Každý prevádzkovateľ, ktorý spracúva osobné údaje je povinný viesť záznamy o spracovateľských činnostiach. Povinné náležitosti určuje všeobecné nariadenie o ochrane údajov vo svojom čl. 30.
Výnimku z povinnosti viesť záznamy majú len tí prevádzkovatelia, ktorí súbežne spĺňajú kritéria uvedené v čl. 35 ods. 5. V podmienkach firiem a organizácií je však aplikovanie tejto výnimky veľmi zriedkavé.
Záznam pre riadenie bezpečnosti v oblasti informačných technológií
Nižšie nájdete vzor záznamu o spracovateľských činnostiach, keď sú osobné údaje spracúvané z dôvodu riadenia bezpečnosti v oblasti informačných technológií:
Keď je účelom spracúvania napríklad:
- Evidencia preberacích protokolov k aktívam (prehľad, komu bol pridelený notebook, PC, mobil a pod.).
- Monitoring pohybu dát za účelom chránenia aktív na prevenciu proti úniku dát (neoprávnené kopírovanie; ukladanie na externé úložiská; odosielanie na súkromné adresy, atď.).
- Evidencia používateľských oprávnení do jednotlivých informačných systémov (v súvislosti so zabezpečením ochrany osobných a citlivých dát, aby k nim nemali prístup neoprávnené osoby).
- Monitorovanie obsahu pevného disku za účelom odhalenia nainštalovaného nelegálneho softvéru.
- Monitorovanie záznamov o priebehu činnosti v automatizovanom informačnom systéme (napríklad čas prihlásenia a odhlásenia zo systému, za účelom efektívneho využívania pracovného času a jednotlivých licencií).
- Evidencia navštívených webových stránok vrátane zaznamenania aktívneho času stráveného na danej stránke.
- Evidencia vytlačených dokumentov na sieťovej tlačiarni.
- Monitorovanie firemnej e-mailovej komunikácie (odosielateľ, príjemca, predmet, dátum, veľkosť správy).
- Monitorovanie práce so súbormi (mazanie, premenovanie, kopírovanie).
- Udržiavanie pracovných staníc vzdialenou správou.
Záznam si prispôsobte (doplňte položky, alebo odstráňte) tak, aby zodpovedal spracúvaniu osobných údajov vo vašich podmienkach. Záznam nikam nezasielajte, na požiadanie ho sprístupňujete Úradu na ochranu osobných údajov.