Bude něco z toho vyloženě nutné? Tedy když jsou údaje o zákazníkovi v nějakém systému na serveru - tak třeba aby byla povinnost mít přístup šifrovaný přes HTTPS, pravidelný zálohy, nebo třeba trezor na zálohy a tak?
Je to specifikované nějak konkrétně?
Měl by se objevit "národní výklad" GDPR, který tomu dá jasnější obraz (předpokládám že jsi našinec a podnikáš jen v ČR, obecně, pokud podnikáš ve vícero státech EU, tak se budeš řídit v celé EU národním výkladem státu, kde máš největší část operací, protože vůči němu budeš mít i danou informační/konzultační povinnost).
Toto by měl právě řešit ten manažer osobních informací. Měl by stát za analýzou, která konkrétně pro tvůj případ určí jaké osobní informace zpracováváš, jak a z toho vyplynou postupy a nároky, co a jak dělat a v jakém rozsahu. Toto si necháš schválit od úřadu a pak podle toho budeš interně posupovat.
A pak bude na této figurce toto prosadit a kontolovat. Stejně tak bude mít reportovací povinnosti proti státu, když se stane nějaký průser. Ta figurka bude buď jen tvoje (zaměstnanec), pokud jsi velký. U menších, kde by vyplynula její povinnost, tak klidně nasmlouvaný nějaký externista. V podstatě sjená pozice, jak auditor.
takže tedy § 63 odst. 3 zák.č. 127/2005 Sb. o elektronických komunikacích, který mě nutí třeba mít rodné číslo nepodnikajcího zákazníka tedy nebude už platit?
Ke zpracování osobního údje buď máš prokazatelný souhlas dané osoby nebo to plyne z nějakého jiného předpisu. V tomto případě ZoEK to po tobě chce, tak si budeš RČ sušit, ale budeš s ním nakládat v souladu s tím GDPR a svým předpism na prácí/ochranu osobních dat.