Záznamy o činnostech zpracování

Obecné informace o tom, co by minimálně měly obsahovat záznamy o zpracování osobních údajů

Které činnosti ve Vaší organizaci vykonáváte, vychází z velké míry ze zpracované analýzy činností (agend). Záznamy obsahují veškeré běžné činnosti s osobními údaji zaměstnanců, uchazečů o zaměstnání a dále záznamy o klientech, smluvní partnery včetně obchodních partnerů a dodavatelů, záznamy k zajištění bezpečnosti přístupu do budovy jako jsou čipy nebo kamerové systémy...

Dle článku 30 GDPR má většina správců a zpracovatelů povinnost vést Záznamy o činnostech zpracování osobních údajů, za které odpovídají. Záznamy o činnostech jsou evidencí toho, jakým způsobem osobní údaje zpracováváte, kde je ukládáte či komu je předáváte.

Tyto Záznamy vytvoříte na začátku procesu zpracování a případné aktualizace budete provádět pouze, když dojde ke změně v procesu zpracování osobních údajů nebo začnete nějakou novou činnost zpracování. Záznamy musí být vyhotoveny písemně. Za písemnou formu se považuje i forma elektronická (např. tabulka v Excelu, Word, databáze nebo PDF dokument).

Úřad pro ochranu osobních údajů je oprávněn vyžádat si tyto Záznamy o činnostech a organizace jsou povinny mu je poskytnout. Rozsah podrobností, které jsou v záznamech uváděny, záleží zejména na okolnostech konkrétního zpracování.

Dokumentace však vždy musí obsahovat dostatečné podrobnosti, aby správce doložil soulad s GDPR a dozorový orgán byl schopen soulad zpracování porovnat s vytvořenými Záznamy. Každý správce i zpracovatel osobních údajů je tak povinen poskytnout Úřadu pro ochranu osobních údajů součinnost, např. i umožnit přístup k osobním údajům nebo do prostor, v nichž správce nebo zpracovatel působí, včetně přístupu k veškerému zařízení a prostředkům určených ke zpracování údajů.

Záznamy o činnostech zpracování

Pokud jste v roli správce osobních údajů:

• jméno a kontaktní údaje správce, včetně dalších nebo společných
• správců;
• jméno a kontaktní údaje na Pověřence pro ochranu osobních údajů –DPO (pokud nebyl DPO jmenován, je vhodné poskytnout údaje na osobu,
• která je zodpovědná za zpracovávání osobních údajů);
• účely zpracování (například e-mailová adresa klienta je zpracována za účelem zasílání marketingových sdělení);
• popis kategorií subjektů údajů (dodavatelé, klienti, zaměstnanci, uchazeči o zaměstnání a další);
• popis kategorií zpracovávaných osobních údajů;
• popis kategorií příjemců, kterým budou osobní údaje předány nebo zpřístupněny (například ostatní členové skupiny podniků, externí účetní, společnosti vymáhající dlužné pohledávky a jiné);
• informace o případném předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, včetně identifikace těchto třetích zemí nebo mezinárodních organizací;
• pokud k předávání osobních údajů do třetích zemí nebo mezinárodních organizací dojde, je nutné uvést vhodné záruky, na základě kterých budou osobní údaje předávány;
• plánované lhůty pro výmaz jednotlivých kategorií osobních údajů (pouze pokud je to možné);
• popis organizačních a technických bezpečnostních opatření (pokud je to možné).

Pokud jste v roli zpracovatele osobních údajů:

• jméno a kontaktní údaje zpracovatele či zpracovatelů, včetně správce či
• správců, pro kterého se zpracování provádí;
• jméno a kontaktní údaje na Pověřence pro ochranu osobních údajů –
• DPO (pokud nebyl DPO jmenován, je vhodné poskytnout údaje na osobu,
• která je zodpovědná za zpracovávání osobních údajů);
• kategorie zpracování osobních údajů prováděného pro každého ze správců;
• informace o případném předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, včetně identifikace těchto třetích zemí nebo mezinárodních organizací;
• pokud k předávání osobních údajů do třetích zemí nebo mezinárodních organizací dojde, je nutné uvést vhodné záruky, na základě kterých budou osobní údaje předávány;
• popis organizačních a technických bezpečnostních opatření (pokud je to možné).

GDPR určuje, jaké povinné náležitosti musí Záznamy o zpracování obsahovat. Níže vidíte detailnější přehled informací

1. Kontaktní údaje správce - tedy minimálně název organizace a kontaktní údaje na odpovědnou osobu, příp. kontaktní informace na odpovědnou osobu nebo na Pověřence pro ochranu osobních údajů (DPO), pokud ho organizace má.
2. Účely zpracování - musí být zřejmé, za jakým účelem jsou osobní údaje při jednotlivé konkrétní činnosti zpracovávány. Například pokud organizace zpracovává e-mailové adresy klientů, komunikuje s klienty nebo uchovává informace o svých zaměstnancích, měla by uvést, jaké účely při těchto činnostech pokrývají.
3. Kategorie subjektů údajů a kategorie osobních údajů - Je třeba uvést informace o tom, ke které skupině subjektů tyto osobní údaje patří (například zaměstnancům či klientům). V případě, že se jedná o více skupin tzv. kategorií subjektů údajů (např. klientů a zaměstnanců v případě kamerového systému), je třeba všechny tyto skupiny uvést. Také musí být uvedeno, jaké kategorie osobních údajů se zpracovávají. Uvést, že se při této činnosti využívají např. kontaktní údaje, adresní údaje, ekonomické údaje, údaje o minulých aktivitách klienta atd. K těmto skupinám uveďte i plánované lhůty pro výmaz.
4. Kategorie zpracovatelů a příjemců, kterým jsou data v rámci jednotlivých činností předávána - Popsat skupiny zpracovatelů a příjemců osobních údajů (např. poskytovatelé IT řešení, vzdálené úložiště pro ukládání dokumentů atd.). Je třeba vyjmenovat veškeré třetí strany, kterým osobní údaje subjektů předáváte.
5. Specifikace předávání osobních údajů do zahraničí - v záznamech musí být uvedeny informace o tom, zda se údaje předávají do zahraničí, včetně specifikace konkrétní třetí země.
6. Místa uložení dat - popište všechna místa, kde jsou data uložena (např. firemní úložiště dat, trezor statutárního zástupce, místnosti, skříně, pořadače, CRM systém apod.), v listinné i elektronické podobě.
7. Seznam technických a organizačních opatření - uveďte druhy technických a organizačních opatření, která byla přijata pro zabezpečení zpracování osobních údajů.
   
   Záznamy je nutné udržovat aktuální, provádějte pravidelné kontroly a aktualizace těchto záznamů. Tyto záznamy je možné také použít pro výkon práv subjektů, především u práva subjektu na přístup k informacím.