GDPR 2018: Změny v ochraně osobních údajů v návodech a vzorech - demo

STRANA 5 1.1.1 D ATOVÝ AUDIT – INVENTURA PROCESŮ PODLE GDPR vatele (pokud by si např. zmíněná externí účetní firma najala pro zpracování mezd podnikatele ještě další OSVČ). Povinností správce je garantovat bezpečnost dat v celém řetězci zpracovatelů . Naopak zpracovatel nesmí využít služeb subzpracovatele bez vědomí správce, jeho souhlasu a opět zpracovatelské smlouvy. Dalším krokem v rámci identifikace zpracování je definice kategorie subjektů údajů, jichž se daný scénář týká . Například scénář zpracování „výroční zpráva“ se obvykle týká kategorie „zaměstnanci“, zatímco scénář zpracování „žádanka o ošetření“ pravděpodobně souvisí s kategorií „pacienti“. Ji- nými slovy se běžně jedná o soubor osob, které má správce ve svých procesech pojmenovány jako za- městnance, pacienty, klienty, žadatele, odběratele, dodavatele, členy apod. Následuje identifikace kategorie osobních údajů. GDPR chápe jako osobní údaj jakoukoliv informaci, na jejímž základě může být identifikována kon- krétní fyzická osoba . Kromě toho jsou coby osobní údaje chápány i elektronické identifikátory jako IP adresa, cookies, MAC adresa, IMEI apod. Typické osobní údaje samozřejmě představují jméno a pří- jmení, rodné číslo, číslo občanského průkazu, ces- tovního dokladu, adresa bydliště apod. Mezi běžné osobní údaje patří i fotografie nebo podpis, za předpokladu, že nejsou využívány v biometrii. GDPR zmiňuje několik kategorií zvláště citlivých osobních údajů , jakými jsou například etnický pů- ! Kategorie subjektů údajů Kategorie osobních údajů