Záznam o spracovateľských činnostiach prevádzkovateľa alebo zástupcu prevádzkovateľa - GDPR

Úrad na ochranu osobných údajov SR podľa § 37 ods. 6 zákona č. 18/2018 Z. z. o ochrane osobných údajov je povinný zverejniť vzor Záznamov o spracovateľských činnostiach. Tento vzor je len pre informáciu čo všetko má Záznam obsahovať a prevádzkovateľ má možnosť si ho vytvoriť podľa seba so všetkými zákonnými náležitosťami. Úrad tiež zverejnil návody alebo postupy ako tieto vzory vyplniť.

Autori: Úrad na ochranu osobných údajov Slovenskej republiky
Právny stav od: 25. 5. 2018
Dátum publikácie: 14. 5. 2018
Prameň: Práca, mzdy a odmeňovanie / PaM - 2018 / PaM - 6/2018
Oblasti práva: Správne právo / Informácie, informačný systém / Ochrana údajov / GDPR


Každý prevádzkovateľ alebo zástupca prevádzkovateľa (ak takého má prevádzkovateľ povereného) má povinnosť viesť záznam o spracovateľskej činnosti (ďalej len „záznam“) a to buď v papierovej alebo elektronickej podobe, ktorý nemá povinnosť nikam zasielať a ponecháva si ho u seba.

Úradom zverejnený záznam je len vzorom a prevádzkovateľ alebo zástupca prevádzkovateľa má možnosť si ho upraviť podľa seba, no musí obsahovať všetky zákonné náležitosti, ktoré sú upravené v § 37 ods. 1 zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „zákon“), príp. podľa čl. 30 ods. 1 Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „nariadenie“).

Na požiadanie úradu je prevádzkovateľ alebo zástupca prevádzkovateľa povinný sprístupniť záznam úradu.

Výnimky z povinnosti viesť záznam podľa § 37 ods. 5 zákona, resp. podľa čl. 30 ods. 5 nariadenia:

Pre výnimku z povinnosti viesť záznamy platí iba situácia č. 1. V ostatných situáciách sú uvedené možnosti ako má prevádzkovateľ alebo zástupca prevádzkovateľa postupovať, keď nastane niektorá z kombinácii.

Dávame do pozornosti, že pracovaná skupina WP29, ktorá vyjadrila svoj názor na to, ako prihliadať na výnimku viesť záznamy tiež uviedla, že prevádzkovateľ alebo zástupca prevádzkovateľa nemusí viesť záznamy len na tie spracovateľské operácie, na ktoré sa samotná výnimka vzťahuje. Teda ak má 10 spracovateľských operácií a na 2 sa vzťahuje výnimka, tak pri ostatných 8 musí viesť záznamy o spracovateľských činnostiach. (Working Party 29 Position Paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR, https://www.dataprotection.gov.sk/uoou/sk/content/position-paper-derogations-obligationmaintain-records-processing-activities-pursuant)

Situácia č. 1:
Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a

- pokiaľ nie je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva povedie k riziku pre práva a slobody dotknutej osoby a
- spracúvanie osobných údajov je príležitostné a
- spracúvanie nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 zákona, príp. čl. 9 ods. 1 nariadenia (napr. biometrický údaj, údaj o zdraví a pod.) alebo nezahŕňa osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 zákona, príp. čl. 10 nariadenia, tak


= prevádzkovateľ alebo zástupca prevádzkovateľa nie je povinný viesť záznamy pre konkrétnu spracovateľskú činnosť, na ktorú sa vzťahuje táto výnimka.

Situácia č. 2:

Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva povedie k riziku pre práva a slobody dotknutej osoby, prevádzkovateľ alebo zástupca prevádzkovateľa je povinný viesť záznamy o spracovateľských činnostiach.

Situácia č. 3:

Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a spracúvanie nie je príležitostné, prevádzkovateľ alebo zástupca prevádzkovateľa je povinný viesť záznamy o spracovateľských činnostiach.

Situácia č. 4:
Ak podnik alebo organizácia zamestnáva menej ako 250 osôb a spracúvanie zahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 zákona, príp. čl. 9 ods. 1 nariadenia (napr. biometrický údaj, údaj o zdraví a pod.) alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 zákona, príp. čl. 10 nariadenia, prevádzkovateľ alebo zástupca prevádzkovateľa je povinný viesť záznamy o spracovateľských činnostiach.

Záznamy o spracovateľských činnostiach nahrádzajú oznámenia informačných systémov, žiadosti o osobitnú registráciu informačných systémov a evidenčné listy informačných systémov.
Oproti súčasnej právnej úprave obsiahnutej v zákone č. 122/2013 Z. z. o ochrane osobných údajov v znení neskorších predpisov nie je táto povinnosť naviazaná na informačný systém, ale na účel spracúvania.
Prevádzkovateľ alebo zástupca prevádzkovateľa je zodpovedný za to, aby všetky údaje uvedené v zázname boli aktuálne. Napríklad, ak sa zmenila zodpovedná osoba, prevádzkovateľ je povinný tento údaj v zázname ku dňu zmeny aktualizovať.

Vypĺňanie vzoru záznamu o spracovateľských činnostiach prevádzkovateľa alebo zástupcu prevádzkovateľa

 

Prevádzkovateľ alebo zástupca prevádzkovateľa si môže vypracovať vlastný záznam alebo použiť vzor zverejnený úradom. Úradom zverejnený vzor obsahuje všetky povinné náležitosti vyžadované zákonom, príp. nariadením. Ak bude mať prevádzkovateľ alebo zástupca prevádzkovateľa správne a úplne vypísaný tento vzor bude napĺňať zákon. Samozrejme nie je vylúčené, aby si prevádzkovateľ alebo zástupca prevádzkovateľa v prípade potreby pridal vlastné polia, napr. poznámka a podobne.

1. Podľa § 37 ods. 1 písm. a) zákona, čl. 30 ods. 1 písm. a) nariadenia:

Prevádzkovateľ alebo zástupca prevádzkovateľa vypíše o sebe identifikačné údaje a kontaktné údaje (obchodné meno/meno a priezvisko, IČO, adresa sídla/trvalého bydliska, telefonický kontakt, mailová adresa), ak nimi disponuje (napr. prevádzkovateľ nemusí mať zriadenú mailovú schránku). Údaje o spoločnom prevádzkovateľovi, zástupcovi prevádzkovateľa a zodpovednej osobe sa vypíšu v prípade, ak boli poverení alebo zodpovedná osoba určená. Pri zodpovednej osobe, ktorá môže byť fyzickou alebo právnickou osobou sa vypíšu všetky identifikačné a kontaktné údaje, ktoré má prevádzkovateľ alebo zástupca prevádzkovateľa k dispozícií. Ak ide o zodpovednú osobu, ktorá je zároveň zamestnancom prevádzkovateľa/zástupcu prevádzkovateľa, nie je potrebné vypĺňať adresu. Ak ide o externú zodpovednú osobu uvedie sa adresa jej sídla alebo trvalého bydliska.

2. Podľa § 37 ods. 1 písm. b) zákona, čl. 30 ods. 1 písm. b) nariadenia:

Účelom spracúvania osobných údajov (§ 7 zákona, čl. 5 ods. 1 písm. b) nariadenia) sa rozumie konkrétne vymedzený alebo ustanovený zámer, na základe ktorého bude prevádzkovateľ spracúvať osobné údaje viažuce sa na jeho činnosť. Tento účel by si mal prevádzkovateľ stanoviť vopred, jednoznačne a mal by byť oprávnený. Napr. spracúvanie osobných údajov zamestnanca na účel plnenia povinností zamestnávateľa súvisiacich s pracovným pomerom. Každý účel spracúvania musí byť v zázname vymedzený samostatne a ku každému musia byť vyplnené všetky povinné náležitosti. Koľko účelov má prevádzkovateľ, toľko „riadkov“ musí záznam obsahovať.

3. Podľa § 37 ods. 1 písm. c) zákona, čl. 30 ods. 1 písm. c) nariadenia:

Opis kategórií dotknutých osôb je taký okruh osôb, ktorých osobné údaje sa budú spracúvať. V prípade príkladu na zamestnancoch bude takouto kategóriou práve zamestnanec, manžel/manželka zamestnanca, deti zamestnanca a pod. Pri kategórii osobných údajov sú tieto možnosti: bežné osobné údaje (§ 2 zákona, čl. 4 bod 1 nariadenia), osobitná kategória osobných údajov (§ 16 zákona, čl. 9 nariadenia) a/alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku (§ 17 zákona, čl. 10 nariadenia). Prevádzkovateľ/zástupca prevádzkovateľa musí uviesť kategóriu, ale nie je vylúčené, aby uviedol menný zoznam všetkých osobných údajov, ktoré spracúva. Je to možnosť, nie povinnosť.

4. Podľa § 37 ods. 1 písm. d) zákona, čl. 30ods. 1 písm. d) nariadenia:

Ďalšou povinnou náležitosťou je kategória príjemcov. Príjemcom sa podľa § 5 písm. q) zákona (čl. 4 bod 9 nariadenia) rozumie každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou. Ak prevádzkovateľ vie určiť príjemcu uvedie sa do záznamu konkrétny príjemca, napríklad sociálna poisťovňa, zdravotná poisťovňa v prípade zamestnanca a platenia odvodov za neho. Ak by prevádzkovateľ nevedel určiť príjemcu, uvedie sa kategória, okruh príjemcov, napr. súdy, orgány verejnej moci atď. Príjemcom je aj sprostredkovateľ prevádzkovateľa. Takýto príjemca sa môže nachádzať aj v tretej krajine, napr. Turecko, Izrael, USA alebo je treťou stranou medzinárodná organizácia (napr. Medzinárodná organizácia práce, Medzinárodná námorná organizácia alebo Svetová zdravotnícka organizácia).

5. Podľa § 37 ods. 1 písm. e) zákona, čl. 30 ods. 1 písm. e) nariadenia:

V prípade, ak prevádzkovateľ zamýšľa prenos osobných údajov aj do tretích krajín alebo medzinárodných organizácií je povinný vypísať kolónku s touto zákonnou náležitosťou, kam budú údaje prenášané. Je potrebné disponovať dokumentáciou o primeraných zárukách, ktoré tento prenos budú zabezpečovať. Zoznam členských štátov EÚ/EHP a krajín zaručujúcich primeranú úroveň ochrany prikladáme v priamom linku na webové sídlo úradu. V zákone sú tomu venované § 47 – 51 zákona, čl. 44 – 50 nariadenia.

6. Podľa § 37 ods. 1 písm. f) zákona, čl. 30 ods. 1 písm. f) nariadenia:

Na každú kategóriu osobných údajov je potrebné určiť lehotu, po ktorej majú byť osobné údaje vymazané. Túto lehotu môže stanoviť osobitný právny predpis, napr. zákon o archívoch a registratúrach, prípadne si ju určí prevádzkovateľ sám s ohľadom na zásadu minimalizácie uchovávania osobných údajov (§ 10 zákona, čl. 5 ods. 1 písm. e) nariadenia).

7. Podľa § 37 ods. 1 písm. g) zákona, čl. 30 ods. 1 písm. g) nariadenia:

Do záznamu o spracovateľských činnostiach je potrebné uviesť aké technické a organizačné bezpečnostné opatrenia prijal prevádzkovateľ, aby zabezpečil, že spracúvanie osobných údajov bude bezpečné, chránené a urobil všetko preto, aby nemohli byť zneužité. Je potrebné vychádzať z § 39 zákona, resp. z čl. 32 nariadenia, ktorý stanovuje najmä tieto opatrenia: pseudonymizácia a šifrovanie osobných údajov, zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov, proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu, proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov. Inými slovami môže ísť pri technických bezpečnostných opatreniach o zabezpečenie počítača antivírusom, zaheslovanie, v prípade listinnej podoby dokumentu, ktorý obsahuje osobné údaje to môže byť uzamykateľná skriňa, trezor, archív s kódom. Pri organizačných opatreniach je to ľudský faktor, ktorý zabezpečí bezpečnosť spracúvania osobných údajov dotknutých osôb, napr. určená zodpovedná osoba, poučená oprávnená osoba. V prípade vypracovanej dokumentácie bezpečnosti osobných údajov je možné uviesť odkaz na takýto dokument.

8. Podľa § 13 zákona, čl. 6 nariadenia:

Vo vzore záznamu o spracovateľských činnostiach prevádzkovateľa alebo zástupcu prevádzkovateľa je vložená fakultatívna náležitosť „právny základ spracovateľskej činnosti“, ktorý je upravený v § 13 zákona, príp. v čl. 6 nariadenia. Nie je to obligatórna náležitosť záznamu o spracovateľských činnostiach, ale vzhľadom na skutočnosť, že na právny základ sa viaže účel spracúvania osobných údajov a v prípade kontroly je prevádzkovateľ/zástupca prevádzkovateľa i tak povinný uviesť právny základ spracúvania, Úrad vidí v tejto náležitosti opodstatnenie. Povinnosť vyplniť záznam sa vzťahuje aj na každého spoločného prevádzkovateľa ako aj zástupcu prevádzkovateľa a môže sa riadiť týmto návodom na vyplnenie.

 

 

Poznámka redakcie:

čl. 6 a čl 30 Nariadenia (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov

 § 13, § 37 z. č. 18/2018 Z. z.  

Autor: Úrad na ochranu osobných údajov Slovenskej republiky

Prílohy

Súvisiace odborné články

Súvisiace dôvodové správy

Súvisiace príklady z praxe

Súvisiace vzory zmlúv a právnych podaní

Súvisiace právne predpisy ZZ SR


S-EPI, s.r.o. © 2010-2019, všetky práva vyhradené