Vzorové dokumenty, smlouvy a formuláře ke stažení

Vzory smluv a podání - aktuální a prověřené

Záznamy o činnostech zpracování podle GDPR

Mgr. Radana Burešová

Hlavním dozorovým orgánem v oblasti ochrany osobních údajů je ÚOOÚ, jehož působnost je upravena v zákoně. Správci dosud s ÚOOÚ dosud nejčastěji přicházeli do styku v souvislosti s oznamovací povinností podle § 16 ZOOÚ (tzv. registrace u ÚOOÚ). Tato povinnost nebyla do GDPR převzata, nicméně ji do určité míry nahrazuje povinnost vést záznamy o činnostech zpracování, které bude nutno na výzvu předložit ÚOOÚ.

Článek 30 GDPR ukládá všem správcům a zpracovatelům povinnost vést v písemné nebo elektronické formě záznamy o činnostech zpracování, které obsahují informace uvedené v čl. 30 odst. 1 GDPR. Podle čl. 30 odst. 5 GDPR se tato povinnost nevztahuje na všechny správce. Účelem této výjimky mělo být zjednodušení pro malé a střední podniky, nicméně její formulace je poněkud nejasná a v současné době je vykládána v tomto smyslu:

Fyzické a právnické osoby vykonávající hospodářskou činnost bez ohledu na svou právní formu (tj. i spolky, pokud vykonávají takovou činnost), které

  • mají méně než 250 zaměstnanců, a neprovádějí
  • zpracování, které pravděpodobně představuje riziko pro práva a svobody údajů a
  • zpracování, které není příležitostné, nebo
  • zpracování, které zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 GDPR (nyní tzv. citlivé údaje, viz výše) nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů dle článku 10 GDPR,

nemusí vést záznamy o činnostech zpracování. Vzhledem k tomu, že prakticky každý podnikatel provádí zpracování osobních údajů, které není příležitostné (mzdová a účetní agenda), vztahuje se výše uvedená povinnost v praxi na všechny osoby vykonávající hospodářskou činnost.

Záznamy musejí obsahovat níže uvedené informace (čl. 30 odst. 1 GDPR):

  1.  jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů, pokud byl jmenován;
  2. účely zpracování- např. plnění právních povinností vyplývajících z předpisů ozdravotním pojištění a sociálním zabezpečení;
  3. popis kategorií subjektů údajů a kategorií osobních údajů – např. zaměstnanci, zpracovávané osobní údaje: jméno, příjmení, adresa + další údaje zpracovávané např. v souvislosti s důchodovým nebo nemocenským pojištěním (nutno uvést všechny konkrétní kategorie údajů);
  4. kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích – v praxi zejména externí daňoví, účetní a právní poradci, web hosting, pokud je to možné, je vhodné uvést příjemce konkrétně;
  5. informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce GDPR doložení vhodných záruk;
  6. je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů – je nutno zohlednit povinnosti stanovené právními předpisy, podle kterých je třeba určité doklady uchovávat po stanovenou dobu (např. účetní a daňové doklady), u smluv např. promlčecí lhůty, ve kterých je možno uplatňovat u soudu pohledávky a dobu případného soudního sporu a následného vymáhání dluhu (řádově roky);
  7. je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1 GDPR.

K tomuto tématu najdete na našem portále tyto praktické vzory: