GDPR: Ochrana osobných údajov v roku 2018 – Záznamy o spracovateľských činnostiach vzor a vyplnenie

Od 25. 5. 2018 nadobudne účinnosť zákon o ochrane osobných údajov č. 18/2018.Tento zákon zavádza do našej legislatívy nariadenie GDPR. Skratka GDPR sa tento mesiac všade skloňuje pomerne často, preto vám aj my pravidelne prinášame nové príspevky na túto tému, aby ste boli informovaní o všetkých zmenách v legislatíve a čo prináša GDPR v praxi. V dnešnom príspevku sa zameriame najmä na záznamy o spracovateľských činnostiach.

Kto musí viesť záznamy o spracovateľských činnostiach?

Každý prevádzkovateľ alebo zástupca prevádzkovateľa (ak takého má prevádzkovateľ povereného) má povinnosť viesť v papierovej alebo elektronickej podobe záznam o spracovateľskej činnosti. Tento záznam nie je nutné nikam zasielať, prevádzkovateľ si ho necháva iba u seba. Na požiadanie úradu je však prevádzkovateľ alebo zástupca prevádzkovateľa povinný záznam úradu sprístupniť.

Sprostredkovateľ a zástupca sprostredkovateľa, ak bol poverený, je povinný viesť záznam o kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa.

Záznamy o spracovateľských činnostiach nahrádzajú oznámenia informačných systémov, žiadosti o osobitnú registráciu informačných systémov a evidenčné listy informačných systémov. Oproti právnej úprave obsiahnutej v zákone č. 122/2013 Z. z. o ochrane osobných údajov nie je táto povinnosť naviazaná na informačný systém, ale na účel spracúvania.

Prevádzkovateľ alebo zástupca prevádzkovateľa je zodpovedný za to, aby všetky údaje uvedené v zázname boli aktuálne. Napríklad, ak sa zmenila zodpovedná osoba, prevádzkovateľ je povinný tento údaj v zázname ku dňu zmeny aktualizovať.

V prémiovej časti obsahu nájdete:

• Čo musí záznam o spracovateľských činnostiach obsahovať?
• Kto nemusí viesť záznamy o spracovateľských činnostiach?
• Vzor záznamu o spracovateľských činnostiach
• Návod na vypĺňanie vzoru záznamu o spracovateľských činnostiach

Čo musí záznam o spracovateľských činnostiach obsahovať?

Záznam prevádzkovateľa musí obsahovať:

• identifikačné údaje a kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa, zástupcu prevádzkovateľa, ak bol poverený, a zodpovednej osoby,
• účel spracúvania osobných údajov,
• opis kategórií dotknutých osôb a kategórií osobných údajov,
• kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácii,
• označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
• predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
• všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.

Záznam sprostredkovateľa musí obsahovať:

• identifikačné údaje a kontaktné údaje sprostredkovateľa a prevádzkovateľa, v mene ktorého sprostredkovateľ koná, zástupcu prevádzkovateľa alebo sprostredkovateľa, ak bol poverený, a zodpovednej osoby,
• kategórie spracúvania osobných údajov vykonávaného v mene každého prevádzkovateľa,
• označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
• všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.

Kto nemusí viesť záznamy o spracovateľských činnostiach?

Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a

• pokiaľ nie je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva povedie k riziku pre práva a slobody dotknutej osoby a
• spracúvanie osobných údajov je príležitostné a
• spracúvanie nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 zákona, príp. čl. 9 ods. 1 nariadenia (napr. biometrický údaj, údaj o zdraví a pod.) alebo nezahŕňa osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 zákona, príp. čl. 10 nariadenia, tak

prevádzkovateľ alebo zástupca prevádzkovateľa nie je povinný viesť záznamy pre konkrétnu spracovateľskú činnosť, na ktorú sa vzťahuje táto výnimka.

Upozornenie Podnikam.sk

Prevádzkovateľ alebo zástupca prevádzkovateľa nemusí viesť záznamy len na tie spracovateľské operácie, na ktoré sa samotná výnimka vzťahuje. Teda ak má 10 spracovateľských operácií a na 2 sa vzťahuje výnimka, tak pri ostatných 8 musí viesť záznamy o spracovateľských činnostiach.

Vzor záznamu o spracovateľských činnostiach

Vzor záznamu o spracovateľských činnostiach si môžete stiahnuť tu: Vzor záznamu o spracovateľských činnostiach

Tento vzor  obsahuje všetky povinné náležitosti vyžadované zákonom, príp. nariadením no nie je záväzný. Prevádzkovateľ alebo zástupca prevádzkovateľa má možnosť si ho upraviť podľa seba, no musí obsahovať všetky zákonné náležitosti.

Návod na vypĺňanie vzoru záznamu o spracovateľských činnostiach

6. Prevádzkovateľ alebo zástupca prevádzkovateľa vypíše o sebe identifikačné údaje a kontaktné údaje – obchodné meno/meno a priezvisko, IČO, adresa sídla/trvalého bydliska, telefonický kontakt, mailová adresa
7. Údaje o spoločnom prevádzkovateľovi, zástupcovi prevádzkovateľa a zodpovednej osobe sa vypíšu v prípade, ak boli poverení alebo zodpovedná osoba určená.
8. Pri zodpovednej osobe, ktorá môže byť fyzickou alebo právnickou osobou sa vypíšu všetky identifikačné a kontaktné údaje, ktoré má prevádzkovateľ alebo zástupca prevádzkovateľa k dispozícií. Ak ide o zodpovednú osobu, ktorá je zároveň zamestnancom prevádzkovateľa/zástupcu prevádzkovateľa, nie je potrebné vypĺňať adresu. Ak ide o externú zodpovednú osobu uvedie sa adresa jej sídla alebo trvalého bydliska.
9. Účelom spracúvania osobných údajov sa rozumie konkrétne vymedzený alebo ustanovený zámer, na základe ktorého bude prevádzkovateľ spracúvať osobné údaje viažuce sa na jeho činnosť. Tento účel by si mal prevádzkovateľ stanoviť vopred, jednoznačne a mal by byť oprávnený. Napr. spracúvanie osobných údajov zamestnanca na účel plnenia povinností zamestnávateľa súvisiacich s pracovným pomerom. Každý účel spracúvania musí byť v zázname vymedzený samostatne a ku každému musia byť vyplnené všetky povinné náležitosti. Koľko účelov má prevádzkovateľ, toľko „riadkov“ musí záznam obsahovať.
10. Opis kategórií dotknutých osôb je okruh osôb, ktorých osobné údaje sa budú spracúvať. V prípade príkladu na zamestnancoch bude takouto kategóriou práve zamestnanec, manžel/manželka zamestnanca, deti zamestnanca a pod.
11. Pri kategórii osobných údajov sú tieto možnosti: bežné osobné údaje, osobitná kategória osobných údajov a/alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku. Prevádzkovateľ/zástupca prevádzkovateľa musí uviesť kategóriu, ale nie je vylúčené, aby uviedol menný zoznam všetkých osobných údajov, ktoré spracúva.
12. Ďalšou povinnou náležitosťou je kategória príjemcov. Príjemcom sa rozumie každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou. Ak prevádzkovateľ vie určiť príjemcu uvedie do záznamu konkrétneho príjemcu, napríklad sociálna poisťovňa, zdravotná poisťovňa v prípade zamestnanca a platenia odvodov za neho. Ak by prevádzkovateľ nevedel určiť príjemcu, uvedie sa kategória, okruh príjemcov, napr. súdy, orgány verejnej moci atď. Príjemcom je aj sprostredkovateľ prevádzkovateľa.
13. V prípade, ak prevádzkovateľ zamýšľa prenos osobných údajov aj do tretích krajín alebo medzinárodných organizácií je povinný vypísať kolónku s touto zákonnou náležitosťou, kam budú údaje prenášané. Je potrebné disponovať dokumentáciou o primeraných zárukách, ktoré tento prenos budú zabezpečovať.
14. Na každú kategóriu osobných údajov je potrebné určiť lehotu, po ktorej majú byť osobné údaje vymazané. Túto lehotu môže stanoviť osobitný právny predpis, napr. zákon o archívoch a registratúrach, prípadne si ju určí prevádzkovateľ sám s ohľadom na zásadu minimalizácie uchovávania osobných údajov.
15. Do záznamu o spracovateľských činnostiach je potrebné uviesť aké technické a organizačné bezpečnostné opatrenia prijal prevádzkovateľ, aby zabezpečil, že spracúvanie osobných údajov bude bezpečné, chránené a urobil všetko preto, aby nemohli byť zneužité. Je potrebné vychádzať z § 39 zákona, ktorý stanovuje najmä tieto opatrenia:
    • pseudonymizácia a šifrovanie osobných údajov,
    • zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov,
    • proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu,
    • proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.

Môže ísť pri technických bezpečnostných opatreniach o zabezpečenie počítača antivírusom, zaheslovanie, v prípade papierového dokumentu to môže byť uzamykateľná skriňa, trezor, archív s kódom. Pri organizačných opatreniach je to ľudský faktor, ktorý zabezpečí bezpečnosť spracúvania osobných údajov dotknutých osôb, napr. určená zodpovedná osoba, poučená oprávnená osoba. V prípade vypracovanej dokumentácie bezpečnosti osobných údajov je možné uviesť odkaz na takýto dokument.

16. Vo vzore záznamu o spracovateľských činnostiach prevádzkovateľa alebo zástupcu prevádzkovateľa je vložená fakultatívna náležitosť „právny základ spracovateľskej činnosti“, ktorý je upravený v § 13 zákona. Nie je to obligatórna náležitosť záznamu o spracovateľských činnostiach, ale vzhľadom na skutočnosť, že na právny základ sa viaže účel spracúvania osobných údajov a v prípade kontroly je prevádzkovateľ/zástupca prevádzkovateľa i tak povinný uviesť právny základ spracúvania.

K téme