Záznamy o činnostech zpracování

Obecné nařízení o ochraně osobních údajů v čl. 30 stanovuje povinnost správce osobních údajů vést záznamy o činnostech zpracování osobních údajů. Čl. 30 vymezuje i kategorie, které je třeba v těchto záznamech o činnostech zpracování specifikovat. Řídicí orgán OPZ+ pro vymezené kategorie případů vyhotovil tyto záznamy o činnostech zpracování:

Pro zpracovatele osobních údajů v OPZ+ (kterými jsou příjemci podpory z OPZ+ a mohou jimi být i jejich partneři,  dodavatelé nebo jiné subjekty čerpající finanční podporu z OPZ+, kterou jim přerozděluje příjemce, pokud pro projekt zpracovávají osobní údaje) platí také povinnost dle
čl. 30 Obecného nařízení o ochraně osobních údajů, ovšem s následující výjimkou: Povinnost mít k dispozici záznam o činnostech zpracování neplatí pro podnik nebo organizaci zaměstnávající méně než 250 osob. (Obecné nařízení o ochraně osobních údajů obsahuje širší vymezení výjimky, nicméně parametry z tohoto širšího vymezení nejsou v případě sběru osobních údajů podpořených osob v rozsahu dle pravidel OPZ+ relevantní.)

Záznamy o všech kategoriích činností zpracování osobních údajů prováděných pro správce musí obsahovat minimálně:

  • jméno a kontaktní údaje zpracovatele nebo zpracovatelů a správce, pro něhož zpracovatel jedná, a pověřence pro ochranu osobních údajů určeného správcem;
  • kategorie zpracování prováděného pro správce;
  • informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace;
  • je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1 Obecného nařízení o ochraně osobních údajů.

Záznam o činnostech zpracování se vyhotovuje písemně, v to počítaje i elektronickou formu. Pro jeho vyhotovení v kontextu OPZ+ lze využít formulář Záznam o činnostech zpracování.