Stručně: Paragraf 46 ZZOÚ stanovuje správci a zpracovateli osobních údajů povinnost přijmout technická a organizační opatření k zabezpečení osobních údajů proti neoprávněnému přístupu, změně, zničení, ztrátě, přenosu nebo zneužití, a to po celou dobu zpracování i po jeho ukončení.
§ 46 Povinnosti osob při zabezpečení osobních údajů
(1) Správce je povinen přijmout taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému neoprávněnému zpracování nebo zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů.
(2) Správce je povinen přijmout technická a organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. Správce vede o přijatých technických a organizačních opatřeních dokumentaci, kterou uchovává po dobu zpracování osobních údajů.
(3) V rámci opatření podle odstavce 1 správce posuzuje rizika týkající se oblastí
a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,
b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,
c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě nebo vymazání záznamů obsahujících osobní údaje a
d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány.
(4) Při automatizovaném zpracování osobních údajů je správce v rámci opatření podle odstavce 1 dále povinen
a) zajistit, aby systém pro automatizované zpracování osobních údajů používala pouze oprávněná fyzická osoba,
b) zajistit, aby oprávněná fyzická osoba měla přístup pouze k osobním údajům odpovídajícím jejímu oprávnění, a to na základě zvláštního uživatelského oprávnění zřízeného výlučně pro tuto osobu,
c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a
d) zabránit neoprávněnému přístupu k datovým nosičům.
(5) Povinnosti stanovené v odstavcích 1 až 4 platí pro zpracovatele obdobně.
Výklad
Stručně
Paragraf 46 ZZOÚ stanovuje správci a zpracovateli osobních údajů povinnost přijmout technická a organizační opatření k zabezpečení osobních údajů proti neoprávněnému přístupu, změně, zničení, ztrátě, přenosu nebo zneužití, a to po celou dobu zpracování i po jeho ukončení.
Co to znamená v praxi
Správce musí aktivně chránit osobní údaje před různými typy neoprávněného zacházení (např. krádež, úprava, smazání) a tuto ochranu zajistit i poté, co údaje přestane zpracovávat.
Je nutné vést dokumentaci o všech přijatých bezpečnostních opatřeních a uchovávat ji po dobu zpracování osobních údajů.
Při automatizovaném zpracování dat (např. v informačních systémech) je třeba zajistit, aby k nim měli přístup jen oprávnění uživatelé s přesně vymezenými právy a aby se zaznamenávalo, kdo, kdy a proč s daty manipuloval.
Povinnosti zabezpečení se vztahují nejen na správce, ale obdobně i na zpracovatele osobních údajů.
Na co si dát pozor
Správce musí posoudit rizika spojená s plněním pokynů, zabráněním neoprávněnému přístupu k datům a jejich úpravám, a také s možností určit, komu byly údaje předány.
Zvláštní pozornost je třeba věnovat zabezpečení datových nosičů, aby k nim neměl přístup nikdo neoprávněný.
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.