Záznamy o činnostech zpracování

Správci i zpracovatelé jsou ve většině případů povinni vést Záznamy o činnostech zpracování osobních údajů. V této a několika následujících kapitolách Vám ukážeme, jak konkrétně tyto Záznamy vypadají a jak je vyplníte.

Analýzy vytvořené dle předchozích kapitol z velké míry odpovídají činnostem, které ve Vašem hotelu vykonáváte. Společně se podíváme na to, co musí Záznamy o činnostech zpracování obsahovat a jak mají vypadat. Na konci kapitoly najdete vzorové Záznamy, které Vám pomohou při tvorbě Vašich vlastních.

Dle článku 30 GDPR má většina správců a zpracovatelů povinnost vést Záznamy o činnostech zpracování osobních údajů, za které odpovídají. Záznamy o činnostech jsou evidencí toho, jakým způsobem osobní údaje zpracováváte, kde je ukládáte či komu je předáváte.

Tyto Záznamy vytvoříte teď na začátku a případné aktualizace budete provádět pouze, když dojde ke změně procesu zpracování osobních údajů nebo začnete nějakou novou činnost zpracování.

Vést záznamy o činnostech zpracování musí:

  1. větší organizace (nad 250 zaměstnanců)
  2. organizace, které provádí zpracování zvláštní kategorií údajů, tedy citlivých údajů (např. údaje zdravotní, biometrické apod.).
  3. organizace, které provádí zpracování, které představuje riziko pro práva a svobody subjektů a zároveň není pouze příležitostné. S tím, že příležitostné zpracování v praxi téměř nikdy nenastane. Zpracování představuje riziko vždy, pokud únikem nebo zneužitím údajů může být způsobena nezanedbatelná újma dotčeným osobám, což bývá opravdu velmi časté. Mohou sem spadat např. objednávek zboží citlivější povahy či služeb internetových obchodů nebo obchodních firem obdobného rázu. Také zpracování např. finančních (příp. pojistných) osobních údajů klientů finančních poradců by mělo vyžadovat tvorbu těchto záznamů a mnohá další.  

Z výše uvedeného vyplývá, že záznamy o činnostech zpracování musí hotel vést téměř vždy. V případě, že si nejste jisti, zda potřebujete vést Záznamy o činnostech zpracování, doporučujeme využít 30 nebo 60 minutovou konzultaci.

Většina hotelů rovněž tyto tzv. citlivé údaje zpracovává (např. u hostů) a výrazně tedy doporučujeme, i v případě pochybností, tyto Záznamy pro jednotlivé činnosti zpracování vytvářet.

Záznamy musí být vyhotoveny písemně. Za písemnou formu se považuje i forma elektronická (např. tabulka v Excelu nebo PDF dokument).

Úřad pro ochranu osobních údajů je oprávněn vyžádat si tyto Záznamy o činnostech a hotely jsou povinny mu je poskytnout. Rozsah podrobností, které jsou v záznamech uváděny, záleží zejména na okolnostech konkrétního zpracování.

Dokumentace však vždy musí obsahovat dostatečné podrobnosti, aby správce doložil soulad s GDPR a dozorový orgán byl schopen soulad zpracování porovnat s vytvořenými Záznamy. Každý správce i zpracovatel osobních údajů je tak povinen poskytnout Úřadu pro ochranu osobních údajů součinnost, např. i umožnit přístup k osobním údajům nebo do prostor, v nichž správce nebo zpracovatel působí, včetně přístupu k veškerému zařízení a prostředkům určených ke zpracování údajů.