GDPR co jsou záznamy o činnostech zpracování dle čl. 30
GDPR – 3. díl: Vedení záznamů o činnostech zpracování osobních údajů Autor: Mgr. et. Mgr. Petr Mališ | Vloženo: 22. 11. 2017 12:16 | Přečteno: 2625X
Obecné Nařízení Evropského Parlamentu a Rady č. 2016/679 – obecné nařízení o ochraně osobních údajů (dále „Nařízení”), obecně známé jako „GDPR“ a účinné od května 2018, vychází z obdobných principů, na jakých je postavena předchozí právní úprava Směrnice č. 95/46/ES o ochraně osobních údajů, promítnutá do aktuálně účinného zákona č. 101/2000 Sb., o ochraně osobních údajů (dále jen „ZOOU“). Mnoho práv a povinností správců osobních údajů však podrobněji rozvádí, případně je zasazuje do nových souvislostí. Jednou z těchto povinností je vedení dokumentace ke zpracování osobních údajů, nazvaná v čl. 30 Nařízení jako vedení „záznamů o činnostech zpracování“.
Dokumentace dle ZOOU
Co se týče průběžného vedení jakékoli dokumentace týkající se zpracování osobních údajů, stanoví ZOOU správcům výslovně povinnost dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy (§ 13 odst. 2 ZOOU). Tato povinnost se tedy vztahuje pouze k zabezpečení zpracovávaných osobních údajů, které se (obdobně s Nařízením) realizuje prostřednictvím opatření technické a organizační povahy.
Opatření technické povahy zahrnují mj. fyzickou bezpečnost datových nosičů a prostor, v nichž ke zpracování dochází, zavedení elektronických prostředků ochrany jako management hesel, anti-malware ochrana nebo zavedení logů ke zpětnému zjištění přístupu k údajům ze strany jednotlivých osob. Opatření organizační povahy zahrnují zavedení účinného managementu přístupových práv jednotlivých uživatelů systému, klasifikace uživatelů (zaměstnanců) podle míry potřeby jejich přístupu k údajům, nebo nastavení interní hierarchie za účelem kontroly zpracování a účinných postupů v případě porušení zabezpečení údajů. Tato opatření by tedy měla být zachycena formou písemného či elektronického dokumentu, případně formou vícero samostatných dokumentů tak, aby je byl správce schopen v případě potřeby prokázat (zejména v případě kontroly). Nejedná se však o komplexní dokumentaci jednotlivých aspektů zpracování, tedy včetně těch, které se přímo netýkají zabezpečení osobních údajů.
Účel vedení záznamů o činnostech zpracování
Nařízení jde v otázce vedení dokumentace správcem dále, když stanoví povinnost vedení tzv. záznamů o činnostech zpracování (čl. 30). V bodě 82 Recitálu Nařízení (který není právně závazným textem, ale přesto je důležitým interpretačním vodítkem pro výklad a aplikaci samotného textu Nařízení) se uvádí: „Aby správce nebo zpracovatel doložil soulad s tímto nařízením, měl by vést záznamy o činnostech zpracování, za které odpovídá. Každý správce a zpracovatel by měl být povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.“ Z tohoto uvozujícího textu lze vyvodit tři důležité závěry k porozumění účelu záznamů o činnostech zpracování:
- Záznamy slouží k doložení souladu činností správce nebo zpracovatele s Nařízením. Jedná se tudíž o klíčový projev aplikace zásady odpovědnosti, stanovené čl. 5 odst. 2 Nařízení, která je tou nejobecnější zásadou, mající dopad na všechny povinnosti správce či zpracovatele. Tato zásada zastřešuje všechny ostatní základní zásady zpracování osobních údajů, formulované čl. 5 odst. 1 Nařízení (jako je např. zásada účelového omezení zpracování osobních údajů, zásada zákonnosti, transparentnosti a korektnosti nebo zásada přesnosti) s tím, že správce osobních údajů odpovídá za dodržení těchto zásad a musí být schopen soulad s těmito zásadami doložit. Tuto zásadu si tak lze představit jako „maximum možného“ – každý správce by si měl důkladně analyzovat jednotlivé aspekty zpracování a rizika s nimi spojená, pro naplnění každé ze zásad udělat maximum, přičemž musí být kdykoli schopen provedení tohoto maxima prokázat. Nevedení záznamů o činnostech zpracování v případech, kdy je správce nebo zpracovatel vést má (výjimky z této povinnosti viz níže) tak bude nepochybně považováno za známku porušení zásady odpovědnosti.
- Povinnost vedení záznamů o činnostech zpracování dopadá jak na správce, tak i na zpracovatele osobních údajů. Je to celkový projev vyššího důrazu na povinnosti zpracovatele osobních údajů, které Nařízení zavádí a které tak zpracovatele staví v mnoha případech naroveň správci. Může tak docházet k situaci, kdy na zpracovatele budou dopadat povinnosti, které však zároveň nedopadají na správce, neboť tento nesplňuje potřebná kritéria. Proto i zpracovatelé musí analyzovat, zda na ně povinnost vedení záznamů dopadá, a implementovat tuto povinnost do své praxe, což se zajisté významně dotkne mimo jiné poskytovatelů cloudových a telekomunikačních služeb.
- Záznamy musí být možno zpřístupnit dozorovému úřadu za účelem umožnění monitoringu zpracování osobních údajů. Jsou tedy důležitou dokumentací, která může determinovat další postup dozorového orgánu v rámci kontroly. Je pochopitelné, že za tímto účelem musí být záznamy vedeny ve formě, která je zachytitelná a v případě kontroly snadno předložitelná. Každý systém umožňující vedení záznamů o činnostech zpracování by měl umožňovat jejich export do standardních formátů, samozřejmě bez jakékoli nadměrné zátěže pro systém správce či zpracovatele. Nařízení v čl. 30 odst. 3 výslovně stanoví, že záznamy je nutno vést písemně, počítaje v to i elektronickou formu (prozatím tedy nic nenasvědčuje tomu, že by tato povinnost neměla být splněna např. vedením tabulkového dokumentu např. v aplikaci MS Excel).
Obsah záznamů o činnostech zpracování
Podíváme-li se na výčet informací, které mají tvořit obsah záznamů o činnostech zpracování, nalezneme zde údaje jako:
jméno a kontaktní údaje správce;
účel pracování;
popis kategorií subjektů údajů a kategorií osobních údajů;
kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci;
je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
je-li to možné, obecný popis technických a organizačních bezpečnostních opatření.
Upozorňujeme, že kompletní výčet informací tvořících obsah záznamů je uveden v čl. 30 odst. 1 (pro správce), resp. v čl. 30 odst. 2 (pro zpracovatele), přičemž je pojat jako výčet vyčerpávající, nikoliv pouze demonstrativní.
Každému, kdo někdy prováděl oznámení o zpracování osobních údajů ve smyslu § 16 ZOOU, tedy registraci jakožto správce osobních údajů na stránkách Úřadu pro ochranu osobních údajů, jistě nebude výše uvedený výčet neznámý. Obsah záznamů o činnostech zpracování se skutečně do velké míry překrývá s obsahem informací, poskytovaných dozorovému úřadu v rámci ohlášení zpracování osobních údajů, které je prozatím povinen každý správce provádět na základě § 16 ZOOU. Nařízení upouští od všeobecné ohlašovací povinnosti správce, a nahrazuje ji vlastní odpovědností správce za dodržování jednotlivých zásad zpracování a konkrétních povinností (viz výše uvedená zásada odpovědnosti) a přísnou ohlašovací povinností v případě zjištění jakéhokoli porušení zabezpečení osobních údajů, a to jak vůči dozorovému úřadu, tak i vůči samotným subjektům údajů.
To znamená, že stejně jako doposud musí správce (nově však i zpracovatel) sám provést analýzu zpracování jednotlivých aspektů osobních údajů, její výsledky však neposkytne dozorovému úřadu v rámci plnění ohlašovací povinnosti, ale promítne je do záznamů o činnostech zpracování osobních údajů.
Zjednodušeně řečeno, měly by informace, zpracovávané v rámci záznamů o činnostech zpracování, zodpovědět na následující otázky:
Kdo? Tedy kdo je správcem, případně zpracovatelem údajů, zda existuje společný správce (jedna z novinek zavedených Nařízením), zda má správce či zpracovatel pověřence pro ochranu osobních údajů (tzv. „DPO“).
Proč? Tedy za jakým účelem dochází ke zpracování údajů. Vymezení účelu je vhodné věnovat náležitou pozornost, protože má zásadní vliv na mnoho dalších aspektů a povinností (zejm. na odlišení jednotlivých činností zpracování, na dosah a použitelnost souhlasu uděleného ze strany subjektů údajů apod.).
Co? Tím se rozumí popis jednotlivých kategorií zpracovávaných osobních údajů i subjektů (tedy fyzických osob), jichž se tyto osobní údaje týkají.
Kde? Je nutno náležitě lokalizovat samotné procesy zpracování osobních údajů (tedy stanovit, kde k němu reálně dochází) a lokalizovat rovněž jejich příjemce (primárně z hlediska jejich umístění v rámci nebo vně EHP).
Jak dlouho, do kdy? Je nutno stanovit, jak dlouhá má být doba zpracování ve vztahu ke každému konkrétnímu účelu, to vše především s přihlédnutím k zásadě minimalizace údajů, podle níž má být zpracování přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou údaje zpracovávány.
Jak? Tedy jak je zajištěna bezpečnost zpracovávaných údajů s ohledem na výše zmíněná technická a organizační opatření ochrany osobních údajů.
I přestože je výše uvedený výčet informací koncipován jako úplný (v čl. 30 odst. 1 je uvozen spojením „Tyto záznamy obsahují všechny tyto informace…“), lze doporučit, aby v něm správce nad tento rámec vedl rovněž alespoň údaje o právním základu zpracování ve vztahu ke každému konkrétnímu účelu, o případných identifikovaných porušeních zabezpečení údajů, případě další informace.
Kteří správci nemusí vést záznamy o činnostech zpracování?
Nařízení stanoví povinnost vedení záznamů o činnostech zpracování jako obecnou povinnost pro všechny správce a zpracovatele. Z této povinnosti v čl. 30 odst. 5 stanoví jednu poněkud nešťastně formulovanou výjimku – povinnost vedení záznamů o činnostech zpracování nedopadá na správce nebo zpracovatele který je podnikem či organizací, zaměstnávající méně než 250 osob. Takto rozsáhlá výjimka by pochopitelně stavěla vedení záznamů o činnostech zpracování do zcela odlišného světla, kdy by z této povinnosti činila záležitost týkající se pouze velkých korporací. Bohužel však uvedené ustanovení pokračuje výčtem několika „výjimek z výjimky“, tedy případů, kdy se výše uvedené kritérium počtu zaměstnávaných osob neuplatní, a kdy musí záznamy o činnostech zpracování vést i menší organizace bez ohledu na počet zaměstnanců. Záznamy tedy bez ohledu na počet zaměstnanců musí vést správce nebo zpracovatel:
- pokud zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů;
- provádějící zpracování které není příležitostné, nebo;
- provádí zpracování které zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 Nařízení nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Právě výjimka týkající se „příležitostného zpracování“ dle našeho názoru činí kritérium 250 zaměstnanců prakticky neaplikovatelným, když u většiny organizací nalezneme minimálně jedno, většinou však několik zpracování osobních údajů, které není příležitostné – typicky zpracování v rámci vedení personální agendy. Vedle této výjimky pak ostatní dva případy pozbývají důležitost. Případ, kdy by se výjimka týkající se příležitostného zpracování skutečně nemusela uplatnit, si lze představit zejména u zpracovatelů, pověřených správcem osobních údajů zpracováním probíhajícím na velice příležitostné a nárazové bázi. U správců si však obdobnou situaci lze představit jen stěží. V každém případě lze doporučit, aby jakýkoli správce či zpracovatel, který dojde k závěru, že podle výše uvedených kritérií záznamy o činnostech zpracování vést nemusí, měl tento závěr podložen dostatečně detailní interní analýzou, kterou by byl schopen v případě kontroly předložit dozorovému úřadu a rovněž ji obhájit.
Závěr
V této souvislosti je nutno uvést, že porušení povinnosti vést záznamy o činnostech zpracování je Nařízením výslovně sankcionováno, když spadá do „nižšího“ pásma pokut, pro něž je stanoven strop 10 miliónů EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. Ačkoli obvyklá výše ukládaných pokut bude v praxi nepochybně řádově nižší (čl. 83 odst. 2 Nařízení stanoví poměrně detailní rozpis kritérií, k nimž musí dozorový orgán přihlédnout při stanovení výše pokuty), bude nevedení záznamů o činnostech zpracování porušením velice snadno zjistitelným, a tudíž i snadno sankcionovatelným.
Tento článek vyšel v časopise IT Systems č. 10/2017 v rámci seriálu „GDPR od A do Z“.
Mgr. et Mgr. Petr Mališ, advokát | malis@lawyer.cz
Autor je společníkem v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami a internetovým právem.
Převzato z:
http://www.pravoit.cz/…obnich-udaju
_____________________________________________________________________________
Protože je obsah záznamů o činnostech zpracování uveden jako úplný a nikoliv jako demonstrativní, tak není nutné zaznamenávat kdo, kdy a jak s OÚ nakládal.
Hezký den!
Poslední komentáře