Ak nie ste v ochrane osobných údajov nováčikom, potom si určite spomínate, že v minulosti každý informačný systém prevádzkovateľa podliehal oznamovacej povinnosti, osobitnej registrácii alebo evidencii. Podľa platných pravidiel tieto tri povinnosti nahradila jedna a to, povinnosť viesť záznamy.
Takže dnes:
- má prevádzkovateľ má povinnosť viesť záznamy o spracovateľských činnostiach
- a táto povinnosť vzťahuje aj na sprostredkovateľa, ktorý vedie záznamy o kategóriách spracovateľských činností.
Povinnosť prevádzkovateľa
Povinnosť viesť záznamy je potrebné posudzovať vo vzťahu k účelu spracúvania. Takže, čo účel spracúvania – to jeden záznam.
Napríklad: Povedzme, že prevádzkovateľ spracúva osobné údaje za účelom:
- vedenia mzdovej a personálnej agendy,
- účtovnej agendy, evidencie vstupu
- a zasielania newslettra svojim zákazníkom.
Ide o štyri samostatné účely. Osobné údaje spracúva vo svojom vlastnom mene, ako prevádzkovateľ. Preto má povinnosť viesť štyri záznamy o spracovateľských činnostiach. Pre každý účel jednotlivo.
Povinnosť sprostredkovateľa
Alebo externý spracovateľ účtovníctva vystupuje ako sprostredkovateľ vo vzťahu k svojim klientom. Preto je povinný viesť záznam o kategóriách spracovateľských činností. Ak by zamestnával aj vlastných zamestnancov, a teda spracúval osobné údaje aj ako prevádzkovateľ vo vzťahu k mzdovej a personálnej agende, potom by popri zázname o kategóriách spracovateľských činnosti mal povinnosť viesť aj záznam o spracovateľských činnostiach práve pre vlastnú mzdovú a personálnu agendu.
V rámci jedného záznamu odporúčame uviesť aj akoby čiastkové súvisiace účely spracúvania. Takže napríklad v zázname pre mzdovú a personálnu agendu uveďte napríklad aj:
- získavanie údajov uchádzačov o zamestnanie,
- evidencia dochádzky zamestnancov,
- zasielanie hlásení do zdravotných poisťovní a sociálnej poisťovne a tak ďalej.
Záznamy je možné viesť v listinnej alebo elektronickej podobe. Nikam sa nezasielajú. Sprístupňujú sa iba Úradu na ochranu osobných údajov, a to na požiadanie.