CQK - Consult

 

Nařízení EU č. 2016/679 (Obecné nařízení o ochraně osobních údajů – GDPR) vstoupí v účinnost již za méně než 11 měsíců (25. 5. 2018). Tato unijní legislativa přináší řadu nových povinností pro správce a zpracovatele, z nichž některé (mnohé?) bude nesnadné aplikovat. Poněvadž aplikačních návodů je prozatím nedostatek, může být pro české správce a zpracovatele užitečná inspirace v návodech jiných členských států. Belgická Komise pro ochranu soukromí (CPVP-Commission de la Protection de la Vie Privée), vydala 14. června 2017 doporučení (35 stránkový dokument), jak aplikovat v organizaci povinnost podle článku 30 GDPR – vedení interních záznamů o činnostech zpracování osobních údajů.

V tomto doporučení je řada podrobných návodů na vedení záznamů o aktivitách při zpracování osobních údajů. Tyto záznamy musí být připraveny ke dni účinnosti GDPR a musí být zpřístupněny dozorové instituci. Doporučení připomíná, že vedení interních záznamů se vztahuje na všechny správce a zpracovatele. Výjimku z této povinnosti mají malé a střední podniky, zaměstnávající méně než 250 zaměstnanců. Výjimku však nelze použít, pokud prováděné zpracování osobních údajů představuje riziko pro práva a svobody dotčených osob, pokud zpracování není občasné (příležitostné) nebo jsou zpracovávány zvláštní kategorie osobních údajů (citlivé údaje) nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činech.  Avšak i u takových správců doporučuje vedení interních záznamů u zpracování, která jsou prováděná v rámci pravidelných aktivit organizace.

Vedení interních záznamů o činnostech při zpracování osobních údajů, je jedním z důležitých prvků odpovědnosti správce a zpracovatele. Vedení záznamů nahrazuje dosavadní povinnost oznámení zpracování údajů dozorovému orgánu (CPVP). Přestože tato oznamovací (registrační) povinnost byla považována za neefektivní a zatěžující, doporučuje belgická Komise (CPVP), aby správci využili některých zkušeností z této registrace (např. rozšířili záznamy o činnostech o další informace, které byly součástí registrace). Této možnosti však mohou využít pouze správci, protože povinnost registrace se nevztahuje na zpracovatele.

Obsah interních záznamů o činnostech při zpracování osobních údajů musí zahrnovat všechny aktivity, ať již ty, které se ke dni účinnosti při daném zpracování údajů provádějí, nebo se prováděly v minulosti. Popis aktivit odpovídá požadavku článku 30 GDPR.  Avšak CPVP uvádí, že správcům a zpracovatelům nic nebrání v tom, aby obsah interních záznamů byl širší, než je uvedeno v dokumentu. Doporučuje např. zahrnout do záznamu informaci o právním základě daného zpracování, údaje o provedeném posouzení dopadu na soukromí (Data Protection Impact Assessment, DPIA), informace o porušení bezpečnosti (data breaches) apod.

Záznamy o činnostech zpracování musí být písemné a vedeny v elektronické formě, musí být jasné a srozumitelné. Dozorový úřad CPVP bude akceptovat určitou míru flexibility u formátů a způsobu vedení záznamů.  Záznamy však musejí být aktuální a úřad doporučuje, aby při jejich tvorbě správce a zpracovatel přizvali pracovníky, kteří zpracování údajů provádějí a jsou tedy schopni identifikovat všechny relevantní aktivity. Úřad rovněž upozorňuje, že záznamy o činnostech nemají být přístupné zaměstnancům ani širší veřejnosti. Neprovedení povinností při vedení záznamů může být (v souladu s GDPR) sankcionováno do výše 10 milionů EUR nebo 2% celosvětového obratu správce resp. zpracovatele.  

Link: Doporučení (ve francouzštině): French                                                                                                                                 11. 7. 2017

 

 

Oslovte nás

Poznámka: položky označené * jsou povinné.