Ing. Ľubomír Janoška
22.09.17,10:15
Nariadenie GDPR definuje niekoľko typov štandardných dokumentov. Prvým z nich sú Záznamy o spracovateľských činnostiach. Patria k tým dokumentom, ktoré musí mať vypracované každý prevádzkovateľ.
Záznamy o spracovateľských činnostiach, napriek svojmu názvu, neobsahujú informácie o jednotlivých činnostiach spracúvania údajov konkrétnych osôb, ale o procesoch spracúvania osobných údajov.
Je to dokument, ktorý má veľa spoločného s doterajšou evidenciou informačných systémov a je výhodné z tejto evidencie vychádzať. Záznamy o spracovateľských činnostiach sa ale vedú pre všetky informačné systémy (procesy spracúvania osobných údajov) bez výnimky a obsahujú aj niektoré nové informácie.
K úplne novým údajom v tomto dokumente patria:
- opis kategórií dotknutých osôb a kategórií osobných údajov,
- predpokladané lehoty na vymazanie rôznych kategórií osobných údajov.
Z povinnosti kategorizovať spracúvané údaje sa odvíja povinnosť prevádzkovateľa rozlišovať medzi spracúvanými osobnými údajmi napríklad osobitné kategórie (napríklad údaje týkajúce sa zdravia), všeobecné identifikátory (=rodné číslo), biometrické údaje, genetické údaje a podobne.
Z povinnosti kategorizovať lehoty, po ktorých budú osobné údaje vymazané, vyplýva povinnosť prevádzkovateľa rozlišovať registratúrne a retenčné lehoty spracúvaných údajov - napríklad v personálnej a mzdovej agende je registratúrna lehota určená potrebou držať záložné údaje pre sociálne poistenie, zdravotné poistenie a daňové povinnosti, ale popri tejto registratúrnej dobe sa uplatní napríklad retenčná doba záznamov o dochádzke, ktoré stačí držať po kratšiu dobu.
Záznamy o spracovateľských činnostiach, napriek svojmu názvu, neobsahujú informácie o jednotlivých činnostiach spracúvania údajov konkrétnych osôb, ale o procesoch spracúvania osobných údajov.
Je to dokument, ktorý má veľa spoločného s doterajšou evidenciou informačných systémov a je výhodné z tejto evidencie vychádzať. Záznamy o spracovateľských činnostiach sa ale vedú pre všetky informačné systémy (procesy spracúvania osobných údajov) bez výnimky a obsahujú aj niektoré nové informácie.
K úplne novým údajom v tomto dokumente patria:
- opis kategórií dotknutých osôb a kategórií osobných údajov,
- predpokladané lehoty na vymazanie rôznych kategórií osobných údajov.
Z povinnosti kategorizovať spracúvané údaje sa odvíja povinnosť prevádzkovateľa rozlišovať medzi spracúvanými osobnými údajmi napríklad osobitné kategórie (napríklad údaje týkajúce sa zdravia), všeobecné identifikátory (=rodné číslo), biometrické údaje, genetické údaje a podobne.
Z povinnosti kategorizovať lehoty, po ktorých budú osobné údaje vymazané, vyplýva povinnosť prevádzkovateľa rozlišovať registratúrne a retenčné lehoty spracúvaných údajov - napríklad v personálnej a mzdovej agende je registratúrna lehota určená potrebou držať záložné údaje pre sociálne poistenie, zdravotné poistenie a daňové povinnosti, ale popri tejto registratúrnej dobe sa uplatní napríklad retenčná doba záznamov o dochádzke, ktoré stačí držať po kratšiu dobu.
profesional
22.09.17,15:40
Prestaň tu spamovať. Daj si to láskavo na blog.
Dav
25.09.17,15:24
Mňa zaujalo práve to právo na vymazanie z databáz po uplynutí lehoty. Momentálny stav je taký, že údaje dohodára sa uchovávajú po dobu 5 rokov. Tieto údaje sú súčasťou účtovníctva, kde mi môže hroziť to, že ak vymažem údaje o dohodárovi z mzdového programu, nebudem mať podklad pre účtovný záznam, ani písomný, ani elektronický. Očakávam síce zmeny v úložných lehotách údajov o dohodároch, nakoľko sú v poňatí sociálnej poisťovne už postavení na úroveň zamestnancov, ale nepostrehla som, že by sa toto už legislatívne pripravovalo. Bolo by dobré, keby v pripomienkovom konaní ku návrhu zákona a vyhlášok ku GDPR bolo navrhnuté, z ktorých databáz má občan právo na výmaz. Je rozdiel medzi databázou účtovníctva a miezd a medzi databázou priaznivcov stránky na sociálnej sieti, alebo databázou kupujúcich s vernostnými kartami.