Správce údajů je osoba nebo organizace, která řídí způsob zpracování údajů a odpovídá za dodržování předpisů o ochraně údajů. Správce, ať už jde o jednu osobu nebo celý podnik, je odpovědný za vypracování zásad ochrany osobních údajů organizace, které podrobně stanoví, jaké údaje tato organizace shromažďuje, jak je používá a kam data odesílá. Správci dat spravují zpracovatele dat a určují, jak organizace analyzuje a používá osobní údaje, jako jsou kontaktní informace, adresy a identifikační čísla.
Pojem správce údajů obvykle odkazuje na obecné nařízení o ochraně osobních údajů (GDPR) a jeho požadavky na ochranu údajů; tato role vychází z evropských zákonů o ochraně údajů. GDPR vyžadovalo správce údajů, když v roce 2018 stanovilo přísné požadavky na používání osobních údajů.
Požadavky na správce údajů podle GDPR
GDPR, které se vztahuje nejen na celou Evropskou unii, ale také na všechny země, které mají v Evropě firmy nebo zákazníky, je speciálně navrženo k ochraně jednotlivců a jejich osobních údajů. Proto je pro organizace extrémně přísný. Podniky se musely snažit vyhovět požadavkům, včetně mnoha podniků ze Spojených států. Správci údajů mají mnoho odpovědností; je jich jen pár.
GDPR vyžaduje, aby podniky měly alespoň jeden dobrý důvod pro shromažďování osobních údajů někoho jiného. Správce údajů podniku musí být schopen prokázat tento dobrý důvod. Šest důvodů nebo „zákonný základ“ pro shromažďování osobních údajů je:
- Souhlas udělený společnosti jednotlivcem
- Smlouva uzavřená mezi organizací a jednotlivcem, která vyžaduje osobní údaje
- Dodržování zákonné povinnosti (povinnost poskytovat zákonem údaje něčí vládě)
- Ochrana životně důležitých zájmů jednotlivce
- Veřejné úkoly, které vyžadují zpracování osobních údajů (organizace potřebuje e-mailovou adresu, aby mohla kontaktovat zákazníka ohledně konkrétní služby)
- Ochrana oprávněného zájmu organizace, obvykle pro právní účely
Správci údajů musí také vést podrobné záznamy o údajích, které shromažďují, kam je odesílají a jak je používají. Musí mít tyto záznamy k dispozici písemně. Pokud prodávají údaje třetím stranám, musí přesně zdokumentovat, kdo a za jakým účelem. K těmto informacím musí mít přístup i jednotlivci (nebo, jak jim říká GDPR, subjekty údajů).
Správci údajů musí také snadno zpřístupnit své kontaktní informace subjektům údajů, které se pak mohou obrátit na správce údajů s dotazy týkajícími se jejich osobních údajů a způsobu jejich použití.
GDPR stanoví požadavky na organizace, aby jmenovaly inspektora ochrany údajů (DPO): může za to nést odpovědnost správce údajů. Organizace musí jmenovat pověřence pro ochranu údajů, pokud zpracovává velké množství citlivých údajů (například velké zdravotnické zařízení nebo finanční instituce) nebo pravidelně shromažďuje velké množství údajů, včetně častého sledování nebo sledování.
Požadavky GDPR pro americké společnosti
Důležitá poznámka pro podniky ve Spojených státech: pokud mají americké společnosti zákazníky z EU, pobočky EU, zaměstnance EU nebo dokonce přítomnost v zemích EU, platí pro ně nařízení GDPR. Kalifornská CCPA má podobné požadavky. To znamená, že výše uvedené požadavky na správce údajů a případně úředníky pro ochranu údajů se vztahují na podniky v USA i na všechny podniky, které mají zákazníky v EU. Dokonce i společnost ve Spojených státech, která má velkou online prezentaci nebo e-mailovou marketingovou kampaň, například obchodní dům, pravděpodobně podléhá nařízení GDPR, protože je pravděpodobné, že bude mít zákazníky z EU online.