Záznamy o činnostech zpracování

Správce a zpracovatel mají povinnost vést písemné záznamy o činnostech zpracování osobních údajů, které jsou na požádání předkládány Úřadu pro ochranu osobních údajů (ÚOOÚ).

Kdo musí vést záznamy?

Tato povinnost platí pro následující správce a zpracovatele:

• Podniky nebo organizace s více než 250 zaměstnanci.
• Situace, kdy zpracování pravděpodobně představuje riziko pro práva a svobody subjektů údajů.
• Zpracování není příležitostné.
• Zpracování zvláštních kategorií osobních údajů (tzv. citlivé údaje).
• Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Co musí záznamy obsahovat?

Záznamy vedené správcem

Správce (nebo jeho zástupce) musí vést následující informace:

• Jméno a kontaktní údaje: správce, případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů.
• Účely zpracování osobních údajů.
• Popis kategorií subjektů údajů a kategorií osobních údajů.
• Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny (včetně třetích zemí a mezinárodních organizací).
• Předání údajů do třetí země nebo mezinárodní organizace: identifikace příjemce a doložení vhodných záruk, pokud jsou vyžadovány.
• Plánované lhůty pro výmaz jednotlivých kategorií údajů (pokud je to možné).
• Obecný popis technických a organizačních bezpečnostních opatření (podle čl. 32 odst. 1 GDPR).

Záznamy vedené zpracovatelem

Zpracovatel (nebo jeho zástupce) musí vést následující informace:

• Jméno a kontaktní údaje: zpracovatele, každého správce, pro něhož zpracovatel jedná, případného zástupce a pověřence pro ochranu osobních údajů.
• Kategorie zpracování prováděné pro jednotlivé správce.
• Předání údajů do třetí země nebo mezinárodní organizace: identifikace příjemce a doložení vhodných záruk, pokud jsou vyžadovány.
• Obecný popis technických a organizačních bezpečnostních opatření (podle čl. 32 odst. 1 GDPR).