Jak se liší GDPR a RoPA v ochraně osobních údajů?
Článek 30 Nařízení GDPR zavedl nová pravidla pro záznam o činnostech zpracování (Records of Processing Activities - RoPA), aby zvýšil odpovědnost firem. Podle tohoto článku musí každý správce osobních údajů vést záznamy o činnostech zpracování, za které odpovídá.
Záznam musí obsahovat všechny činnosti, které firma provádí v oblasti zpracování osobních údajů, včetně údajů z personálního oddělení, marketingu a zpracování osobních údajů třetími stranai.
Vedení záznamů o činnostech zpracování je nejen zákonnou povinností, ale také užitečným nástrojem pro vlastní kontrolu. Firma musí přehledně popsat své procesy zpracování údajů a porozumět těmto záznamům, aby mohla identifikovat rizika a vypracovat plány pro jejich řešení.
Proč je RoPA v ochraně osobních údajů ta důležitá?
RoPA je důležitá kvůli principu odpovědnosti. Ten spočívá ve schopnosti správce osobních údajů doložit soulad s předpisy na ochranu osobních údajů, kdy k takové ochraně přistupuje prospektivně - zaměřujíc se na budoucnost, tedy nikoliv retrospektivně (řešíc problém, který nastal v minulosti). RoPA bude první dokument, který si nechá kontrola Úřadu pro ochranu osobních údajů předložit.
Čl. 30 GDPR
Záznamy o činnostech zpracování
1. Každý správce a případně zástupce správce vede záznamy o činnostech zpracování, za které odpovídá. Tento záznam musí obsahovat všechny následující informace:
a) jméno a kontaktní údaje správce a případně společného správce, zástupce správce a pověřence pro ochranu osobních údajů;
b) účely zpracování;
c) popis kategorií subjektů údajů a kategorií osobních údajů;
d) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
e) případně předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země nebo mezinárodní organizace, a v případě předání uvedených v čl. 49 odst. 1 druhém pododstavci dokumentaci o vhodných zárukách;
f) pokud možno předpokládané lhůty pro výmaz různých kategorií údajů;
g) pokud možno obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.
2. Každý zpracovatel a případně zástupce zpracovatele vede záznamy o všech kategoriích činností zpracování prováděných jménem správce, které obsahují:
a) jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, jehož jménem zpracovatel jedná, a případně zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů;
b) kategorie zpracování prováděné jménem každého správce;
c) případně předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země nebo mezinárodní organizace, a v případě předání uvedených v čl. 49 odst. 1 druhém pododstavci dokumentaci o vhodných zárukách;
d) pokud možno obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.
3. Záznamy uvedené v odstavcích 1 a 2 musí být písemné, a to i v elektronické podobě.
4. Správce nebo zpracovatel a případně zástupce správce nebo zpracovatele na požádání zpřístupní záznamy orgánu dozoru.
5. Povinnosti uvedené v odstavcích 1 a 2 se nevztahují na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže by zpracování, které provádí, mohlo vést k ohrožení práv a svobod subjektů údajů, zpracování není příležitostné nebo zpracování zahrnuje zvláštní kategorie údajů podle čl. 9 odst. 1 nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle článku 10.
Do seznamu služeb informačních technologií mohou patřit například:
- E-mailové služby a aplikace pro zasílání e-mailů.
- Sociální sítě a komunikační aplikace umožňující uživatelům sdílet obsah a komunikovat online.
- Cloudové služby pro ukládání a sdílení souborů.
- Platební brány a služby pro online platby a převody peněz.
- Online tržiště umožňující uživatelům nákup jídla, nebo prodej zboží online
- Hlasové nebo videohovory přes internet.
- Zpravodajské weby a aplikace poskytující aktuální zpravodajství.
- Vzdělávací weby a aplikace umožňující uživatelům studovat online.
- Služby umožňující uživatelům streamovat hudbu a video a stahovat je z internetu.
- Platformy pro online hraní her a soutěžení s dalšími hráči.
- Online služby pro rezervaci ubytování, cestování a dalších souvisejících služeb.
- Virtuální asistenti a chatboti poskytující online podporu a interakci s uživateli
- Platformy pro obchodování s akciemi a kryptoměnami
- Aplikace pro sledování zdraví
- Online zprostředkování služeb a práce