Povinnost vést Záznamy

GDPR zavádí nejen nová pravidla a postupy, jak s osobními údaji zacházet, ale také parametry a formy, jak mají vypadat povinně vypracované dokumenty. Jedním z těchto dokumentů jsou Záznamy o činnostech zpracování.

GDPR určuje, jaké povinné náležitosti musí Záznamy o zpracování obsahovat. Níže vidíte přehled informací, které Vám v následujících kapitolách pomůžeme vyplnit.

 

  1. Kontaktní údaje správce - Tedy minimálně název organizace a kontaktní údaje na odpovědnou osobu, příp. kontaktní informace na odpovědnou osobu nebo na Pověřence pro ochranu osobních údajů (DPO), pokud ho organizace má.
  2. Účely zpracování - Musí být zřejmé, za jakým účelem jsou osobní údaje při jednotlivé konkrétní činnosti zpracovávány. Například pokud organizace zpracovává e-mailové adresy potenciálních zákazníků, komunikuje se zákazníky nebo uchovává informace o svých zaměstnancích, měla by uvést, jaké účely při těchto činnostech pokrývají.
  3. Kategorie subjektů údajů a kategorie osobních údajů - Je třeba uvést informace o tom, ke které skupině subjektů tyto osobní údaje patří (například zaměstnancům či zákazníkům). V případě, že se jedná o více skupin tzv. kategorií subjektů údajů (např. zákazníků a zaměstnanců v případě kamerového systému), je třeba všechny tyto skupiny uvést. Také musí být uvedeno, jaké kategorie osobních údajů se zpracovávají. Uvést, že se při této činnosti využívají např. kontaktní údaje, adresní údaje, ekonomické údaje, údaje o minulých nákupech zákazníka atd. K těmto skupinám uveďte i plánované lhůty pro výmaz z tabulky z kapitoly 3.
  4. Kategorie zpracovatelů a příjemců, kterým jsou data v rámci jednotlivých činností předávána - Popsat skupiny zpracovatelů a příjemců osobních údajů (např. poskytovatelé IT řešení, vzdálené úložiště pro ukládání dokumentů atd.). Je třeba vyjmenovat veškeré třetí strany, kterým osobní údaje subjektů předáváte.
  5. Specifikace předávání osobních údajů do zahraničí - V Záznamech musí být uvedeny informace o tom, zda se údaje předávají do zahraničí, včetně specifikace konkrétní třetí země.
  6. Místa uložení dat - Sepište místa, kde jsou data uložena (např. firemní úložiště dat, trezor jednatele společnosti, CRM systém nebo emailový klient).
  7. Seznam technických a organizačních opatření - Uveďte druhy technických a organizačních opatření, která byla přijata pro zabezpečení zpracování osobních údajů.

Záznamy se musí udržovat aktuální, proto doporučujeme pravidelné kontroly a aktualizace těchto záznamů. Záznamy je možné také použít pro výkon práv subjektů, především u práva subjektu na přístup k informacím. Více se dozvíte v kapitole 13.1.