Předně je třeba konstatovat, že společnostem odpadla dříve uplatňovaná ohlašovací povinnost při zahájení zpracování osobních údajů. Na základě principu odpovědnosti je na společnostech samotných, aby zvážily nutnost zavedení nových technických, organizačních a procesních opatření za účelem harmonizace s GDPR, a to bez ohledu na jejich velikost nebo počet zaměstnanců. Do těchto opatření je ve společnostech nutné investovat vysoké finanční prostředky.
Společnost má od účinnosti GDPR povinnost vést záznamy o činnostech zpracování, musí explicitně vymezovit účely zpracování a nastavit interní procesy tak, aby subjekty osobních údajů mohly uplatňovat svá práva, dále musí v určitých případech ustanovit pověřence pro ochranu osobních údajů (Data protection officer), vypracovat posouzení vlivu na ochranu osobních údajů a konzultovat s dozorovým orgánem svoji činnost již před zpracováním osobních údajů.
Posouzení vlivu na ochranu osobních údajů
Naprostou novinkou je posouzení vlivu na ochranu osobních údajů (Data protection impact Assessment). To je třeba vypracovat v případě, kdy společnost provádí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování. Mezi subjekty, na které nepochybně tato povinnost dopadá, patří banky, pojišťovny nebo společnosti poskytující věrnostní programy, e-shopy a telekomunikační služby. Tuto povinnost mají samozřejmě i nemocnice, které zpracovávají citlivá data klientů nebo bezpečnostní agentury monitorující veřejně přístupné prostory.
V každé společnosti, lhostejno jak velké a v jakém oboru podniká, by měli její vedoucí pracovníci minimálně provést vnitřní analýzu nakládání s osobními údaji. V případě, že společnost osobní údaje zpracovává, je třeba zavést vnitřní koncepce a opatření k dodržování ochrany osobních údajů. Společnosti mají povinnost vést přehledné záznamy o činnostech zpracování.
K záznamům o činnostech musí být přiděleny tyto informace:
- účel zpracování
- popis kategorií
- jméno a kontaktní údaj správce a zpracovatele, resp. pověřence,
- popis technických a organizačních opatření,
- lhůty pro výmaz kategorií údajů,
- informace o případném přeshraničním předávání osobních údajů,
- případné kategorie příjemců, kterým jsou údaje zpřístupněny.