Jak se postavit k (ne)povinnosti vedení záznamů o činnostech zpracování?

26. 1. 2018
Doba čtení: 5 minut

Sdílet

Ilustrační obrázek
Ilustrační obrázek
Záznamy o činnostech zpracování nebudou jen otravnou povinností. Věnujte jim dostatečnou pozornost a jednou se vám to v dobrém vrátí.

Záznamy o činnostech zpracování nebudou povinné pro všechny správce osobních údajů. Vést si je ale není od věci. Mohou být velmi praktickým pomocníkem.

Vypracování těchto záznamů pomůže i menším firmám utřídit si povinnosti, které pro ně z GDPR vyplývají, udělat si interní audit procesů a zefektivnit jejich řízení nebo si vytvořit přehled o tom, jaké osobní údaje aktuálně zpracovávají. Za velkou výhodu lze považovat zvýšení důvěryhodnosti a transparentnosti ve vztahu ke klientům i obchodním partnerům či získání spolehlivého podkladu pro manažerská rozhodnutí, například ohledně nákupu softwaru pro zabezpečení osobních údajů. Proto dobrovolné vedení záznamů o činnostech zpracovávání nelze než doporučit, říká poradkyně pro IT bezpečnost a ochranu osobních údajů Hana Šipošová. Velmi praktické využití těchto záznamů se ukáže také při personálních změnách. Díky zmapování procesů a přístupů bude možné snadno a bez rizika odstřihnout od přístupu k databázím a dalším interním materiálům například zaměstnance na odchodu, kteří někdy mohou mít chuť zaměstnavatele poškodit. Záznamy jsou dobrý rozcestník, který jasně ukazuje, kdo ze zaměstnanců má k jakým datům přístup. V případě změn ve firmě, ať už personálních nebo například procesních, se pak budete lépe orientovat v tom, jaké zásahy je nutné udělat i z hlediska nakládání s databázemi, které jsou dnes velmi cenným majetkem všech podnikatelů, říká advokátka advokátní kanceláře eLegal Petra Dolejšová.

Záznamy budou zpravidla výstupem z takzvaného mapování a vyhodnocování zpracování osobních údajů (GAP analýza). Provedením této analýzy správci údajů zjistí, zda se jim některé procesy nedublují. Správci údajů si tedy mohou díky záznamům o činnostech zpracování udělat pořádek v tom, které údaje zpracovávají, proč je zpracovávají a zda některé musí nezbytně zpracovávat, nebo je naopak zpracovávat nesmí. To platí především ve středních a větších společnostech, nemocnicích a jiných obdobných zařízeních. Vedení záznamů navíc snižuje riziko sankcí od Úřadu pro ochranu osobních údajů. Musíme totiž stále pamatovat na to, že ještě není jasné, kdo musí záznamy vést a kdo ne. Z důvodu právní jistoty doporučuji, aby záznamy o činnostech zpracování vedl de facto každý, včetně malých a středních firem. S ohledem na formulaci výjimky z povinnosti vést záznamy o činnostech zpracování bude velmi složité dospět k závěru, že na mne tato povinnost nedopadá, připomíná Matyáš Kužela, společník advokátní kanceláře ŘANDA HAVEL LEGAL. Více o tom v článku Nejasnosti kolem výjimky z GDPR. Nakonec ji využije jen málokdo.

Záznamy o činnostech zpracování nahrazují oznamovací povinnost vůči Úřadu pro ochranu osobních údajů, která je značně neefektivní. V současném pojetí se de facto jedná pouze o jednorázovou administrativní zátěž jak na straně správců, tak na straně úřadu. I proto svou oznamovací povinnost mnoho správců neplnilo. Oznámení, která svým obsahem odpovídají novým záznamům, byla uložena u úřadu a ne vždy je měl u sebe správce. Nově bude mít firemní management potřebné informace koncentrovány na jednom místě, přehledné a rychle dostupné, komentuje Karin Pomaizlová, partnerka advokátní kanceláře Taylor Wessing Praha. Řádně vedené záznamy o činnostech zpracování by tak měly správci či zpracovateli konečně začít sloužit jako aktuální a v praxi využitelný přehled prováděného zpracování. Úřadu pro ochranu osobních údajů budou tyto záznamy předkládány jen v případě kontroly.

Zavedení povinnosti vést záznamy o činnostech zpracování vychází z myšlenky, která se prolíná celým GDPR a podle které leží větší odpovědnost na správcích údajů. Správce si musí sám vyhodnotit, jestli při své činnosti GDPR neporušuje a učinit pro to veškerá opatření. Je to jiné, než když si v rámci oznamovací povinnosti v podstatě před Úřadem pro ochranu osobních údajů opatřil alibi. Jednoduše oznámil, že ke zpracování dochází a dále už nemusel v tomto směru vyvíjet zvýšené úsilí. Po účinnosti GDPR bude muset správce vést a pravidelně aktualizovat zmíněné záznamy o činnostech, čímž se docílí větší efektivity při zpracování a tím i větší bezpečnosti dat. Správce totiž bude muset zákonnost zpracování kdykoliv prokázat, říká Hana Šipošová.

Vést detailní rozcestník, nebo plnit zákonné minimum?

Tato dokumentace bude vedena především proto, aby mohl správce údajů prokázat, že postupuje v souladu s GDPR. K čemu dalšímu je možné záznamy o činnostech zpracování ve firmě použít, když to nebude pro případnou kontrolu ze strany dozorového orgánu? Z formálního hlediska záznamy nepotřebujeme k ničemu jinému než k předložení při kontrole. Na druhou stranu je to skutečně dobrá příležitost uklidit si ve společnosti, zredukovat procesy a dát je do souladu s Obecným nařízením. Tyto záznamy mohou sloužit dále pro plnění informační povinnosti podle článků 13 a 14 GDPR, například jako příloha interní směrnice o ochraně osobních údajů. V některých společnostech mohou sloužit jako manuál pro pověřené pracovníky, které osobní údaje mohou při kterých procesech zpracovávat, komentuje právnička Alice Frýbová ze společnosti Holubová advokáti.

Některé evropské dozorové úřady už doporučily vést záznamy co možná nejpodrobněji a provázat je s konkrétními listinami, například se souhlasy o zpracování údajů nebo hodnoceními dopadů na ochranu osobních údajů. Pak mohou záznamy plnit i úlohu zmapování všech procesů souvisejících s osobními údaji v organizaci a zrychlit a zjednodušit rozhodovací procesy, a to v případě zavedení nových technologií nebo kontroly přístupových práv k souboru osobních údajů. Kdo ale na podrobné vedení záznamů o činnostech zpracování nebude mít kapacitu, není rozhodně nijak diskvalifikován. Advokátka Karin Pomaizlová připomíná, že formát a způsob vedení záznamů je na rozhodnutí každé organizace. Pro malé výrobní firmy bude například realizace této povinnosti spočívat ve vyplnění jednoho formuláře, kdy v kolonce účel zpracování bude uvedeno – plnění povinností z pracovně-právních vztahů, doplňuje Alice Frýbová.

Psali jsme: Víte, co je to bezpečnostní štít Privacy Shield a jak to souvisí s GDPR?

Firmy ale také nejsou v rozšiřování svých záznamů o činnostech zpracování nad rámec požadavků GDPR nijak limitovány. Například je možné doplnit záznam o zákonné důvody zpracování osobních údajů podle článku 6 GDPR, o evidenci provedení posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů podle článku 35 GDPR, provázat záznam na konkrétní dokumenty, například smlouvy mezi správcem a zpracovatelem osobních údajů. Podle toho, v jakém rozsahu budou vedeny, mohou být využitelné třeba i při výkonu práv ze strany subjektů údajů, typicky se to týká třeba práva na přístup, vznesení námitky či práva na přenositelnost, uvádí advokát Matyáš Kužela. Záleží jen na úvaze správce, zda chce mít záznamy vedené i pro jiné účely než pro ty stanovené nařízením.

Někteří doporučují přidat další informace a nespoléhat pouze na zákonné minimum. Z výše uvedených důvodů to jistě bude praktické. Jelikož je ale primárním důvodem vedení záznamů to, aby podle nich Úřad pro ochranu osobních údajů mohl provést kontrolu správce, bude ve většině případů obsah záznamů podle článku 30 GDPR dostačující. Myslím si, že tento rozcestník je dobré udržovat jednoduchý. GDPR plně pokrývá vše potřebné v míře, která ještě zaručuje přehlednost, uzavírá Petra Dolejšová.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).