ManagementMania AppMania EduMania JobMania BusinessPages


  Citovat
Co jsou dle GDPR Záznamy o činnostech zpracování (Records of processing activities)
Záznamy o činnostech zpracování osobních informací podle GDPR jsou informace o tom, jaké činnosti zpracování osobních údajů organizace vykonává, jaké osobní informace vede, proč je vede, kde a jak je uchovává a kdo k nim může.

Záznamy o činnostech zpracování osobních údajů (anglicky Records of processing activities) jsou podle nařízení GDPR informace o tom, jaké činnosti zpracování osobních údajů organizace vykonává a jaké osobní údaje v nich zpracovává, proč je vede, kde a jak je uchovává a kdo k nim může. Činnosti zpracování osobních údajů jsou jinými slovy činnosti, procesy, skupiny procesů nebo nějaké agendy, ve kterých organizace zpracovává osobní údaje. Může to být například mzdová agenda, ve které organizace vede informace o svých zaměstnancích. O každém takovém procesu (agendě, činnosti zpracování osobních údajů) by měla organizace vést základní informace a umět odpovědět na základní otázky, zejména:

  • O jakých osobních informacích vedu záznamy? - Jaké osobní informace v konkrétním procesu vedu a jak dlouho mohu tyto informace uchovávat?
  • Proč osobní údaje vedu? - Za jakým účelem zpracovávám osobní údaje? Toto je naprosto zásadní otázka pro oprávněnost a správné vedení osobních informací.
  • Kde jsou údaje uchovávány, kde zpracovávány a jakým způsobem? - V jakém systému (software, hardware, papírová forma) jsou informace vedeny a jsou zde vedeny bezpečně?
  • Kdo k osobním informacím může a proč? - Kteří zaměstnanci, zpracovatelé nebo další strany mají k osobním informacím přístup?

Co musí obsahovat záznamy o činnostech zpracování osobních údajů?

GDPR vymezuje (Článek 30), jaké konkrétní údaje musí být součástí dokumentace o zpracování osobních údajů:

  • jméno a kontaktní údaje správce a případného společného správce, kontaktní údaje a jméno odpovědné osoby a případného pověřence (DPO)
  • název činnosti zpracování osobních údajů (například „mzdová agenda - informace o zaměstnancích“)
  • účel zpracování osobních údajů v rámci dané činnosti (agendy)
  • rozsah zpracovávaných osobních údajů (jednotlivé údaje nebo kategorie údajů)
  • informace o zpracovateli nebo příjemcích, případně kategoriích příjemců, kterým jsou osobní údaje zpřístupněny
  • informace o předávání údajů do třetích zemí (a příjemcích v těchto třetích zemích)
  • informace o lhůtách pro výmaz (je-li to možné)
  • informace o přijatých opatřeních

Firmy v roli správců osobních údajů by měly mít na tyto otázky odpovědi, i když nejsou povinováni záznamy podle nařízení GDPR vést. Usnadní jim to totiž poskytování odpovědí na dotazy lidí a pomůže při případné kontrole dozorového orgánu, jelikož záznamy o činnostech zpracování údajů jsou klíčovým důkazem odpovědnosti organizace při zpracování osobních údajů a je to jeden ze vstupů při kontrole dozorového úřadu.

Jaké jsou příklady záznamů o činnostech zpracování osobních údajů?

  • mzdová agenda
  • osobní údaje zákazníků pro obchodní účely
  • osobní údaje zákazníků pro marketingové účely (newsletter)

Kdo musí vést záznamy o činnostech zpracování osobních údajů?

Záznamy o činnostech zpracování osobních údajů musí vést organizace, které zaměstnávají více než 250 osob, nebo organizace, které provádí takové zpracování osobních údajů, které pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.

Přestože vedení záznamů o činnostech zpracování není povinné pro všechny správce osobních údajů, je vhodné je vést, protože mohou prakticky pomoci. Obsahují totiž informace nezbytné pro představu o tom, jaké osobní údaje organizace uchovává a nejen to. Dále tvoří nezbytné podklady pro naplňování práv lidí (subjektů údajů), tzn. poskytování odpovědí a vyřizování žádostí, a argumentační základnu pro potřeby případné kontroly dozorového úřadu.

Související pojmy a metody:

Související standardy:

Související oblasti řízení:

Související software:

předchozí další
Pomohl Vám tento článek?
Hodnocení:
Poslední aktualizace: 09.04.2018

Komentáře



Do diskuze nelze přispívat, protože je uzamčená


Lidé, kteří to umí