GDPR čl. 30/5
V nejasném GDPR je článek 30 o záznamech o činnostech zpracování. Pro některé subjekty existuje výjimka, že tyto záznamy nemusí vést. Problém je, že výjimka je nejasně napsaná, ostatně jako i jiné části GDPR.
Kdo tedy musí a kdo nemusí vést záznamy o činnostech zpracování? Koho se výjimka týká a koho ne? Uvedu 2 názory:
1)„Výjimka se mimo jiné neuplatní, pokud zpracování není příležitostné. To může být vykládáno i tak, že výjimka se neuplatní na zcela běžné – ale soustavné, opakující se a tedy nikoli příležitostné – zpracování osobních údajů. Jde například o zpracování dat zaměstnanců pro účely HR a mzdové agendy nebo zákazníků pro účely plnění smluvních vztahů. Takový výklad též znamená, že výjimka žádnou zásadní úlevu pro malé a střední podniky nepřináší, komentuje Matyáš Kužela, společník advokátní kanceláře ŘANDA HAVEL LEGAL.“
2)„V současnosti ještě nemáme přesné definice toho, co se rozumí občasným či rizikovým zpracováním. Nařízení říká, že občasným zpracováním je míněno zpracování jednorázové či ad hoc nebo je v malém rozsahu a nepravidelně. Rizikovým je zpracování, pokud jím může být způsobena nezanedbatelná újma dotčeným osobám. Jedná se tedy o pojmy velmi vágní. K problematice záznamů o činnostech zpracování existuje stanovisko německého dozorového úřadu. To zjednodušeně říká, že povinnost vést záznamy o činnostech zpracování se dotkne téměř všech firem nezávisle na tom, zda se jedná o firmy výrobní, poskytující služby a mající 5 nebo 50 zaměstnanců, uvádí právnička Alice Frýbová ze společnosti Holubová advokáti. Jako výjimku těch, kdo záznamy vést nemusí, uvádí některé spolky, které nemají zaměstnance.“
Výše uvedení právníci se výkladem GDPR živí, ale nechci je obviňovat z toho, že zbytečně straší.
Já se GDPR neživím. Já bych chtěl učinit podle GDPR jen nezbytně nutné minimum skutečně požadované Nařízením, ale aby nehrozila pokuta od ÚOOÚ.
Osobně se domnívám, že pokud by ta výjimka do 250 zaměstnanců byla skutečně myšlena vážně, takže zároveň není možné, aby výjimku zhatila podmínka, že „zpracování není příležitostné“. To by zhatil první zaměstnanec odměňovaný měsíčně a číslice 250 by byla zcela zbytečná.
Ale z českého práva znám případy, kdy důvodová zpráva neodpovídá vlastnímu textu či záměr předkladatele není srozumitelně napsán do vlastního textu.
Evropské právo není jiné.
Hezký den!
V aktualizované základní příručce ÚOOÚ uvádí mj.:
https://www.uoou.cz/…4744/p1=4744
"Mezi tyto nové povinnosti, o kterých nelze hovořit, že se plošně vztahují na všechny správce či zpracovatele patří:
• záznamy o činnostech zpracování,
• jmenování pověřence pro ochranu osobních údajů,
• posouzení vlivu na ochranu osobních údajů,
• předchozí konzultace s dozorovým úřadem.
Tyto zmíněné povinnosti mají pouze určený okruh správců či zpracovatelů, především v závislosti na jejich činnosti týkající se zpracování osobních údajů."
Rozhodně lepší přístup, než jak se uvádí v úvodním příspěvku, že se záznamy o činnostech dotknou téměř všech firem.
Hezký den!
Pavel
Ona je otázka i co to ty záznamy o zpracování jsou. Už jsem viděl dva přístupy.
Jeden vypadá jako „mapa“ tedy kdo co kdy může nebo nemůže s daty dělat. Tedy kompletní popis osobních dat, která jsou zpracovávána a kdo má k jakým datům přístup.
Druhý vyžaduje záznam o každé činnosti s daty. Tady šáhnu na data, udělám zápis kdo a co dělal.
Přiznám se, že druhá možnost se mi krajně nelíbí a asi by vedle k úplnému zhroucení například při hromadném provádění zpracování dat. Například při rozúčtování.
Jaký je Váš názor na „vedení záznamů“?
Petr Patočka VIPA CZ s.r.o.
Pane Patočko,
Vámi uváděný druhý přístup je nad rámec GDPR čl. 30. Je ale pravda, někteří fanoušci IT ho propagují. GDPR nevyžaduje aby se vytvářela „návštěvní kniha“ o tom, kdo se kdy na nějaký OÚ podíval. Nicméně to ani nezakazuje a někteří obchodníci to zákazníkům dokáží prodat.
GDPR vyžaduje popsat kdo, co, proč zpracovává, komu se OÚ chystá předat, kdy OÚ vymaže a jaká technická a bezpečnostní opatření k ochraně OÚ zajistil. Je to takový plán. Má sloužit k doložení souladu s Nařízením.
Stačí nahlédnout do publikovaných záznamů o činnostech zpracování např.
- kamerové systémy (Žůrek, Praktický průvodce GDPR, ANAG, 2017 na str. 214)
- vedení zaměstnaneckých složek (Metodické aktuality 4/2018, Svaz účetních, 2018 zatím v tiskárně)
Hezký den!
Pavel
Četl jsem ten článek několikrát. A bohužel podle mě umožňuje oba výklady.
Ale jak nám bylo řečeno na školení „udělejte to alespoň za 4“. Pak se dá operovat rozdílným právním názorem. Tedy začít plánem. I to v případě větších zpracovatelů bude celkem fuška.
Díky za názor.
Petr Patočka VIPA CZ s.r.o.
Pokud to jsou „papírová data“, tak to bude podobné, jako když jdete do knihovny půjčit si knihu. Do evidence zapíšete kdo a co dělal (nahlížel, …). Tedy když chce někdo nahlížet, zapíše se to do sešitu.
Pokud to jsou elektronická data v nějakém sw, tak většina sw má nějaký logovací způsob, kam se ukládají záznamy o přístupu uživatelů a operacích. Šikovné to mají už dnes, ostatní předpokládám případně dodělají.
Myslím, že to není třeba komplikovat. Podle mého názoru není třeba evidovat přístup ke konkrétní položce osobních údajů (tedy že pan XY nahlížel na OÚ číslo bankovního účtu pana AB), ale že někdo nahlížel do složky, ve které jsou osobní údaje.
Pane Dvořáku,
že by se musel dělat ručně či automaticky záznam o tom, že se někdo podíval na nějaký osobní údaj
1)nevyplývá z vlastního textu čl. 30
2)není v žádné literatuře, ke které jsem se dostal
3)není obsaženo v žádné přednášce, kterou jsem získal
4)mi opakovaně vyvrátili na přednáškách pracovníci ÚOOÚ
Samozřejmě, že lze zajistit „knihu návštěv“ v papírové čí elektronické podobě. Proč bych to ale dělal, když to dělat nemusím?
To je úřadování pro úřadování.
Pokud má někdo oprávnění zpracovávat osobní údaje, tak ať je zpracovává. Přece nepřizná, že povolil zpracovávat osobní údaje někomu neoprávněnému a učiní o tom důkaz.
Že „kniha návštěv“ je požadavek nad rámec GDPR svědčí i to, že záznam o činnostech zpracování nahrazuje oznamovací povinnost podle § 16 ZoOÚ
https://www.uoou.cz/…avcu/d-28855
Oznamovací povinnost také nevyžadovala nějaké logování.
§ 16 ZoOÚ se do značné míry podobá čl. 30 GDPR.
Hezký den!
Pavel
Dnes jsem narazil na Zaměstnavatel jako správce osobních údajů. Dle tohoto článku je povinnost logovat všechna zpracování s odkazem na §13 Zákona o ochranně osobních údajů. I když se článek vztahuje k povinnosti zaměstnavatele, dá se z toho myslím odvodit i povinnost pro další zpracovatele osobních údajů. Obohacuji tak diskusi o pohled ÚOOÚ uveřejněný na jejich webových stránkách.
Pane Dvořáku,
Vámi citovaný příspěvek je z roku 2013, tj. před účinnosti GDPR.
GDPR překonalo zákon o ochraně osobních údajů, který bude časem úplně zrušen.
Hezký den!
Pavel
Belgický CPVP, obdoba českého ÚOOÚ, vydal informaci o GDPR s názvem „Čerstvý vánek, nikoliv ničivý uragán“.
V ní mj. upozorňuje na výjimku povinnosti vedení interní dokumentace o zpracování osobních údajů pro podniky, které mají méně než 250 zaměstnanců. Všem správcům a externím zpracovatelům ovšem i přesto doporučují takový registr vést.
Je to rozumější přístup, než mají citovaní právníci v úvodním příspěvku.
Hezký den!
Pavel
Poslední komentáře