Tyto záznamy představují náhradu za oznamovací povinnost, která byla GDPR zrušena.
Záznamy by měly obsahovat:
- název a kontaktní údaje správce/právnické osoby
- důvod zpracování údajů
- popis kategorií subjektů údajů a osobních údajů
- kategorie organizací, které údaje obdrží
- přenos údajů do jiné země či organizace
- lhůtu pro odstranění údajů
- popis bezpečnostních opatření uplatňovaných při zpracovávání
Pokud by správce nemohl vést záznam o činnostech zpracování sám, může je přenést na zpracovatele. GDPR umožňuje výjimky z povinnosti vést záznamy o činnostech zpracování pro firmy s méně než 250 zaměstnanci, ale i přesto malá firma může zpracovávat velké množství osobních dat a provádět vysoce rizikové zpracování, kde hrozí únik či možné zneužití dat.
Tedy výjimka se bude týkat pouze malých firem, a to pouze v takovém případě, kdy bude docházet ke zpracování osobních údajů takovým způsobem, které není možné považovat za riziková a nebudou závažným způsobem zasahovat do práv a svobod fyzických osob.
Kdo nemusí vést záznamy?
Záznamy o činnostech zpracování nemusí vést podnik nebo organizace zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících rozsudků v trestních věcech.
MSP musejí záznamy uchovávat, jen pokud zpracování údajů:
- probíhá pravidelně
- ohrožuje práva a svobody osob
- nakládá s citlivými údaji či trestními záznamy