Kdy musíte vést záznamy o činnostech zpracování?

Kdy musíte vést záznamy o činnostech zpracování?

Každý správce nebo zpracovatel povede záznamy o činnostech zpracování, za něž odpovídá. Záznam slouží k identifikaci o prováděném zpracování osobních údajů. Každý správce a zpracovatel by měl být povinen spolupracovat s dozorovým úřadem a na jeho žádost mu záznamy zpřístupnit, aby na jejich základě mohly být operace zpracování monitorovány. Tyto záznamy představují náhradu za oznamovací povinnost, která byla GDPR zrušena.

Záznamy by měly obsahovat:

  • název a kontaktní údaje správce/právnické osoby;
  • důvod zpracování údajů;
  • popis kategorií subjektů údajů a osobních údajů;
  • kategorie organizací, které údaje obdrží;
  • přenos údajů do jiné země či organizace;
  • lhůtu pro odstranění údajů;
  • popis bezpečnostních opatření uplatňovaných při zpracovávání.

Pokud by správce nemohl vést záznam o činnostech zpracování sám, může je přenést na zpracovatele.

GDPR umožňuje výjimky z povinnosti vést záznamy o činnostech zpracování pro firmy s méně než 250 zaměstnanci, ale i přesto malá firma může zpracovávat velké množství osobních dat a provádět vysoce rizikové zpracování, kde hrozí únik či možné zneužití dat. Tedy výjimka se bude týkat pouze malých firem a to pouze v takovém případě, kde bude docházet ke zpracování osobních údajů takovým způsobem, které není možné považovat za riziková a nebudou závažným způsobem zasahovat do práv a svobod fyzických osob.

Lucie Plachá, právní expertka