Nariadenie GDPR definuje niekoľko typov štandardných dokumentov. Prvým z nich sú Záznamy o spracovateľských činnostiach. Patria k tým dokumentom, ktoré musí mať vypracované každý prevádzkovateľ.
Záznamy o spracovateľských činnostiach, napriek svojmu názvu, neobsahujú informácie o jednotlivých činnostiach spracúvania údajov konkrétnych osôb, ale o procesoch spracúvania osobných údajov.
Je to dokument, ktorý má veľa spoločného s doterajšou evidenciou informačných systémov a je výhodné z tejto evidencie vychádzať. Záznamy o spracovateľských činnostiach sa ale vedú pre všetky informačné systémy (procesy spracúvania osobných údajov) bez výnimky a obsahujú aj niektoré nové informácie.
K úplne novým údajom v tomto dokumente patria:
- opis kategórií dotknutých osôb a kategórií osobných údajov,
- predpokladané lehoty na vymazanie rôznych kategórií osobných údajov.
Z povinnosti kategorizovať spracúvané údaje sa odvíja povinnosť prevádzkovateľa rozlišovať medzi spracúvanými osobnými údajmi napríklad osobitné kategórie (napríklad údaje týkajúce sa zdravia), všeobecné identifikátory (=rodné číslo), biometrické údaje, genetické údaje a podobne.
Z povinnosti kategorizovať lehoty, po ktorých budú osobné údaje vymazané, vyplýva povinnosť prevádzkovateľa rozlišovať registratúrne a retenčné lehoty spracúvaných údajov - napríklad v personálnej a mzdovej agende je registratúrna lehota určená potrebou držať záložné údaje pre sociálne poistenie, zdravotné poistenie a daňové povinnosti, ale popri tejto registratúrnej dobe sa uplatní napríklad retenčná doba záznamov o dochádzke, ktoré stačí držať po kratšiu dobu.
Autor článku
Ing. Ľ. Janoška
Služby pre prevádzkovateľov informačných systémov
Fair Mind s. r. o.
Naposledy upravil Ing. Ľubomír Janoška : 22.09.17 at 11:06 Dôvod: preklep