V případě, že máte ve vaší společnosti zaměstnance, pak chtě nechtě zpracováváte jejich osobní údaje. GDPR pak zavedlo povinnost vést záznamy o činnostech zpracování osobních údajů.
Jelikož je tento text věnován zaměstnavatelům, případně zaměstnancům, kteří se věnují personalistice, zužujeme problematiku dále pouze na správce osobních údajů. Sluší se totiž uvést, že jsou dány drobné nuance v povinných náležitostech pro záznamy o činnostech zpracování pro správce a pro zpracovatele.
Co jsou to záznamy o činnostech zpracování?
Záznamy o činnostech zpracování jsou takové záznamy (bez ohledu na formu jejich pořízení), které správce osobních údajů (tedy i zaměstnavatel) vede o příslušných zpracováních osobních údajů. V případě, kdy o to Úřad na ochranu osobních údajů požádá, pak je správce povinen předložit.
Záznamy o činnostech zpracování budou obsahovat tyto informace:
- Identifikaci správce, jeho kontaktní údaje a případně identifikaci pověřence na ochranu osobních údajů, pokud je jmenován;
- Účel zpracování osobních údaj;
- Kategorizaci osobních údajů;
- Informaci o příjemcích osobních údajů;
- Informaci o předávání mimo EU;
- Informace o likvidaci daného okruhu osobních údajů (je-li to možné);
- Popis přijatých technických a organizačních opatření.
Musí každá organizace vést záznamy o činnostech zpracování?
GDPR stanovuje, že ovinnost vést záznamy o činnostech zpracování se nevztahuje na organizace, které mají méně než 250 zaměstnanců. To neplatí, pokud:
- Zpracování, které provádí pravděpodobně představuje riziko pro práva a svobody subjektů údajů, nebo
- zpracování není příležitostné, nebo
- zahrnuje zpracování citlivých osobních údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Ze shora uvedeného je patrné, že povinnost vést záznamy o činnostech zpracování se týká téměř všech správců osobních údajů. Snad jen umělec, který prodá několik málo obrazů ročně by patrně nemusel vést záznamy o činnostech zpracování osobních údajů.
O jaké činnosti zpracování osobních údajů může při zaměstnávání jít?
Může se jednat například o:
- vedení osobních složek zaměstnanců;
- zpracování mzdové agendy;
- jakékoli další činnosti, při kterých jsou, ve smyslu GDPR, zpracovávány osobní údaje zaměstnanců.
