Záznam o činnostech zpracování (GDPR)

K čemu slouží formulář Záznam o činnostech zpracování (GDPR)

Formulář Záznam o činnostech zpracování osobních údajů je povinným dokumentem podle článku 30 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR). Týká se všech správců a zpracovatelů osobních údajů, kteří systematicky zpracovávají osobní údaje a zaměstnávají více než 250 osob, nebo jejich zpracování není pouze příležitostné. Cílem je doložit odpovědný přístup k ochraně osobních údajů a schopnost prokázat plnění zásad zpracování podle GDPR.

Formulář je určen pro všechny správce a zpracovatele osobních údajů, pověřence pro ochranu osobních údajů (DPO), auditory a compliance specialisty, kteří potřebují systematicky dokumentovat všechny činnosti zpracování osobních údajů v organizaci. Díky strukturované formě máte přehled o všech zpracovatelských operacích na jednom místě.

Formulář je důležitý, protože článek 30 GDPR ukládá povinnost vést záznamy o činnostech zpracování. Při kontrole ze strany Úřadu pro ochranu osobních údajů (ÚOOÚ) musí být tento dokument k dispozici. Nevedení nebo nedostatečné vedení záznamů může vést k pokutám až do výše 10 milionů eur nebo 2 % z celkového ročního obratu organizace. Záznamy jsou klíčové pro prokázání accountability (odpovědnosti) správce za dodržování GDPR.

Nejdůležitější informace týkající se vzoru Záznam o činnostech zpracování

• Účel formuláře – systematická dokumentace všech činností zpracování osobních údajů v organizaci
• Právní základ – Nařízení EU 2016/679 (GDPR) – článek 30 (záznamy o činnostech zpracování)
• Kdo ho vyplňuje – správce osobních údajů, zpracovatel, pověřenec pro ochranu osobních údajů (DPO)
• Povinnost vést záznamy – organizace s více než 250 zaměstnanci NEBO organizace s nesystematickým zpracováním zahrnujícím rizika pro subjekty údajů
• Výjimka z povinnosti – organizace s méně než 250 zaměstnanci, pokud zpracování je pouze příležitostné, nezahrnuje citlivé údaje a nepředstavuje riziko
• Forma – písemná nebo elektronická, musí být dostupná na vyžádání ÚOOÚ
• Aktualizace – průběžně při každé změně zpracovatelských činností
• Není podací formulář – slouží pro interní dokumentaci, předkládá se pouze na vyžádání ÚOOÚ
• Sankce – pokuty až do výše 10 milionů eur nebo 2 % z ročního obratu

Na co si dát pozor při vyplňování vzoru Záznam o činnostech zpracování

Identifikace správce nebo zpracovatele

• Název organizace – úplný název správce nebo zpracovatele osobních údajů
• IČO – identifikační číslo organizace
• Sídlo – úplná adresa sídla
• Kontaktní údaje – telefon, e-mail správce
• Pověřenec pro ochranu osobních údajů (DPO) – pokud je jmenován, uvést jeho jméno a kontaktní údaje
• Zástupce správce – pokud má správce sídlo mimo EU, uvést zástupce v EU

Účel zpracování osobních údajů

Konkrétní a jasný účel – přesně popsat, k čemu jsou osobní údaje zpracovávány

Příklady účelů

• Správa zaměstnanecké agendy
• Správa zákaznických vztahů (CRM)
• Marketing a zasílání obchodních sdělení
• Účetnictví a daňová evidence
• Zajištění bezpečnosti objektů (kamerový systém)
• Poskytování služeb zákazníkům
• Jeden záznam pro jeden účel – každý účel zpracování by měl mít vlastní záznam

Kategorie subjektů údajů

Kdo jsou subjekty – jasně definovat, o jaké osoby se jedná

Příklady kategorií

• Zaměstnanci a uchazeči o zaměstnání
• Zákazníci a potenciální zákazníci
• Dodavatelé a obchodní partneři
• Návštěvníci webu
• Účastníci akcí a školení
• Návštěvníky objektů (kamerový systém)

Kategorie osobních údajů

Typy zpracovávaných údajů – konkrétní výčet osobních údajů

• Základní identifikační údaje – jméno, příjmení, datum narození, rodné číslo
• Kontaktní údaje – adresa, e-mail, telefon
• Další údaje – bankovní spojení, vzdělání, pracovní zařazení
• Zvláštní kategorie údajů (citlivé údaje) – zdravotní stav, biometrické údaje, etnický původ, náboženské přesvědčení (vyžadují zvýšenou ochranu)

Právní základ zpracování

Článek 6 odst. 1 GDPR – uvést konkrétní právní důvod zpracování:

• (a) Souhlas – subjekt údajů udělil souhlas
• (b) Plnění smlouvy – zpracování je nezbytné pro plnění smlouvy
• (c) Právní povinnost – zpracování vyžaduje zákon
• (d) Životně důležitý zájem – ochrana života nebo zdraví
• (e) Veřejný zájem – výkon veřejné moci
• (f) Oprávněný zájem – oprávněný zájem správce nebo třetí strany
• Zvláštní kategorie údajů (čl. 9 GDPR) – pokud se zpracovávají citlivé údaje, uvést příslušnou výjimku

Povinnost vést záznamy – kdo musí

• Organizace s více než 250 zaměstnanci – povinnost vždy
• Organizace s méně než 250 zaměstnanci – povinnost, pokud:
  • Zpracování není pouze příležitostné
  • Zpracování zahrnuje citlivé údaje (zvláštní kategorie podle čl. 9 GDPR)
  • Zpracování představuje riziko pro práva a svobody subjektů údajů
• Prakticky všechny organizace – výjimka je vzácná, téměř každá organizace musí vést záznamy

Rozdíl mezi záznamem správce a zpracovatele

• Záznam správce (čl. 30 odst. 1 GDPR) – obsahuje účel zpracování, kategorie subjektů a údajů, příjemce, lhůty výmazu, bezpečnostní opatření
• Záznam zpracovatele (čl. 30 odst. 2 GDPR) – obsahuje jméno správce, pro kterého zpracovává, kategorie zpracování, předání do třetích zemí, bezpečnostní opatření
• Zpracovatel vede záznamy za správce – zpracovatel musí vést vlastní záznamy o zpracování pro každého správce

Způsoby vedení záznamů

• Tabulkový editor – Excel, Google Sheets pro menší organizace
• Textový procesor – Word, Google Docs s šablonou záznamu
• Databáze nebo CRM systémy – pro větší organizace s mnoha zpracovatelskými činnostmi
• Specializované GDPR nástroje – software pro správu compliance s GDPR
• Papírová forma – možná, ale méně praktická pro aktualizace
• Náš tip – nejpohodlnější způsob podání přes FORM studio. Stačí vybrat způsob odeslání a FORM studio se postará o zbytek. Uloží, vytiskne, odešle PDF e-mailem, nebo elektronicky správné instituci, pokud to umožňuje. To ale není všechno – objevte další výhody FORM studia.

Časté chyby při vyplňování

• Vágní účel zpracování – neurčitý nebo příliš široký účel (např. „pro potřeby společnosti")
• Chybějící kategorie subjektů nebo údajů – neúplný výčet zpracovávaných údajů
• Neuvedení právního základu – chybí odkaz na článek 6 GDPR
• Chybějící lhůty pro výmaz – neuvedení doby uchovávání údajů
• Nedostatečný popis bezpečnostních opatření – příliš obecný nebo chybějící popis
• Neaktuální záznamy – zastaralé informace, které neodpovídají skutečnosti
• Jeden záznam pro všechny činnosti – místo samostatných záznamů pro každý účel
• Chybějící datum aktualizace – nelze ověřit, kdy byl záznam naposledy revidován
• Chybějící podpis odpovědné osoby – záznam není schválen
• S FORM studiem se chyb bát nemusíte – předvyplní často používané údaje, přesně spočítá a zaokrouhlí potřebné hodnoty a upozorní na neplatný údaj. Pokyny máte vždy po ruce, takže snadno zjistíte, jak údaj správně vyplnit. Podívejte se na další chytré funkce FORM studia.

Shrnutí

• Kdo: Správce osobních údajů, zpracovatel, pověřenec pro ochranu osobních údajů (DPO)
• Kdy: Průběžně, aktualizace při každé změně, revize minimálně 1× ročně
• Komu: Interní dokumentace, předkládá se ÚOOÚ na vyžádání (do 1 měsíce)