Určitě už jste slyšeli o „povinnosti vést Záznamy o činnostech zpracování“. Jedná se o povinnost správce vést záznamy, které obsahují podstatné informace o zpracování osobních údajů v konkrétním podniku. Pro mnoho klientů je však stále tato povinnost opředena nejasnostmi. Tou hlavní a nejdůležitější nejasností se bude zabývat i tento článek – kdo všechno vůbec má povinnost vést tyto záznamy?
Je pochopitelné, že každý subjekt zpracovávající osobní údaje si chce administrativu s touto činností spojenou snížit na minimum; čím méně „papírů“, tím lépe. Povinnost vést ještě „nějaké záznamy“ se proto u mnoha subjektů setkává s rozpaky. Nechuť k další administrativě stoupá, když si subjekt uvědomí, že z povinnosti vést „Záznamy“ existují dle ust. čl. 30 Nařízení Evropského Parlamentu a Rady (EU) 2016/679 (dále jen „Nařízení“ nebo „GDPR“) výjimky.
Smutnou zprávou ovšem v tomto případě je, že zmíněné výjimky platí jen pro opravdu úzký soubor správců osobních údajů. Pod tuto výjimku se „vejdou“ prakticky jen ty podniky (příp. spolky), které zpracovávají osobní údaje pouze příležitostně. Co je nebo není příležitostné zpracování Nařízení nestanovuje. Lze se proto domnívat, že by se mohlo jednat pouze o takové zpracování, které je výjimečné, nepředvídané a nesouvisí přímo s pravidelnou (podnikatelskou) činností správce nebo zpracovatele. O příležitostné zpracování se tak jedná například v případě čistírny oblečení, která za normálních okolností nezpracovává osobní údaje (vydává pouze lístek s individuálním kódem čištěného oblečení), ale při nestandardní a výjimečné zakázce je nutné místo kódu použít k identifikaci jméno, příjmení, telefonní číslo a adresu. V takovém případě čistírna nemusí vést záznamy o činnostech zpracování.
Souhlasně hovoří i odborné texty: „Výjimka z povinnosti vést záznamy o činnostech zpracování osobních údajů existuje teoreticky pro podniky a instituce zaměstnávající méně než 250 pracovníků. V praxi to však nemá téměř žádný význam, jelikož tato výjimka platí jen v případě, že ke zpracování údajů dochází jen příležitostně a že nejsou zpracovávány žádné zvláštní kategorie údajů, jako jsou např. údaje o zdraví a o náboženství. Na každý podnik provádějící pro své zaměstnance zúčtování mezd, včetně zpracování údajů o zdravotním stavu za účelem stanovení nemocenské dovolené, nebo na spolek průběžně spravující informace o svých členech, se tato výjimka již nevztahuje. Takovýto podnik, resp. spolek nezpracovává údaje již pouze příležitostně. Bez ohledu na to by měli správci vynaložit spíše menší úsilí na odůvodnění výjimky z této povinnosti, a v případě pochybností raději sestavit záznamy o činnostech zpracování osobních údajů. Každému správci pomůže získat nebo si udržet přehled o tom, jak jsou ve vlastním podniku nebo spolku zpracovávány osobní údaje. To, že tento seznam může být dále velmi užitečný pro plnění dalších právně závazných povinností, je popsáno v dalším textu.“1.
Závěrem je tak možné říci, že povinnost vést Záznamy o činnostech zpracování má (téměř) každý správce osobních údajů. Výjimky z této povinnosti je možné využít jen u velmi úzkého okruhu správců. Lepší, než se snažit „vtěsnat“ do některé z výjimek, je tak začít vést samotné Záznamy o činnostech zpracování, které mohou velmi zjednodušit činnost zpracování osobních údajů v rámci organizace.
1. GDPR v kostce. 1.vydání. Praha: Nakladatelství C. H. Beck, 2018, 978-80-7400-704-0.
Pokud si nevíte s problematikou GDPR rady, neváhejte se obrátit na naši obchodní společnost.