Záznamy o spracovateľských činnostiach z pohľadu ochrany osobných údajov

GDPR vám nariaďuje viesť záznamy ako prevádzkovateľovi, aj ako sprostredkovateľovi. Tieto záznamy vediete zvlášť ako prevádzkovateľ a zvlášť ako sprostredkovateľ.

Na vedenie záznamov o sprostredkovateľských činnostiach slúži dokument obsahujúci všetky údaje, ktoré uvádzame v nasledujúcich odsekoch. Záznamy sa vedú v listinnej alebo elektronickej podobe a prevádzkovateľ, sprostredkovateľ, prípadne zástupca, je povinný na požiadanie sprístupniť záznam o spracovateľských činnostiach úradu. Samozrejme, tento dokument je potrebné pravidelne aktualizovať. Vzor záznamu o spracovateľských činnostiach zverejní úrad na svojom webovom sídle Vzor Záznamov o spracovateľských činnostiach.

Záznamy o sprostredkovateľských činnostiach musia obsahovať identifikačné a kontaktné údaje prevádzkovateľa, prípadne jeho zástupcu alebo zodpovednej osoby, účel spracúvania osobných údajov, opisy kategórií dotknutých osôb, osobných údajov a v neposlednom rade aj kategórie príjemcov a všeobecný opis technických a organizačných bezpečnostných opatrení. Ak prenášate údaje do tretej krajiny alebo medzinárodnej organizácie, je potrebné túto krajinu alebo organizáciu označiť. V prípade, že ako prevádzkovateľ zamýšľate prenos podľa § 51 ods. 1 a 2, priložiť je potrebné dokumentáciu o primeraných zárukách.  Do záznamov o sprostredkovateľských činnostiach je potrebné uviesť aj predpokladané lehoty na vymazanie jednotlivých kategórií osobných údajov.

Ak je prevádzkovateľ zastupovaný, sprostredkovateľ alebo zástupca sprostredkovateľa je povinný viesť záznam o kategóriách spracovateľských činností, ktorý musí obsahovať identifikačné a kontaktné údaje sprostredkovateľa plus prevádzkovateľa, kategórie spracúvania osobných údajov vykonávaného v mene každého prevádzkovateľa, všeobecný opis technických a organizačných bezpečnostných opatrení a označenie každej tretej krajiny alebo medzinárodnej organizácie, kam prevádzkovateľ plánuje údaje prenášať. Za predpokladu, že zamýšľate prenos podľa § 51 ods. 1 a 2, priložiť je potrebné dokumentáciu o primeraných zárukách.

Od vyššie uvedených povinností sú oslobodení zamestnávatelia s menej ako 250 zamestnancami. Musí však byť splnená podmienka, že spracúvanie osobných údajov, ktoré takýto zamestnávateľ vykonáva, nevedie k riziku ochrany práv dotknutej osoby, spracúvanie osobných údajov je príležitostné alebo nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17.

V ďalšom článku sa budeme venovať kroku 8 – Poučte neoprávnené osoby o povinnosti zachovávať mlčanlivosť. Aké sú základné kroky nájdete v článku gdpr-v-praxi-kde-zacat.

Ochrana osobných údajov