Zásada zákonnosti Povinnost určit pro
každé zpracování osobních údajů správný právní titul (souhlas subjektu údajů,
plnění smlouvy, zákonný důvod, oprávněný zájem správce, veřejný zájem a životně
důležitý zájem). Toto je nejdůležitější zásada, která musí být nutně dodržena.
Tato zásada zakazuje jakékoliv zpracování osobních údajů, které není podloženo
ani jedním z právních titulů.
Zásada korektnosti a transparentnosti Povinnost správce
zajistit subjektu údajů co největší informovanost o tom, co se děje s jeho
osobními údaji. V rámci plnění informační povinnosti musí správce užívat
jednoduchých jazykových prostředků. Např. již před udělením souhlasu se
zpracováním, musí mít subjekt všechny potřebné informace o zpracování jeho
údajů.
Zásada minimalizace Povinnost správce či
zpracovatele zpracovávat jen ty osobní údaje, které potřebuje pro plnění
stanoveného účelu zpracování. Příkladem je nábor zaměstnanců, při kterém můžete
za účelem přijetí uchazeče zpracovávat jen ty osobní údaje, které potřebujete v
přijímacím procesu pro danou pozici (nesmíte zpracovávat rodné číslo, rodinný
stav, počet dětí a další údaje). Rodné číslo potřebujete až po podpisu smlouvy
k nahlášení nového zaměstnance na zdravotní pojišťovnu a Českou správu
sociálního zabezpečení atd.
Účelové omezení Povinnost zpracovávat osobní údaje jen pro určité, jasně vyjádřené a
legitimní účely. Jiné zpracování osobních údajů je zakázáno. Zjednodušeně
řečeno, abyste mohli zpracovávat osobní údaje, je nutné si stanovit účely, proč
osobní údaje zpracováváte. Tento účel musí být legitimní, určitý a
výslovně vyjádřený. Legitimita účelu znamená, že účel musí být vždy v
souladu s platnými zákony. Určitost účelu znamená, že účel musí být stanoven
tak, aby z něj bylo jasné, jaká zpracování osobních údajů budou probíhat a
proč. Aby byl účel výslovně vyjádřený a měli byste s ním seznámit subjekty
údajů. Také byste neměli spojovat více účelů dohromady.
Zásada přesnosti Veškeré osobní údaje, které jsou zpracovány, musí být aktuální a přesné.
Jakékoliv nesrovnalosti musí být neprodleně odstraněny či opraveny.
Zásada omezení uložení Stanovuje povinnost uchovávat osobní údaje pouze po takovou dobu, která je
nezbytná pro účely zpracování. Může se jednat, buď o zákonem stanovené lhůty
(například 10 let pro některé daňové doklady), interně stanovené lhůty dle
trvání účelu zpracování (pouze po dobu přijímacího řízení) či doba vztahující
se k rozhodné události, jako například ukončení poskytování určité služby.
O době uchování osobních údajů by měl být informován zejména subjekt těchto
údajů.
Zásada integrity a důvěrnosti Povinnost zpracovávat osobní údaje takovým způsobem, aby byla zachována
jejich bezpečnost a nedošlo k jejich protiprávnímu či neoprávněnému zpracování
nebo k jejich poškození, zničení či ztracení.
Zásada odpovědnosti Povinnost dodržovat všechna pravidla a zásady stanovené Nařízením a zároveň
doložit soulad s GDPR případné kontrole. Přístup správců údajů se bude muset
změnit z reaktivního na proaktivní, což znamená, že správce osobních údajů musí
být schopen sám doložit, že je v souladu s GDPR a nikoliv čekat, že mu bude
prokázáno, že v souladu není. Je nutné zavést vhodné systémy a postupy ochrany,
včetně vedení záznamů o zpracování či provedení Posouzení vlivu na ochranu
osobních údajů (DPIA).