22 / 07 / 2018

Jak vést záznamy o činnostech zpracování osobních údajů dle GDPR

Kdo má povinnost vést záznamy o činnostech? Jaké záznamy je nutno vést a jak by měl vypadat takový dokument záznamu? Pokládáte-li si také tyto otázky, mohou vám pomoci následující odstavce.

Obecné nařízení o ochraně osobních údajů zavádí mimo jiné povinnost pro zaměstnavatele vést záznamy o činnostech zpracování osobních údajů svých zaměstnanců. Co přesně se tím myslí a jak tyto záznamy správně vést?

Co jsou záznamy o činnostech?

Záznamy o činnostech zpracování de facto nahrazují oznamovací povinnost, tedy hlášení zpracování osobních údajů Úřadu pro ochranu osobních údajů. Záznamy o činnostech zpracování mají zaměstnavatelé povinně vést a na žádost ÚOOÚ je zpřístupnit. Není tedy nutné zpracování hlásit, vést záznamy však ano.

Kdo povinnost vést záznamy o činnostech nemá?

GDPR uděluje několik výjimek z povinnosti vést tyto záznamy. Dle něj tuto povinnost nemá:

a) podnik nebo organizace zaměstnávající méně než 250 zaměstnanců, ledaže

b) zpracování představuje riziko pro práva a svobody subjektů údajů,

c) zpracování není příležitostné nebo

d) zahrnuje zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.

Pozor ale – povinnost vést záznamy o činnostech zpracování se na vás, jste-li správcem, vztahuje, splňujete-li alespoň jednu z těchto podmínek. Právníci tak upozorňují na to, že zaměstnavatel, který záznamy nevede, do určité míry riskuje.

Jaké záznamy je nutno vést?

Mezi záznamy, které má každý zaměstnavatel povinnost vést, patří:

  • kamerový systém, instalovaný z důvodu ochrany majetku zaměstnavatele a zaměstnanců a bezpečnosti pracovníků,
     
  • zvláštní kategorie osobních údajů, jako jsou údaje o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, údaje o zdravotním stavu, sexuální orientaci fyzické osoby či genetické a biometrické údaje,
     
  • záznamy o činnostech při zpracování údajů o zdravotním stavu, tedy např. o vstupních lékařských prohlídkách apod.

Jak správně záznamy vést?

Připravit samotný dokument pak není nic, z čeho by bylo nutno mít strach. Nařízení přímo specifikuje, jaké údaje v něm musejí být:

  • jméno a kontaktní údaje správce (případně také jméno a kontaktní údaje pověřence, pokud byl jmenován),
  • účel zpracování, 
  • popis kategorií subjektů a kategorii osobních údajů
  • kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, 
  • rozsah zpracovávaných osobních údajů,
  • informace o příjemcích daných osobních údajů, o předávání údajů do třetích zemí, lhůtách pro výmaz jednotlivých kategorií údajů a popis přijatých technických a organizačních opatření k zajištění bezpečnosti údajů.

 

Nejste si po přečtení výše uvedených řádků jistí, zda se na vás povinnost vést záznamy o činnostech zpracování osobních údajů také vztahuje? Nebo zda vám pak v samotném dokumentu něco nechybí? Neváhejte se na nás obrátit s prosbou o radu.

GDPR je obecné nařízení o ochraně osobních údajů (z angličtiny General Data Protection Regulation). Patří k novým revolučním legislativám EU, která výrazně zvýší ochranu osobních dat. Výrazně ovlivní nakládání s osobními daty vašich zaměstnanců i klientů.

Ochrana osobních údajů, s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Nařízení přináší revoluci v ochraně osobních údajů. GDPR se týká všech firem, institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů.

Dát evropským občanům šanci mít větší kontrolu nad tím, co se s jejich daty děje. GDPR zavádí enormní pokuty za porušování nových, přísnějších pravidel v ochraně osobních údajů.

EU nařizuje větším zpracovatelům dat zřídit nezávislou kontrolní funkci DPO (Data Protection Officer), tzv. pověřence pro ochranu osobních údajů. Jeho úkolem bude dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona.