Zpracování osobních údajů je nařízeno zákonem a skutečně ani drobní podnikatelé nebo malé firmy nebudou mít žádnou výjimku, že to nemusí dělat. V podstatě i pro ně je připravená určitá forma školení, aby si dokázali poradit a byli celkově srozuměni s touto problematikou. Je pravdou, že menší firma nemusí plnit tolik opatření, jako je to ustanoveno pro velké společnosti. Nicméně každý, kdo bude pracovat s osobními údaji, je správce dat a je zodpovědný za jejich zpracování a také bezpečnost, tudíž GDPR pro malé firmy je přirozeně povinností. Veškerá zodpovědnost bude následovat za správcem.



Co vše musí dokumenty obsahovat?

• Název a kontaktní údaje firmy. Jméno a kontaktní údaje správce, případně společného správce. Kdo má zástupce správce a pověřence pro ochranu osobních údajů, tak je též uvede.
• Účely zpracování. Zde musí být uvedeno, proč a za jakým účelem se tyto údaje zpracovávají, prakticky na jakém základě, což může být nabídka služeb, kontakt, smlouva atd.
• Jasně a zřetelně o koho se bude jednat, zdali o zaměstnance, zákazníka, dodavatele, atd.
• Přirozeně součástí údajů je nejen jméno, ale i bydliště, e-mailová adresa, telefon a další.
• Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích. To většinou se moc u drobných živnostníků nevidí, že by se údaje dávaly do třetích zemí, ale kdyby náhodou taková situace nastala, tak je třeba být na to připravený.
• Pokud je to možné, je třeba zaznamenat plánované lhůty pro výmaz jednotlivých kategorií údajů. Čas se může dohodnout vzájemným posouzením, není nijak stanovený.
• Součástí by měl být i obecný popis technických a organizačních bezpečnostních opatření. Kam se budou dokumenty ukládat a jak budou zabezpečeny.

Zpracování netrvá dlouho a je lepší mít vše v pořádku dříve, než firmu nebo společnost navštíví dozorový úřad, který je oprávněný vystavit i nemalou pokutu za nedodržení Obecného nařízení.