GDPR Co jsou záznamy o činnostech zpracování
V jiném vláknu se diskutovalo, co jsou záznamy o činnostech zpracování:
http://www.portalsvj.cz/…gdpr-cl-30–5#…
Podle jednoho výkladu se jedná o jakýsi „plán“, kdo, co a kdy může s daty dělat.
Podle druhého výkladu se vyžaduje záznam o každé činnosti s daty, jakási „kniha návštěv“. Tj. i při pouhém nahlédnutí by se měl učinit záznam kdo nahlížel, kdy nahlížel a na jaká data. Tím by se jednak značně zvýšila administrativní náročnost a jednak by vznikl nový soubor osobních údajů (kdo nahlížel, kdy nahlížel a na jaká data). A tento nový soubor by měl mít stanovena, kdy se budou data o nahlížení likvidovat.
Jsem zastáncem prvního výkladu.
Uvedl jsem jako příklad Záznam o činnostech zpracování v publikaci od JUDr. Žůrka, zaměstnance ÚOOÚ a Mgr. Kohútovou v Metodických aktualitách 4/2018.
Od 15.3.2018 visí na MŠMT Záznamy o činnostech zpracování pro školství:
http://www.msmt.cz/…icich-s-gdpr
Všechny uváděné vzory jsou zpracovány podle prvního výkladu.
Nyní jen zbývá vyjasnit, na koho se zpracování Záznamů o činostech zpracování nevztahuje podle čl. 30/5 GDPR.
Hezký den!
Pane Pavle,
pokud se ptáte na význam pojmu „záznamy o činnostech zpracování“, měl byste specifikovat, jaký druh osobních údajů má být zpracováván.
Kromě toho, pokud se zde hovoří o „záznamech“, tak těmi z jazykového výkladu pojmu „záznamy“ nemůže být nějaký statický dokument.
Zdenku 22,
záznamy o činnostech zpracování je pojem z čl. 30 GDPR. Jinými slovy jedná se o veškeré myslitelné osobní údaje na které se záznamy o činnostech zpracování vztahují.
Domnívám se, že slovo „záznamy“ je zavádějící. Proto jsem napsal 3 nezávislé zdroje, které „záznamy“ chápou jako statický dokument. Ani zaměstnanec ÚOOÚ ani MŠMT nepožadují jiný, než statický dokument.
Možná kdyby se čl. 30 jmenoval „Plán zpracování osobních údajů“, tak by to bylo pochopitelnější.
Samotný čl. 30 ale nevyžaduje, aby obsahem záznamů byla nějaká dynamická „kniha návštěv“, která by dokumentovala, kdo OÚ pořídil, kdo nahlédl, kdo OÚ změnil atd.
Ani odpovídající recitály k čl. 30 tj. recitály 13, 39 a 82 nepožadují „knihu návštěv“.
Protože se ale stále vyskytuje i názor, že „záznamy“ nemohou být pouze statický dokument, tak to zde píšu opakovaně a čekám na nějaký argument.
Hezký den!
Pavel
Pane Pavle,
čl. 30 GDPR pro běžného čtenáře dost možná působí tak, že je správce/zpracovatel povinen vypracovat pouze jakousi směrnici, uzavřený dokument, který bude popisovat postupy pro jím zpracovávané osobní údaje.
Tento článek ale nevylučuje provádění záznamů, tj. zaznamenávání konkrétních zpracování těchto osobních údajů. Zejména v případě kamerových záznamů je deník přístupů pro správce zcela nezbytný a vyplývá to nepřímo z jiných ustanovení GDPR.
Ostatně o deníků přístupů již dnes hovoří i tento dokument ÚOOÚ: https://www.uoou.cz/…_systemu.pdf
Pokud se chcete dál bavit o „záznamech o činnostech zpracování“, je nezbytné tento pojem zasadit do konkrétních souvislostí.
Zdenku 22,
děkuji za reakci.
Z: čl. 30 GDPR pro běžného čtenáře dost možná působí tak, že je správce/zpracovatel povinen vypracovat pouze jakousi směrnici, uzavřený dokument, který bude popisovat postupy pro jím zpracovávané osobní údaje.
P: považuji se za běžného čtenáře, bruselštinu neovládám
Z: Tento článek ale nevylučuje provádění záznamů, tj. zaznamenávání konkrétních zpracování těchto osobních údajů.
P: Nikdy jsem netvrdil, že čl. 30 vylučuje možnost vést „knihu návštěv“. Ale já chci udělat pouze minimálně nutné, nikoliv maximálně možné
Z: Zejména v případě kamerových záznamů je deník přístupů pro správce zcela nezbytný a vyplývá to nepřímo z jiných ustanovení GDPR.
P: uvítal bych z jakých ustanovaní to vyplývá „nepřímo“. Já to tam nemohu najít a nejsem sám
Z: Ostatně o deníků přístupů již dnes hovoří i tento dokument ÚOOÚ: https://www.uoou.cz/…_systemu.pdf
P: pamatuji, že ÚOOÚ např. kdysi tvrdil, že člen SVJ nemá nárok vědět, zda jiný člen SVJ něco dluží. Proto nějakou metodiku ÚOOÚ neberu moc vážně, pokud se neodvolává na konkrétní ustanovení předpisu
Z: Pokud se chcete dál bavit o „záznamech o činnostech zpracování“, je nezbytné tento pojem zasadit do konkrétních souvislostí.
P: u SVJ mi jde konkrétně o OÚ zejména podle § 1177/1 NOZ, § 1177/2 NOZ, § 1180/1 NOZ, § 1179 NOZ, zákona č. 67/2013 Sb., § 11/1 ZoÚ, § 38j ZDP, § 37 a § 38 zákona č. 582/1991 Sb., § 10/1 zákona č. 48/1997 Sb., § 34, § 34a, § 37, § 313 ZP
Hezký den!
Pavel
Pane Pavle,
na obecná ustanovení GDPR těžko dostanete konkrétní odpověď, pokud nekonkretizujete svůj problém nebo konkrétní záležitost. Prostý výčet §§ dotýkajících se SVJ a osobních údajů je nicneříkající.
Co se týče kamerových záznamů, tak tam pochopíte nutnost vést deník přístupů až poté, co sám budete tento systém provozovat nebo budete řešit nějaký konkrétní problém související se zneužitím kamerových záznamů. Já už tu „čest“ měl.
To, že člen SVJ může vědět o ostatních členech SVJ nejenom jejich dluhy, nevyplývá ani tak z metodiky ÚOOÚ, ale ze samé podstaty spoluvlastnictví, kterou jsou všichni členové SVJ svázáni – viz §§ 1116 a 1117 NOZ.
Zdenku 22,
Z: na obecná ustanovení GDPR těžko dostanete konkrétní odpověď, pokud nekonkretizujete svůj problém nebo konkrétní záležitost. Prostý výčet §§ dotýkajících se SVJ a osobních údajů je nicneříkající.
P: jde mi pouze o to, zda vést „knihu návštěv“ při pořízení OÚ, nahlédnutí na OÚ, změně OÚ a při ostatních formách „zpracování“ OÚ.
Uváděná ustanovení zákonů se týkala problematiky
- vedení osobních údajů o členovi SVJ dle NOZ a ZoSL
- vedení osobních údajů o nájemníkovi člena SVJ dle NOZ
- vedení osobních údajů o dodavateli SVJ
- vedení osobních údajů o zaměstnanci SVJ
Ani v jednom případě nevidím v GDPR povinnost vést nějaké záznamy o zpracování OÚ ve formě „návštěvní knihy“. Podle mého názoru se musí vést pouze prvotní statický dokument podle čl. 30.
Z: Co se týče kamerových záznamů, tak tam pochopíte nutnost vést deník přístupů až poté, co sám budete tento systém provozovat nebo budete řešit nějaký konkrétní problém související se zneužitím kamerových záznamů. Já už tu „čest“ měl.
P: kamerové systémy nemáme a doufám, že nikdy mít nebudeme. Přesto nevidím, mimo náznak v metodice ÚOOÚ, povinnost evidovat, kdo si záznam z kamery přehrál a komu byl záznam předán. I JUDr. Žůrek zpracoval pouze statický záznam o činnostech zpracování a v publikaci se nezmiňuje o další povinnosti. A co se týká případného zneužití, tak by záznamy z kamer měly být zabezpečeny. Pokud pachatel překoná zabezpečení, tak nějaká „kniha návštev“ zneužití nezabrání.
Z: To, že člen SVJ může vědět o ostatních členech SVJ nejenom jejich dluhy, nevyplývá ani tak z metodiky ÚOOÚ, ale ze samé podstaty spoluvlastnictví, kterou jsou všichni členové SVJ svázáni – viz §§ 1116 a 1117 NOZ.
P: Já vím, že člen SVJ má nárok na informaci. Bohužel několik let ÚOOÚ tvrdil něco jiného. Pouze jsem uvedl, že ÚOOÚ podle mého názoru není kompetentní něco posuzovat v oblasti SVJ. Pokud se ve své metodice ke kamerám neodvolá na konkrétní ustanovení zákona, tak mu nevěřím. To byl smysl mé připomínky. Měl jsem tu čest být na přednáškách zaměstnanců ÚOOÚ o GDPR. Říkali věci, které byly v rozporu s novou komentářovou literaturou ke GDPR. Takže mám pochybnosti i o jejich vědomostech ohledně GDPR.
Hezký den!
Pavel
Pane Pavle,
já také nevidím žádný důvod k vedení jakékoliv „knihy návštěv“ při pořízení OÚ, nahlédnutí na OÚ, změně OÚ a při ostatních formách „zpracování“ OÚ v rámci SVJ, jsou-li to OÚ získávané podle zákona a v rozsahu stanoveném zákonem a naopak nejsou-li těmito OÚ kamerové záznamy.
Co se týče kamerových záznamů, tak pokud nevidíte povinnost evidovat, kdo si záznam z kamery přehrál a komu byl záznam předán, pak jedině z důvodů, které jsem vám již sdělil.
To, že záznamové zařízení a jeho záznamy musí být zabezpečeny proti neoprávněnému přístupu, je samozřejmé, a s deníkem přístupů k záznamům to nijak nesouvisí.
Zdenku 22,
pokusím se o závěr, pro mne zajímavé diskuse.
V úvodu jsem nastolil dva výklady čl. 30 GDPR:
"Podle jednoho výkladu se jedná o jakýsi „plán“, kdo, co a kdy může s daty dělat.
Podle druhého výkladu se vyžaduje záznam o každé činnosti s daty, jakási „kniha návštěv“. Tj. i při pouhém nahlédnutí by se měl učinit záznam kdo nahlížel, kdy nahlížel a na jaká data."
Na to jste reagoval:
"pokud se ptáte na význam pojmu „záznamy o činnostech zpracování“, měl byste specifikovat, jaký druh osobních údajů má být zpracováván.
Kromě toho, pokud se zde hovoří o „záznamech“, tak těmi z jazykového výkladu pojmu „záznamy“ nemůže být nějaký statický dokument."
Ve svém posledním příspěvku jste napsal:
„já také nevidím žádný důvod k vedení jakékoliv „knihy návštěv“ při pořízení OÚ, nahlédnutí na OÚ, změně OÚ a při ostatních formách „zpracování“ OÚ v rámci SVJ, jsou-li to OÚ získávané podle zákona a v rozsahu stanoveném zákonem a naopak nejsou-li těmito OÚ kamerové záznamy.“
Z toho dovozuji, že až na kamerové systémy, souhlasíte s prvním výkladem a že tedy nejsou nutné žádné záznamy s každou operací s osobními údaji. To jsem z Vaší první reakce nepochopil. Bude tedy stačit pouze statický dokument jak uvádí první výklad.
Považuji za samozřejmé, že OÚ budou získávány zákonným způsobem podle čl. 6 GDPR a v rozsahu podle GDPR. V tom problém nevidím. Zatím jsem nenarazil na OÚ, který jako člen výboru potřebuji a ke kterému bych potřeboval souhlas subjektu údajů, až na kamerové systémy.
Lišíme se pouze v názoru na vedení záznamů o činnosti zpracování u kamerových systémů.
U kamerových systému předpokládám, že okruh příjemců OÚ bude omezen pouze na orgány činné v trestním řízení a na pojišťovnu. Pokud by tedy došlo k předání OÚ z kamerového systému těmto institucím, tak by bylo vhodné si nechat potvrdit od těchto příjemců převzetí OÚ. Ale nikoliv podle čl. 30 GDPR, ale je to běžný postup při nahlášení škodní události nebo trestného činu. Protože nikdo jiný by podle mého názoru neměl být příjemcem OÚ z kamerového systému, tak i nadále nevidím důvod vést knihu o tom, kdo si záznam přehrál.
Hezký den!
Pavel
Poslední komentáře