GDPR vzor · Základní dokumentace · pro správce
Vnitřní směrnice o ochraně osobních údajů
Interní pravidla firmy: role, tituly, práva subjektů, incidenty, záznamy a školení. Páteř doložitelného souladu podle čl. 24.
Souvisí s čl. 5 · čl. 24 · čl. 32 · čl. 33 (znění a komentář).
Kdy použít
Jednou zavést, každoročně revidovat. Směrnice je hlavní důkaz odpovědnosti (čl. 5 odst. 2 a čl. 24), o který se opře každá kontrola.
Na co si dát pozor
Směrnice má popisovat, co firma skutečně dělá, ne ideál z internetu. Mrtvá směrnice je při kontrole horší než žádná, dokládá, že o povinnostech firma věděla a nedodržovala je.
Vzor
Směrnice o ochraně osobních údajů č. [DOPLNIT]
Správce: [DOPLNIT: název, IČO, sídlo]. Účinnost od: [DOPLNIT]. Schválil: [DOPLNIT].
- Účel. Směrnice stanoví pravidla zpracování osobních údajů podle nařízení (EU) 2016/679 (GDPR) a zákona č. 110/2019 Sb. a rozděluje odpovědnosti uvnitř správce.
- Pojmy. Osobní údaj, zpracování, správce, zpracovatel a zvláštní kategorie údajů se vykládají podle čl. 4 a čl. 9 GDPR.
- Zásady. Každé zpracování má určený účel, právní titul, minimální rozsah, dobu uložení a zabezpečení (čl. 5). Nové zpracování schvaluje [DOPLNIT: role] a zapisuje se do záznamů podle čl. 30.
- Právní tituly. Zpracování bez souhlasu se opírá o smlouvu, právní povinnost nebo oprávněný zájem (u něj se provádí a ukládá balanční test). Souhlas se používá jen tam, kde jiný titul není, eviduje se a jde stejně snadno odvolat, jako se udělil.
- Práva subjektů. Žádosti přijímá [DOPLNIT: role, e-mail]. Vyřizují se bezplatně do jednoho měsíce (čl. 12 odst. 3), o prodloužení a každém odmítnutí rozhoduje [DOPLNIT: role] a subjekt se vždy poučí o právu na stížnost u ÚOOÚ a na soudní ochranu.
- Zabezpečení. Přístupy podle rolí, šifrování přenosných zařízení, zálohování, aktualizace, mlčenlivost zaměstnanců a pravidelné školení (nejméně jednou ročně, s prezenční listinou).
- Porušení zabezpečení. Každý zaměstnanec hlásí incident neprodleně [DOPLNIT: role]. Ten posoudí riziko, vede interní záznam všech porušení (čl. 33 odst. 5), do 72 hodin ohlašuje ÚOOÚ porušení s rizikem pro práva osob a při vysokém riziku informuje dotčené osoby (čl. 34).
- Zpracovatelé. Externí dodavatelé s přístupem k údajům se zapojují jen na základě smlouvy podle čl. 28, jejich seznam vede [DOPLNIT: role].
- Revize. Směrnici reviduje [DOPLNIT: role] nejméně jednou ročně a při každé podstatné změně zpracování.
Prompt pro vaše AI
Nechcete to skládat ručně? Zkopírujte tenhle prompt do svého AI (ChatGPT, Claude, Gemini, Grok), doplňte svoji situaci a nechte si výstup sestavit. Prompt nese věcné požadavky, aby model neimprovizoval, a na konci si vyžádá, co ověřit. Výstup je vždy návrh k lidské kontrole.
Jsi seniorní český právník se specializací na ochranu osobních údajů. Piš česky, věcně, bez vaty. ÚKOL: Sestav vnitřní směrnici o ochraně osobních údajů pro moji organizaci podle článku 24 GDPR. MOJE SITUACE (doplň, co platí, zbytek smaž): - Správce: [DOPLNIT] - Velikost a obor organizace: [DOPLNIT] - Má organizace pověřence: [DOPLNIT] MUSÍ POKRÝT tyto body: 1. Role a odpovědnosti za ochranu údajů 2. Zásady zpracování podle článku 5 3. Právní tituly zpracování 4. Vedení záznamů o činnostech (článek 30) 5. Zabezpečení, technická a organizační opatření (článek 32) 6. Vyřizování práv subjektů 7. Postup u porušení zabezpečení (články 33 a 34) 8. Školení a přehled zpracovatelů PRAVIDLA: - Vycházej jen z bodů výše a z mé situace. Nevymýšlej si paragrafy ani jejich obsah a neuváděj číslo paragrafu, které ti nedám. - Kde mi údaj chybí, nech na tom místě výrazné [DOPLNIT: ...], nic si nedomýšlej. - Piš srozumitelně, ne úřednickým jazykem. VÝSTUP rozděl na dvě části: A) Hotový text k použití. B) Než ho použiju: co si mám doplnit nebo ověřit a co závisí na mé konkrétní situaci.
Otevře ho v prompt builderu, kde si ho upravíte a přegenerujete pro ChatGPT, Claude, Gemini i Grok.
Obecná šablona k vlastnímu doplnění, ne právní služba. Hranaté závorky [DOPLNIT] nahraďte vlastními údaji a obsah přizpůsobte skutečnému zpracování.