Záznam o činnostech zpracování (GDPR)

Formulář Záznam o činnostech zpracování osobních údajů je povinným dokumentem podle čl. 30 nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR). Týká se všech správců a zpracovatelů osobních údajů, kteří systematicky zpracovávají osobní údaje a zaměstnávají více než 250 osob, nebo jejich zpracování není pouze příležitostné. Cílem formuláře je doložit odpovědný přístup k ochraně osobních údajů a schopnost doložit plnění zásad zpracování podle GDPR. Vyplnění záznamu je zásadní zejména pro auditní účely a při kontrole ze strany dozorového orgánu.

Formulář vyplňuje správce osobních údajů, případně jeho zástupce, zpracovatel nebo pověřenec pro ochranu osobních údajů. Využívá se i v případě společného správcovství. Údaje uvedené ve formuláři zahrnují zejména identifikaci správce a zpracovatelů, účel zpracování, kategorie subjektů údajů, typy osobních údajů, dobu zpracování a plán výmazu, okruh příjemců, a rovněž popis technických a organizačních opatření v oblasti zabezpečení údajů.

Na formuláři je důležité uvést datum poslední aktualizace, odpovědnou osobu a podpis, což garantuje aktuálnost údajů. Neexistuje centrálně daný termín pro odevzdání – povinnost spočívá v tom, že záznam musí být veden průběžně a být dostupný při kontrole. Při vyplňování je třeba dbát na přesnost a aktualizaci údajů, jelikož nedostatečné nebo zastaralé záznamy mohou vést ke sankcím ze strany Úřadu pro ochranu osobních údajů.