← Všechny GDPR vzory

GDPR vzor · Základní dokumentace · pro správce

Vnitřní směrnice o ochraně osobních údajů

Interní pravidla firmy: role, tituly, práva subjektů, incidenty, záznamy a školení. Páteř doložitelného souladu podle čl. 24.

Souvisí s čl. 5 · čl. 24 · čl. 32 · čl. 33 (znění a komentář).

Kdy použít

Jednou zavést, každoročně revidovat. Směrnice je hlavní důkaz odpovědnosti (čl. 5 odst. 2 a čl. 24), o který se opře každá kontrola.

Na co si dát pozor

Směrnice má popisovat, co firma skutečně dělá, ne ideál z internetu. Mrtvá směrnice je při kontrole horší než žádná, dokládá, že o povinnostech firma věděla a nedodržovala je.

Vzor

Směrnice o ochraně osobních údajů č. [DOPLNIT]

Správce: [DOPLNIT: název, IČO, sídlo]. Účinnost od: [DOPLNIT]. Schválil: [DOPLNIT].

  1. Účel. Směrnice stanoví pravidla zpracování osobních údajů podle nařízení (EU) 2016/679 (GDPR) a zákona č. 110/2019 Sb. a rozděluje odpovědnosti uvnitř správce.
  2. Pojmy. Osobní údaj, zpracování, správce, zpracovatel a zvláštní kategorie údajů se vykládají podle čl. 4 a čl. 9 GDPR.
  3. Zásady. Každé zpracování má určený účel, právní titul, minimální rozsah, dobu uložení a zabezpečení (čl. 5). Nové zpracování schvaluje [DOPLNIT: role] a zapisuje se do záznamů podle čl. 30.
  4. Právní tituly. Zpracování bez souhlasu se opírá o smlouvu, právní povinnost nebo oprávněný zájem (u něj se provádí a ukládá balanční test). Souhlas se používá jen tam, kde jiný titul není, eviduje se a jde stejně snadno odvolat, jako se udělil.
  5. Práva subjektů. Žádosti přijímá [DOPLNIT: role, e-mail]. Vyřizují se bezplatně do jednoho měsíce (čl. 12 odst. 3), o prodloužení a každém odmítnutí rozhoduje [DOPLNIT: role] a subjekt se vždy poučí o právu na stížnost u ÚOOÚ a na soudní ochranu.
  6. Zabezpečení. Přístupy podle rolí, šifrování přenosných zařízení, zálohování, aktualizace, mlčenlivost zaměstnanců a pravidelné školení (nejméně jednou ročně, s prezenční listinou).
  7. Porušení zabezpečení. Každý zaměstnanec hlásí incident neprodleně [DOPLNIT: role]. Ten posoudí riziko, vede interní záznam všech porušení (čl. 33 odst. 5), do 72 hodin ohlašuje ÚOOÚ porušení s rizikem pro práva osob a při vysokém riziku informuje dotčené osoby (čl. 34).
  8. Zpracovatelé. Externí dodavatelé s přístupem k údajům se zapojují jen na základě smlouvy podle čl. 28, jejich seznam vede [DOPLNIT: role].
  9. Revize. Směrnici reviduje [DOPLNIT: role] nejméně jednou ročně a při každé podstatné změně zpracování.

Obecná šablona k vlastnímu doplnění, ne právní služba. Hranaté závorky [DOPLNIT] nahraďte vlastními údaji a obsah přizpůsobte skutečnému zpracování.