Článek 30
ROPA
Záznamy o činnostech zpracování pro hlavní datové procesy.
Termín: aktivní
← Všechny předpisy
ÚOOÚAktivníZákon č. 110/2019 Sb.
GDPR
GDPR se vztahuje na každou firmu, která zpracovává osobní údaje. Vyžaduje přehled zpracování, řízení práv subjektů, DPIA u rizikových operací a hlášení incidentů do 72 hodin.
Kdo to musí splnit
Praktický dopad pro české firmy.
- Každé české IČO, které zpracovává osobní údaje zákazníků, zaměstnanců nebo dodavatelů.
- E-shopy, SaaS aplikace, agentury, zdravotnické služby a B2B firmy s CRM.
- Firmy používající analytiku, marketingové nástroje nebo externí zpracovatele.
- Organizace předávající data mimo EU nebo používající cloudové služby.
Klíčové povinnosti
Co musí být doložitelné.
Článek 35
DPIA
Posouzení vlivu u zpracování s vysokým rizikem.
Termín: před rizikovým zpracováním
Článek 33
Hlášení porušení
Oznámení porušení zabezpečení osobních údajů ÚOOÚ.
Termín: 72 hodin
Článek 28
Zpracovatelské smlouvy
Kontrola dodavatelů, kteří zpracovávají osobní údaje.
Termín: aktivní
Pokuty a sankce
Riziko se měří penězi i ztracenými zakázkami.
Typ porušeníMaximální sankceČeský dohled
Závažné porušení zásad20 mil. EUR nebo 4 % obratuÚOOÚ
Procesní povinnosti10 mil. EUR nebo 2 % obratuÚOOÚ
Pozdní hlášení incidentupodle dopadu a prodleníÚOOÚ
Jak Splnit.eu pomáhá
Převod povinností na kontroly, důkazy a termíny.
ROPA generátor
Přehled zpracování podle systémů, týmů a dodavatelů.
DPIA workflow
Kroky, schvalování a evidence rizikových zpracování.
72h incident log
Časová osa incidentu a export pro ÚOOÚ.