamy o všech školeních, která organizace poskytla svým zaměstnancům v oblasti ochrany údajů.
Shromažďováním a uchováváním těchto důkazů mohou organizace dozorovému úřadu prokázat, že podnikají kroky k dosažení souladu s nařízením GDPR.
zdroj: GDPR compliance checklist