Záznamy o činnostech zpracování

Správci i zpracovatelé jsou ve většině případů povinni vést Záznamy o činnostech zpracování. V této a několika následujících kapitolách Vám ukážeme, jak konkrétně tyto Záznamy vypadají a jak je vyplníte.

Které činnosti ve Vaší organizaci vykonáváte, vychází z velké míry z tabulek analýz a účelů, které jste si vytvořili v  minulých kapitolách. Společně se podíváme na to, co musí Záznamy obsahovat a jak mají vypadat. Na konci kapitoly najdete vzorové Záznamy, které svým rozsahem odpovídají běžné organizaci a z větší části, by pro Vás měli být dostatečné. Záznamy obsahují veškeré běžné činnosti s osobními údaji zaměstnanců, uchazečů o zaměstnání a dále záznamy pro zákazníky, smluvní partnery včetně externích obchodních zástupců a nakonec i záznamy k zajištění bezpečnosti přístupu do budovy jako jsou čipy nebo kamerové systémy. Všechny tyto záznamy jsou předvyplněné a Vám stačí je projít a doplnit jména Vašich zpracovatelů, názvy IT systémů a přijatá technická opatření. V příloze níže naleznete ukázku jednoho ze záznamů. Plná verze obsahuje desítky záznamů strukturovaných dle skupiny subjektů údajů a úšetří Vám tak desítky hodin práce s jejich přípravou.

Dle článku 30 GDPR má většina správců a zpracovatelů povinnost vést Záznamy o činnostech zpracování osobních údajů, za které odpovídají. Záznamy o činnostech jsou evidencí toho, jakým způsobem osobní údaje zpracováváte, kde je ukládáte či komu je předáváte.

Tyto Záznamy vytvoříte teď na začátku a případné aktualizace budete provádět pouze, když dojde ke změně procesu zpracování osobních údajů nebo začnete nějakou novou činnost zpracování.

Většina organizací rovněž tyto tzv. citlivé údaje zpracovává (např. u zaměstnanců) a výrazně tedy doporučujeme, i v případě pochybností, tyto Záznamy pro jednotlivé činnosti zpracování vytvářet.

Záznamy musí být vyhotoveny písemně. Za písemnou formu se považuje i forma elektronická (např. tabulka v Excelu nebo PDF dokument).

Úřad pro ochranu osobních údajů je oprávněn vyžádat si tyto Záznamy o činnostech a organizace jsou povinny mu je poskytnout. Rozsah podrobností, které jsou v záznamech uváděny, záleží zejména na okolnostech konkrétního zpracování.

Dokumentace však vždy musí obsahovat dostatečné podrobnosti, aby správce doložil soulad s GDPR a dozorový orgán byl schopen soulad zpracování porovnat s vytvořenými Záznamy. Každý správce i zpracovatel osobních údajů je tak povinen poskytnout Úřadu pro ochranu osobních údajů součinnost, např. i umožnit přístup k osobním údajům nebo do prostor, v nichž správce nebo zpracovatel působí, včetně přístupu k veškerému zařízení a prostředkům určených ke zpracování údajů.