GDPR – záznamy o činnostech zpracování

GDPR nařízení říká, že každý správce (controller) vede záznamy o činnostech zpracování, za něž odpovídá. Je to prý zásadní dokument, kterým máte prokázat, že je vše v pořádku. Je to vše logické a pěkné do doby než se podíváte co přesně takové záznamy musí obsahovat. Článek 30 EU obecné nařízení o ochraně osobních údajů. Privacy/Privazy… Cituji - mé poznámky jsou uvedeny vždy na konci jednotlivých bodů v závorce kurzívou: a) jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů; (správce jsem snad vždy já - moje firma, proč je povinnost se takto opakovat? Proč pořád opakovat kontaktní údaje sám na sebe? Nebo je snad každý zaměstnanec nebo pozice samostatný správce? V malých firmách o pár lidech ale všichni dělají vše, tedy postrádá to smysl. Nebo jaksi EU úředník předpokládá, že velké firmy si na všechno možné najímají externího dodavatele neboli správce?) b) účely zpracování; c) popis kategorií subjektů údajů a kategorií osobních údajů; ( Je to celý vyplněný formulář údajů? Pak ale budou mít různé kategorie. Nebo je to vždy co největší skupina údajů, které mají společné vlastnosti co lze společně popsat? Např. veškeré kontaktní údaje, ale ip adresa je údaj jiného druhu a musí proto být mít zvlášť záznam? Nejspíše ano.) d) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích; (většinou se údaje nikomu dalšímu nepředávají, mít tohle jako povinnou položku tohle nedává smysl, nebo se tímto myslí, vyjmenovat jednotlivé úkony a zaměstnance (jejich pozice), kteří mohou tento údaj při své práci potkat nebo k něčemu užitečnému ručně použít? V menších firmách často musí všichni dělat vše (alespoň jako záskok), tedy také to nedává moc smysl. Pokud by jednotliví zaměstnanci či pozice byli správcové nebo zpracovatelé, nedává to smysl už vůbec.) e) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk; (většinou se údaje nikomu dalšímu nepředávají, mít tohle jako povinnou položku tohle nedává smysl. Zde asi dává smysl se raději odstřihnout od služeb třetích stran, pokud je to možné. A evidovat si vše ve své databázi nebo libreoffice tabulce na svém vlastním disku v serverovně.) f) je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů; g) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1. Napadá mne, že bych tohle splnil normálně textem volnou formou, kde na začátku napíši, co platí úplně vždy, aby to nemusel a znovu a znovu zmiňovat pro každý zpracovávaný údaj. Tabulka nebo spíše dokument s podnadpisy bude pak přehlednější. Zajímavé je, že o možnosti tohle splnit textem volnou formou s podnadpisy se žádný návod nezmiňuje, přitom myslím, že je to pro právě pro menší subjekty jediný uchopitelný způsob. Také mne děsí, že lze nalézt jen velmi málo konkrétních případů jak tuhle povinnost splňovat. A i ty co existují jsou podivně abstraktní, jakoby vytržené z reálného světa, bez skutečného důrazu na ducha GDPR. Článek na tohle téma co jsem na internetu našel: http://www.pravoit.cz/novinka/gdpr-3-dil-vedeni-zaznamu-o-cinnostech-zpracovani-osobnich-udaju Článek v angličtině, kde jsou i nějaké příklady šablon - excel ke stažení - https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/documentation/how-do-we-document-our-processing-activities/ Jak se s tím perete vy? Jsou v mých úvahách nějaké chyby?

Já bych to bral trochu s nadhledem. Jasně, že je to psané obecně, aby to platilo pro instalatéra, který dostane od zákazníka e-mail a ejhle - stává se tím správcem údajů až po nadnárodní korporace typu Cambridge Analytica :)Taky mrkni na odst.5 - netýká se příležitostného zpracování ve firmě s méně než 250 zaměstnanci.Takže bych na to šel zdravým rozumem - když budu prodávat emaily do Nigerie, tak o tom asi učiním záznam. Ale pokud mzdová účetní v malé firmě zapíše, že Anča jde na mateřskou, tak je (DOUFÁM) záznam zbytečný.

Napsal storyboard;1459190

Taky mrkni na odst.5 - netýká se příležitostného zpracování ve firmě s méně než 250 zaměstnanci.

To vím, 250 zaměstnanců zní dobře, ale je to napsané tak, že tuto výjimku skoro nikdo neuplatní, protože málo kdo dělá jen příležitostné zpracování, když se uložená data používají automatizovaně denně. Je to prostě úleva na dvě věci. Snad to může být dobré pro někoho co pořádá několikrát za rok nějakou akci, pak je to opravdu příležitostné a tohle může vynechat. Vedení "záznamů o činnostech zpracování" prý nahrazuje ohlašovací povinnost, která platila doposud. Píší to třeba zde. https://www.gdpr.cz/gdpr/heslo/zaznamy-o-cinnostech-zpracovani/ Úřad nemá šanci v praxi zkontrolovat a prokázat, jak se věci mají doopravdy, pokud to nebude špatně hned na první pohled a bylo to špatně i před GDPR. O to víc si bude rochnit v nesmyslných papírech a hledat nějaké formální chyby, což je velmi snadné a nestojí to skoro žádnou energii a úsilí. Jen si stačí vypracovat návod na jaké formality se zaměřit a jakou asi pokutu dávat a může to dělat kdokoli i po týdenním školení. V praxi GDPR nezmění skoro nic, ale nově by každý by měl mít nějaké ty dokumenty, které by měl být schopen při kontrole prokázat, že je vše rozmyšlené a alespoň papírově v pořádku. Celé to nemusí být vůbec dlouhé a může to vypadat jednoduše. Ale zrovna sekce nazvaná "záznamy o činnostech zpracování" by tam rozhodně být měla i když to bude jen několik menších odstavečků psaných volnou formou. Volnou formu, kde budou zmíněny všechny body (ty co se neustále opakují tak jen jednou s tím že se opakují vždy), nikdo nezakazuje.

Ve článku 30 odstavec 5 se nic o příležitostném zpracování neříká...kde jste to vzali? Jinak se to dělá formou excelovské tabulky

Napsal skranc;1459733

Ve článku 30 odstavec 5 se nic o příležitostném zpracování neříká...kde jste to vzali? Jinak se to dělá formou excelovské tabulky

Je to psáno "úřední právničinou"Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v Článek 10.

Tak jsem si to znovu přečetl a pak pro jistotu ještě jednou :))Je to opravdu extrémně blbě napsané. Absolutně z toho neplyne, zda to příležitostné zpracování se vztahuje k větě o 250 zaměstnancích nebo k větě předchozí o riziku. Toto ujednání mělo sloužit jako úleva pro malé firmy, ale výklad je opravdu nejednoznačný. Nevěnoval jsem tomu pozornost, protože záznamy používáme u všech jako vodítko pro další dokumenty. Udělají takovou pěknou inventuru. No v každém případě je to dokument, který je neveřejný, nemusí se ani tisknout a tudíž ho lze doplnit i vyplnit tak nějak kdykoliv, že :))asi víte kam tím mířím.

Napsal skranc;1460495

Tak jsem si to znovu přečetl a pak pro jistotu ještě jednou :))

Je to opravdu extrémně blbě napsané. Absolutně z toho neplyne, zda to příležitostné zpracování se vztahuje k větě o 250 zaměstnancích nebo k větě předchozí o riziku. Toto ujednání mělo sloužit jako úleva pro malé firmy, ale výklad je opravdu nejednoznačný.

Nevěnoval jsem tomu pozornost, protože záznamy používáme u všech jako vodítko pro další dokumenty. Udělají takovou pěknou inventuru. No v každém případě je to dokument, který je neveřejný, nemusí se ani tisknout a tudíž ho lze doplnit i vyplnit tak nějak kdykoliv, že :))

asi víte kam tím mířím.

Pro srovnání sem dávám slovenskou verzi tohoto odstavce:5. Povinnosti uvedené v odsekoch 1 a 2 sa nevzťahujú na podnik alebo organizáciu, ktorá zamestnáva menej ako 250 osôb, pokiaľ nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva a slobody dotknutej osoby, pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitné kategórie údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznaní viny za trestné činy a priestupky podľa článku 10.

to je docela zajímavé, protože tato slovenská verze má úplně jiný smysl. Tedy pokud dobře rozumím slovenštině.

Napsal skranc;1460523

to je docela zajímavé, protože tato slovenská verze má úplně jiný smysl. Tedy pokud dobře rozumím slovenštině.

Je to psané tak nejasným jazykem, že si nikdo ničím nemůže být jistý a nepochopí to ani překladatel, který se navíc má tu možnost zeptat těch co mu překlad zadali. Dle článku v angličtině Who needs to document their processing activities? | ICO

it must still document these types of processing activities because they are not occasional.

to musí dělat v podstatě každý, protože málo kdo nezpracovává pravidelně. Ti vyvodili dokonce to, že u těch věcí se dělají příležitostně se to dělat nemusí, jen u těch pravidelných. Je s podivem, že zrovna Britové, kteří to mají s GDPR kvůli brexitu už za pár a mohli by se na to v podstatě vykašlat, to takto prožívají dokumentují.

Napsal Petrso;1460608

Je s podivem, že zrovna Britové, kteří to mají s GDPR kvůli brexitu už za pár a mohli by se na to v podstatě vykašlat, to takto prožívají dokumentují.

Oni kvůli tomu mají nový vlastní britský zákon, který se snad ještě přísnější.

Tak je nutné si uvědomit, že GB nejenom měla předchozí pevné zákony z hlediska ochrany osobních údajů, ale zejména je na rozdíl od nás i kontrolovali a vymáhali. U nás byl jen zákon, který v zásadě nikdo nehlídal. Jinak by u nás nebyl takový povyk. Většina věcí totiž platí již skoro 20 let.Prohledával jsem literaturu a přímo právník, který působí na UOOU má ve své knize informaci, že se tato povinnost nevztahuje na firmy pod 250 zaměstnanců. Přiklání se tedy k tomu, že podmínka příležitostnosti se vztahuje k větě o riziku.No nic, zítra bude volat můj právník na úřad a zjistí stav věci. Dám sem informaci. Jak jsem ale už napsal výše. Není na škodu si je udělat, je to krásná přehledná inventura.---------- Příspěvek doplněn 03.05.2018 v 12:37 ----------Takže proběhla konzultace s úřadem. WP29 má prý na svých stránkách vysvětlující stanovisko, kde uvádí, že podmínka příležitostnosti je další podmínkou. Z tohoto plyne, že záznamy jsou v zásadě povinné pro všechny. Slovenský překlad je tedy chybný.