Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s GDPR. Tato opatření mohou být u každého správce s ohledem na povahu, rozsah a účely zpracování, odlišné.

  1. pseudonymizace a šifrování osobních údajů – to je možné například ve Windows 10 pomocí jeho bezplatné součásti – BitLocker Drive Encryption,
  2. schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování ,
  3. schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů,
  4. procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování,
    Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména
  5. náhodné nebo protiprávní zničení,
  6. ztráta,
  7. pozměňování,
  8. neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
    Jedním z prvků, jimiž lze doložit soulad s požadavky pro zabezpečení osobních údajů, je dodržování schváleného kodexu chování nebo uplatňování schváleného mechanismu pro vydávání osvědčení.

Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.

Doporučení

Stanovit a popsat systém pro zacházení s osobními údaji – směrnice, vnitřní dokumentace apod. Tato povinnost nevychází z GDPR.
Stanovit systém přidělování a rozsah oprávnění a přístupu k osobním údajům a pro práci s nimi.

Aktualizace osobních údajů

Aktualizace může být prováděna:

  1. subjekt údajů má přístup do systému, kde může své osobní údaje sám aktualizovat,
  2. správce osobní údaje aktualizuje na základě ověřování jejich aktuálnosti.
  3. kombinace předešlého.

Obnovitelnost osobních údajů

Stanovení vhodného systému zálohování a obnovení v případě potřeby. Doporučené je provádět na rozdílná úložiště (cloud, servery) a ve vhodně nastavených lhůtách.

Kontrola a monitorování

Průběžně kontrolovat a monitorovat procesy zpracovávání dat, zpracovatele a další osoby, zda je prováděno v souladu s GDPR a zda nedošlo ke zničení, ztrátě, neoprávněné změně nebo zneužití. Vhodné je použití speciálních softwarových programů a stanovení systému kontrol a auditů.

Likvidace osobních údajů

Provádí se:

  1. u dat, u kterých již není právní důvod k dalšímu zpracování,
  2. u nepotřebných dat tj. dat, která se již dále nezpracovávají a nemají účel zpracování,
  3. u dat, u kterých vypršela doba pro zpracovávání.

Uchovávání po dobu nezbytně nutnou

  1. Uchovávání po dobu stanovenou právními předpisy – právní povinnost.
  2. Uchovávání po dobu stanovenou organizaci – přiměřeně k účelu použití.