Časté dotazy našich uživatelů:
Dobrý den, dozvěděli jsme se na školení, že by naše společnost jako správce osobních údajů svých zaměstnanců a zákazníků měla vytvářet také dokumentaci ke zpracovávaným osobním údajům. Vztahuje se to skutečně i na nás, když jsme jen malou firmou zaměstnávající cca 70 lidí?
Podle čl. 30 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen "Nařízení"), platí, že každý správce, resp. jeho případný zástupce je povinen vést záznamy o činnostech zpracování (osobních údajů), za něž odpovídá - s tím, že tyto záznamy mají podle Nařízení obsahovat minimálně následující body:
V této souvislosti je třeba doplnit, že tyto záznamy je povinen vést nejen samotný správce, ale v přiměřeném rozsahu též zpracovatel osobních údajů, a to v rozsahu a za podmínek upravených v čl. 30 odst. 2 Nařízení.
Shora uvedené záznamy (obsahující nejméně předepsané náležitosti) by měly být správcem / zpracovatelem vedeny v prokazatelné formě, tj. buď písemně, případně elektronicky (neboť Nařízení již s elektronickou formou počítá jako s rovnocennou formou písemné), a to tak, aby tyto záznamy mohly být na žádost dozorového úřadu (kterým je na území České republiky Úřad pro ochranu osobních údajů) poskytnuty tomuto úřadu.
POZOR: Nařízení připouští, že záznamy o činnostech zpracování (osobních údajů) nemusí být vedeny správci / zpracovateli, pokud zaměstnávají méně než 250 zaměstnanců, ALE pouze za předpokladu, že (1) toto zpracování nepředstavuje riziko pro práva a svobody subjektů údajů, (2) je příležitostné, (3) nezahrnuje zpracování zvláštní kategorie (citlivých) osobních údajů a ani (4) nezahrnuje zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.