Pane Patočko,

Vámi uváděný druhý přístup je nad rámec GDPR čl. 30. Je ale pravda, někteří fanoušci IT ho propagují. GDPR nevyžaduje aby se vytvářela „návštěvní kniha“ o tom, kdo se kdy na nějaký OÚ podíval. Nicméně to ani nezakazuje a někteří obchodníci to zákazníkům dokáží prodat.

GDPR vyžaduje popsat kdo, co, proč zpracovává, komu se OÚ chystá předat, kdy OÚ vymaže a jaká technická a bezpečnostní opatření k ochraně OÚ zajistil. Je to takový plán. Má sloužit k doložení souladu s Nařízením.

Stačí nahlédnout do publikovaných záznamů o činnostech zpracování např.

• kamerové systémy (Žůrek, Praktický průvodce GDPR, ANAG, 2017 na str. 214)
• vedení zaměstnaneckých složek (Metodické aktuality 4/2018, Svaz účetních, 2018 zatím v tiskárně)

Hezký den!

Pavel