Základní povinností správce osobních údajů je zabezpečení osobních údajů. Za tímto účelem jsou dle GDPR správci osobních údajů povinni s přihlédnutím ke konkrétním okolnostem přijmout vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku.
Technická a organizační opatření
GDPR příkladem udává, co považuje za technická a organizační opatření. Pro účely SVJ, BD a FO jde zejména o:
- zajištění neustále důvěrnosti, celistvosti a odolnosti systémů zpracování osobních údajů
- zajištění dostupnosti a přístupu k osobním údajům v případě fyzických nebo technických potíží
- pravidelné testování, posuzování a hodnocení účinnosti zavedených opatření
Praktické kroky
K zabezpečení zpracování osobních údajů jsou SVJ, BD a FO povinni zajistit:
- Důvěrnost - ke zpracovávaným osobním údajům nemá přístup nepovolaná osoba (uzamčení prostor s listinami, zabezpečení internetových stránek)
- Dostupnost - nedojde k nenávratné ztrátě osobních údajů (zálohování)
- Kontrola - pravidelné ověřování účinnosti zajištění
Záznamy o činnostech zpracování
Další povinností SVJ, BD a FO je vedení záznamů o činnostech zpracování. S ohledem na to, že SVJ, BD i FO osobní údaje vlastníků a uživatelů jednotek zpracovávají systematicky a dlouhodobě, nejde o příležitostné zpracování a proto povinnost vedení záznamů dopadá i na ně.
Záznamy o činnostech musí obsahovat zejména:
- identifikaci správce osobních údajů
- uvedení účelu zpracování
- popis kategorií osobních údajů, subjektů údajů i jejich příjemců
- lhůty pro výmaz osobních údajů
- obecný popis technických a organizačních bezpečnostních opatření
Doporučení
Za účelem splnění uvedených povinností je namístě vypracovat interní směrnici nebo obdobný dokument, kterým bude splnění povinnosti k zabezpečení osobních údajů prokázáno.