GDPR Seriál – Záznamy o činnostech zpracování

V jednom z minulých dílů jsme se věnovali vyjmenování základních pravidel, aby bylo dosaženo souladu s GDPR. Objevil se tam také bod: Záznamy o činnostech. Jelikož se jedná o skupinu informací, které musí obsahovat, rozhodli jsme se mu věnovat celou kapitolu.

 

Tak tedy, záznamy činností musí obsahovat:

  • popis technických a organizačních opatření
  • informace o účelu zpracování dat
  • popis kategorií subjektů údajů a kategorií osobních údajů
  • jména a kontakty správce i zpracovatele dat
  • informace o mezinárodním předávání osobních údajů (Toto se týká společností, které mají korporátní charakter, anebo předávají data do zahraničí k dalšímu zpracování. Jinými slovy, pokud by např. zdravotní pojišťovna měla back office v Indii, bude o tom muset informovat a s daty nakládat v souladu s GDPR také v Indii.)
  • termíny a lhůty pro výmaz jednotlivých kategorií dat

 

Jediný, kdo má výjimku z povinnosti vést záznamy o činnostech zpracování, jsou firmy, které mají méně než 250 zaměstnanců nebo pokud zpracování údajů není hlavní činností společnosti, anebo nejsou zpracovávány citlivé údaje. Proto opět – lékaři budou pravděpodobně nuceni vést záznamy o činnostech zpracování dat.