Kapitola IV · čl. 24–43
Povinnostní jádro pro firmy. Odpovědnost, smlouvy se zpracovateli, záznamy, zabezpečení, incidenty, DPIA a pověřenec.
Čl. 24 Odpovědnost správce Odpovědnost správce, zavést vhodná technická a organizační opatření podle povahy a rizik zpracování a umět je doložit. Risk-based přístup, který se pak vrací v čl. 25, 32 a 35.
Čl. 25 Záměrná a standardní ochrana osobních údajů Záměrná a standardní ochrana (privacy by design a by default). Ochrana údajů se promítá do návrhu systémů a výchozí nastavení zpracovává jen nezbytné minimum. Sesterský princip požadavků na návrh v AI Actu.
Čl. 26 Společní správci Společní správci si ujednáním rozdělí povinnosti a podstatné shrnutí zpřístupní subjektům. Subjekt může práva uplatnit u kteréhokoli z nich, ujednání navenek nikoho neomezuje. Společným správcem je i provozovatel webu, který si vloží tlačítko sociální sítě sbírající údaje návštěvníků (C-40/17 Fashion ID).
Čl. 28 Zpracovatel Zpracovatel jen na základě smlouvy s povinnými náležitostmi odst. 3, pokyny správce, mlčenlivost, zabezpečení, podmínky řetězení dalších zpracovatelů, součinnost, výmaz či vrácení po skončení a auditní práva. Nejčastěji revidovaný smluvní typ celého nařízení.
Čl. 30 Záznamy o činnostech zpracování Záznamy o činnostech zpracování za správce i zpracovatele. Výjimka pro organizace pod 250 zaměstnanců je děravá (neplatí u nepříležitostného zpracování, rizika nebo zvláštních kategorií), takže záznamy v praxi vede skoro každý.
Čl. 32 Zabezpečení zpracování Zabezpečení odpovídající riziku, výslovně zmíněny pseudonymizace a šifrování, schopnost zajistit důvěrnost, integritu, dostupnost a odolnost, obnova po incidentu a pravidelné testování účinnosti opatření. Úspěšný útok hackerů sám o sobě neznamená, že opatření byla nevhodná, vhodnost se posuzuje podle rizika (C-340/21).
Čl. 35 Posouzení vlivu na ochranu osobních údajů Posouzení vlivu na ochranu osobních údajů (DPIA) před zpracováním s pravděpodobným vysokým rizikem, typicky systematické a rozsáhlé hodnocení osob včetně profilování, rozsáhlé zpracování zvláštních kategorií nebo systematické monitorování veřejných prostor. ÚOOÚ vede seznam operací, které DPIA vyžadují vždy. Metodický předchůdce FRIA z čl. 27 AI Actu.
Čl. 36 Předchozí konzultace Když DPIA ukáže vysoké zbytkové riziko, které správce neumí zmírnit, jde před zpracováním na konzultaci k dozorovému úřadu.
Čl. 37 Jmenování pověřence pro ochranu osobních údajů Pověřenec pro ochranu osobních údajů je povinný pro orgány veřejné moci, při rozsáhlém pravidelném a systematickém monitorování a při rozsáhlém zpracování zvláštních kategorií. Může být jeden pro skupinu, interní i externí.
Čl. 40 Kodexy chování Sdružení mohou vypracovat kodexy chování upřesňující nařízení pro svůj sektor, schvaluje dozorový úřad.
Čl. 42 Vydávání osvědčení Dobrovolné certifikace, pečeti a známky jako doklad souladu, platnost nejdéle tři roky, certifikace nesnižuje odpovědnost.