Záznamy o činnostech zpracování

Obecné nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“) zakládá přístup k ochraně osobních údajů, který je postaven především na preventivní ochraně (viz Privacy by Design a by Default). Rovněž však mají některé organizace povinnost následně zaznamenávat různé informace o zpracování údajů.

GDPR, Evropské právo

Povinnost vést záznamy o činnostech zpracování se týká organizací, které:

  • zaměstnávají více než 250 osob, nebo
  • provádějí zpracování pravděpodobně představující riziko pro práva a svobody subjektů údajů, nebo
  • zpracování není příležitostné, nebo
  • provádějí zpracování zahrnující zpracování zvláštních kategorií údajů (např. členství v odborové organizaci) nebo v trestních věcech.

Pokud tedy organizace splňuje jednu z výše uvedených podmínek, bude muset zaznamenávat údaje alespoň v rozsahu stanoveném GDPR. V případě správců se jedná o záznamy, které budou obsahovat následující informace:

  • jméno a kontaktní údaje správce, zástupce správce a pověřence pro ochranu osobních údajů;
  • účely zpracování;
  • popis kategorií subjektů údajů a kategorií osobních údajů;
  • kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
  • informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, případně doložení vhodných záruk dle požadavků GDPR;
  • plánované lhůty pro výmaz jednotlivých kategorií údajů;
  • obecný popis technických a organizačních bezpečnostních opatření.

Povinnost zaznamenávat se týká i zpracovatelů, přičemž kromě povinností uvedených výše v bodu 5 a 7 musí dále vést záznamy o všech kategoriích činností prováděných pro správce obsahující:

  • jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů;
  • kategorie zpracování prováděného pro každého ze správců.

Dle nařízení informace musí být tyto informace zaznamenány písemně a v elektronické formě. Je třeba ocenit požadavek vést záznamy elektronicky, neboť bude snadnější s takovými záznamy pracovat. Lze přepokládat, že u malých organizací nebude představovat zaznamenávací povinnost obvykle velkou zátěž, vzhledem k menšímu množství zpracovávaných osobních údajů. Mělo by tedy postačit vést evidenci manuálně. U větších organizací lze však doporučit její provádění automaticky v rámci informačního systému.

Související články

Souhlas GDPR

Obecné nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“) jako jeden ze zákonných důvodů pro zpracování některých osobních údajů získání souhlasu subjektu údajů. Protože při získávání osobních subjektů se jedná o zásah do jeho práva na soukromí, tak GDPR stanoví takové podmínky, aby si byl subjekt vědom tohoto následku.

Zobrazit více

Narušení bezpečnosti osobních údajů

Jednou z hlavních změn, kterou zavedlo Obecné nařízení o ochraně osobních údajů 2016/679 (GDPR), je povinnost ohlašovat případy, kdy dojde k narušení bezpečnosti ochrany osobních údajů (data breach).

Zobrazit více

Chcete dostávat články pravidelně na e-mail?