Stručně: Paragraf 32 ZZOÚ stanovuje spravujícímu orgánu povinnost přijmout technická a organizační opatření k ochraně osobních údajů, vést o nich dokumentaci a přehledy o zpracování, a řešit nesprávné předání nebo nepřesnost údajů.
§ 32 Obecné povinnosti spravujícího orgánu a záměrná ochrana osobních údajů
(1) Spravující orgán s přihlédnutím k povaze, rozsahu, okolnostem, účelům a rizikům zpracování osobních údajů přijme taková technická a organizační opatření, aby zajistil a doložil splnění svých povinností při ochraně osobních údajů.
(2) Spravující orgán s přihlédnutím k povaze, rozsahu, okolnostem, účelům a rizikům zpracování osobních údajů, vývoji techniky a nákladům přijímá technická a organizační opatření s cílem
a) co nejúčinněji chránit osobní údaje,
b) omezovat nepřiměřené zpracování osobních údajů,
c) omezovat zpracování osobních údajů, které není nezbytné kvůli svému rozsahu, množství údajů, době jejich uložení nebo jejich dostupnosti,
d) poskytovat nezbytné záruky práv subjektu údajů a
e) předcházet automatickému zveřejňování osobních údajů.
(3) Spravující orgán vede o opatřeních přijatých podle odstavců 1 a 2 dokumentaci, kterou uchovává po dobu zpracování osobních údajů.
(4) Spravující orgán vede písemné přehledy o všech typových činnostech zpracování osobních údajů, které obsahují
a) název a kontaktní údaje spravujícího orgánu a pověřence,
b) účel zpracování osobních údajů,
c) kategorie příjemců nebo budoucích příjemců,
d) kategorie subjektů údajů a kategorie osobních údajů,
e) informaci, zda a jak je použito profilování,
f) kategorie přenosů do třetích zemí nebo mezinárodních organizací,
g) právní základ pro operace zpracování, pro něž jsou osobní údaje určeny,
h) lhůty pro výmaz nebo přezkum potřebnosti kategorií osobních údajů a
i) obecný popis zabezpečení osobních údajů.
(5) Dojde-li k nesprávnému předání nebo k předání nepřesných osobních údajů, spravující orgán o tom bez zbytečného odkladu informuje příjemce těchto údajů a orgán příslušný pro plnění účelu uvedeného v § 24 odst. 1, který je jejich původcem. Pokud spravující orgán provedl opravu, doplnění, omezení zpracování nebo výmaz osobních údajů, vyrozumí o nutnosti takového postupu rovněž příjemce těchto údajů.
Výklad
Stručně
Paragraf 32 ZZOÚ stanovuje spravujícímu orgánu povinnost přijmout technická a organizační opatření k ochraně osobních údajů, vést o nich dokumentaci a přehledy o zpracování, a řešit nesprávné předání nebo nepřesnost údajů.
Co to znamená v praxi
Spravující orgán musí aktivně zavádět a udržovat opatření, která chrání osobní údaje, a tato opatření musí být přiměřená rizikům spojeným se zpracováním.
Je nutné vést podrobnou dokumentaci o všech přijatých ochranných opatřeních a uchovávat ji po celou dobu zpracování dat.
Spravující orgán musí vést písemné přehledy o všech typech zpracování osobních údajů, které obsahují specifické informace, jako je účel zpracování, kategorie příjemců a subjektů údajů, a lhůty pro výmaz.
V případě, že dojde k chybnému předání nebo nepřesnosti osobních údajů, má spravující orgán povinnost neprodleně informovat příjemce a původce údajů, a pokud provede opravu, informovat o tom příjemce.
Na co si dát pozor
Opatření k ochraně osobních údajů musí být průběžně přizpůsobována povaze, rozsahu, okolnostem, účelům a rizikům zpracování, jakož i vývoji techniky a nákladům.
Dokumentace o přijatých opatřeních a písemné přehledy o zpracování musí být vedeny pečlivě a kompletně, aby bylo možné doložit splnění povinností.
Je důležité zajistit, aby technická a organizační opatření co nejúčinněji chránila osobní údaje, omezovala nepřiměřené zpracování a předcházela automatickému zveřejňování.
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.