GDPR 2018: Změny v ochraně osobních údajů v návodech a vzorech - demo

STRANA 4 1.1.1 D ATOVÝ AUDIT – INVENTURA PROCESŮ PODLE GDPR náři zpracování osobních údajů v roli správce, nebo zpracovatele (více viz kap. 3.2) Správce je tím, kdo data pořizuje, je jejich vlastní- kem a nese primární odpovědnost za jejich bez- pečnost a zákonné zpracování. Roli zpracovatele pak organizace zastává, existuje-li nějaká jiná osoba, která jí zpracování svých dat zadala. Typickým příkladem je podnikatel, jenž provozuje svou menší stavební firmu. Na tuto společnost se GDPR bezpochyby vztahuje, protože má řekněme šest zaměstnanců a desítky klientů, jejichž data se v systémech firmy nacházejí. Nicméně ještě nemá potřebu zaměstnávat interní účetní, proto má smlouvu o vedení účetnictví s externí společností. Podnikatel je tak v roli správce a účetní firma za- stává pozici zpracovatele. K předávání osobních údajů dochází jednou měsíčně, a to doručením da- tového úložiště – „krabice plné faktur a poklad- ních dokladů“. V rámci datového auditu musejí být identifiková- ny jednotlivé role, protože GDPR ukládá správci a zpracovateli povinnost uzavřít písemnou zpraco- vatelskou smlouvu , garantující bezpečnost dat a zajišťující možnost naplnit práva subjektů údajů, tj. fyzických osob, jejichž údaje zpracovatel na zá- kladě pokynů správce zpracovává. GDPR přímo uvádí několik základních požadavků, jež musí zpracovatelská smlouva obsahovat. Je rovněž třeba mít na paměti, že se může vyskyt- nout subzpracovatel , tedy další externí subjekt, který osobní údaje správce zpracovává pro zpraco- Správce a zpracovatel Zpracovatelská smlouva Subzpracovatel