Hlavní navigace

GDPR last minute: Kdo musí vést záznamy o zpracování osobních údajů a jak mají vypadat?

David Slížek

Ještě nejste připraveni na obecné nařízení o ochraně osobních údajů (GDPR), které vstoupí v účinnost 25. května? Nabízíme odpovědi na některé praktické otázky.

Doba čtení: 2 minuty

Každý den v květnu nabízíme odpověď na jednu praktickou otázku týkající se dopadu GDPR na online podnikání

Obecné nařízení o ochraně osobních údajů (GDPR) vstupuje v účinnost už v pátek. V našem last minute seriálu se dnes budeme zabývat papírováním, které je se zpracováním osobních údajů spojeno. Odpovídá právník Filip Horák z advokátní kanceláře KPMG Legal:

TIP: Pokud hledáte odpovědi na skutečně specifické dotazy, můžete je také položit odborníkům v GDPR poradně na sesterském serveru Podnikatel.cz.

Kdo musí vést záznamy o zpracování osobních údajů, co to je, k čemu slouží a jak mají vypadat?

Záznamy musí vést každý správce a zpracovatel a musí obsahovat jméno a kontaktní údaje správce, účely zpracování, popis kategorií subjektů údajů a kategorií osobních údajů, kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, informace o případném předání osobních údajů do třetí země, je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů a opět je-li to možné, obecný popis technických a organizačních bezpečnostních opatření.

Jedná se v podstatě o základní dokument, který např. v případě kontroly Úřadu pro ochranu osobních údajů (ÚOOÚ) slouží k získání přehledu, jaké operace zpracování správce či zpracovatel provádí. Záznamy v podstatě nahrazují současnou povinnost oznamovat před zahájením většiny zpracování tuto skutečnost ÚOOÚ.

V praxi se jedná o více či méně obsáhlou tabulku, která obsahuje seznam prováděných operací zpracování v požadované struktuře (účel, příjemci atd.). Povinnost vést záznamy nedopadá na podniky nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů. Tato výjimka však bude v praxi téměř neaplikovatelná, protože podle neformálního názoru ÚOOÚ v podstatě jakékoliv zpracování představuje určité riziko.

Podle GDPR musí firma osobní údaje patřičně zabezpečit. Co to konkrétně znamená a jaký způsob ochrany je dostačující? Musí si pořídit trezor na písemnosti? A co data, která má na serverech?

GDPR ukládá správcům zavést vhodná technická a organizační opatření. Konkrétně zmiňuje pseudonymizaci či šifrování údajů. Principem je tzv. přístup založený na riziku, tj. správce musí zavést opatření přiměřená pro jím prováděné zpracování. Zcela jiná úroveň ochrany se tedy vyžaduje pro výrobní společnost a pro nemocnici. Jednotná odpověď tedy bohužel neexistuje.

Data uložená na serverech budou v praxi vyžadovat především uzavření smlouvy o zpracování, protože pokud se jedná o externí servery (či pouze externě spravované a udržované), budou poskytovatelé těchto IT služeb zpravidla zpracovateli těchto osobních údajů. Ve smlouvě by pak mělo být stanoveno právě i to, jak bude zpracovatel data zabezpečovat.

Další otázky a odpovědi ke GDPR:

Našli jste v článku chybu?