Co jsou záznamy o činnostech zpracování?

Článek 30 GDPR vyžaduje, aby každý správce a zpracovatel vedl záznamy o činnostech zpracování. Existuje sice omezená výjimka pro organizace s méně než 250 zaměstnanci, ale tato výjimka je tak úzká, že se v praxi téměř nikdy neuplatní: platí pouze pro organizace, které zpracovávají osobní údaje příležitostně, nezpracovávají zvláštní kategorie údajů a nezpracovávají údaje, které by mohly představovat riziko pro jednotlivce. V praxi prakticky každá organizace, která nakládá s údaji zaměstnanců, zákazníků nebo návštěvníků webu, potřebuje záznamy. To znamená, že naprostá většina vašich klientů — bez ohledu na velikost — je ze zákona povinna je vést. Jako externí pověřenec jste obvykle odpovědní za vytváření, údržbu a aktualizaci záznamů pro každého ze svých klientů. S 10–20 klienty se to může rychle stát významnou administrativní zátěží, pokud se spravuje ručně.

Článek 30 odst. 1 specifikuje povinný obsah pro správce. Každý záznam činnosti zpracování musí obsahovat: jméno a kontaktní údaje správce a pověřence, účely zpracování, popis kategorií subjektů údajů a osobních údajů, kategorie příjemců, předání do třetích zemí včetně záruk, předpokládané doby uchování a obecný popis technických a organizačních bezpečnostních opatření. Pro zpracovatele vyžaduje článek 30 odst. 2 mírně odlišný soubor informací: jméno a kontaktní údaje zpracovatele a každého správce, pro něhož se zpracování provádí, kategorie zpracování, předání do třetích zemí a pokud možno popis bezpečnostních opatření. Mnohé dozorové úřady doporučují jít nad rámec minimálních požadavků. Přidání právního základu pro každou činnost zpracování, zdroje údajů a informace o tom, zda dochází k automatizovanému rozhodování, činí záznamy užitečnějším nástrojem řízení souladu — nejen formálním cvičením.

Nejčastější chybou je zacházení se záznamy jako s jednorázovým projektem namísto živého dokumentu. Činnosti zpracování se mění — zavádí se nový software, upravují se datové toky, aktualizují se doby uchování. Záznamy, které byly přesné v lednu, mohou být v březnu zastaralé. Dalším častým problémem je nekonzistentní granularita. Někteří pověřenci dokumentují každý jednotlivý systém jako samostatnou činnost zpracování a končí se stovkami záznamů, které je nemožné udržovat. Jiní seskupují vše do pěti nebo šesti širokých kategorií, kterým chybí specifičnost, kterou dozorové úřady očekávají. Správná úroveň granularity obvykle znamená 15–40 činností zpracování pro středně velkou organizaci. Konečně, mnozí pověřenci spravují záznamy v tabulkách Excel — což funguje pro jednoho nebo dva klienty, ale selhává při škálování. Žádné verzování, žádné upomínky na revize, žádná strukturovaná pole a žádný způsob generování exportů připravených k auditu. Právě zde specializované nástroje přinášejí měřitelný rozdíl.

Klíčem k efektivní správě záznamů je struktura a automatizace. Začněte s oborovými šablonami, které předvyplní běžné činnosti zpracování — e-commerce společnost a zdravotnický poskytovatel mají velmi odlišné zpracovatelské prostředí, ale společnosti ve stejném odvětví sdílejí 70–80 % svých činností. Nastavte termíny revize pro každou činnost zpracování. Většina dozorových úřadů očekává minimálně roční revize, ale kritické činnosti zpracování by měly být revidovány při každé významné změně. Automatické upomínky zajistí, že nic neproklouzne. Verzování je nezbytné pro odpovědnost. Když se dozorový úřad zeptá na konkrétní činnost zpracování, musíte ukázat nejen aktuální stav, ale i historii změn — kdo co aktualizoval a kdy. Tato auditní stopa chrání vás i vašeho klienta. Pro externí pověřence spravující více klientů nástroj s multi-tenant architekturou jako Trustee.eu eliminuje režii údržby oddělených systémů. Můžete používat stejné šablony pro klienty ve stejném odvětví, generovat PDF připravené k auditu jedním kliknutím a na první pohled vidět, kteří klienti mají opožděné revize záznamů.