Záznamy o činnostech zpracování

Obecné nařízení o ochraně osobních údajů v čl. 30 stanovuje povinnost správce osobních údajů vést záznamy o činnostech zpracování osobních údajů. Čl. 30 vymezuje i kategorie, které je třeba v těchto záznamech o činnostech zpracování specifikovat. Řídicí orgán OPZ pro vymezené kategorie případů vyhotovil tyto záznamy o činnostech zpracování:

• Zpracování osobních údajů účastníků projektů (tj. podpořených osob)
• Zpracování osobních údajů osob, které jsou uvedené v datech projektu obsažených v MS2014+
• Zpracování osobních údajů hodnotitelů žádostí o podporu a dalších osob, které se přihlásily jako zájemci o zařazení do databáze hodnotitelů OPZ
• Zpracování osobních údajů kontaktních osob zadavatelů zakázek, které jsou spolufinancovány z projektů OPZ
• Zpracování osobních údajů kontaktních osob pro akce realizované v rámci projektů podpořených z OPZ
• Zpracování osobních údajů osob jednajících za realizátory projektů podpořených z OPZ ve věci licenčních či podlicenčních smluv v rámci Databáze produktů
• Zpracování osobních údajů registrovaných uživatelů portálu OPZ a účastníků akcí Řídicího orgánu OPZ

Pro zpracovatele osobních údajů v OPZ (kterými jsou příjemci podpory z OPZ a mohou jimi být i jejich partneři či dodavatelé, pokud pro projekt zpracovávají osobní údaje) platí také povinnost dle čl. 30 Obecného nařízení o ochraně osobních údajů, ovšem s následující výjimkou: Povinnost mít k dispozici záznam o činnostech zpracování neplatí pro podnik nebo organizaci zaměstnávající méně než 250 osob. (Obecné nařízení o ochraně osobních údajů obsahuje širší vymezení výjimky, nicméně parametry z tohoto širšího vymezení nejsou v případě sběru osobních údajů podpořených osob v rozsahu dle pravidel OPZ relevantní.)

Záznamy o všech kategoriích činností zpracování osobních údajů prováděných pro správce musí obsahovat minimálně:

• jméno a kontaktní údaje zpracovatele nebo zpracovatelů a správce, pro něhož zpracovatel jedná, a pověřence pro ochranu osobních údajů určeného správcem;
• kategorie zpracování prováděného pro správce;
• informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace;
• je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1 Obecného nařízení o ochraně osobních údajů.

Záznam o činnostech zpracování se vyhotovuje písemně, v to počítaje i elektronickou formu. Pro jeho vyhotovení v kontextu OPZ lze využít formulář Záznam o činnostech zpracování.