Jak se liší GDPR a RoPA v ochraně osobních údajů?

04.10.2023

Článek 30 Nařízení GDPR zavedl nová pravidla pro záznam o činnostech zpracování (Records of Processing Activities - RoPA), aby zvýšil odpovědnost firem. Podle tohoto článku musí každý správce osobních údajů vést záznamy o činnostech zpracování, za které odpovídá.

Záznam musí obsahovat všechny činnosti, které firma provádí v oblasti zpracování osobních údajů, včetně údajů z personálního oddělení, marketingu a zpracování osobních údajů třetími stranai.

Vedení záznamů o činnostech zpracování je nejen zákonnou povinností, ale také užitečným nástrojem pro vlastní kontrolu. Firma musí přehledně popsat své procesy zpracování údajů a porozumět těmto záznamům, aby mohla identifikovat rizika a vypracovat plány pro jejich řešení.


Proč je RoPA v ochraně osobních údajů ta důležitá?

RoPA je důležitá kvůli principu odpovědnosti. Ten spočívá ve schopnosti správce osobních údajů doložit soulad s předpisy na ochranu osobních údajů, kdy k takové ochraně přistupuje prospektivně - zaměřujíc se na budoucnost, tedy nikoliv retrospektivně (řešíc problém, který nastal v minulosti). RoPA bude první dokument, který si nechá kontrola Úřadu pro ochranu osobních údajů předložit.

Čl. 30 GDPR

Záznamy o činnostech zpracování

1. Každý správce a případně zástupce správce vede záznamy o činnostech zpracování, za které odpovídá. Tento záznam musí obsahovat všechny následující informace:

a) jméno a kontaktní údaje správce a případně společného správce, zástupce správce a pověřence pro ochranu osobních údajů;

b) účely zpracování;

c) popis kategorií subjektů údajů a kategorií osobních údajů;

d) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;

e) případně předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země nebo mezinárodní organizace, a v případě předání uvedených v čl. 49 odst. 1 druhém pododstavci dokumentaci o vhodných zárukách;

f) pokud možno předpokládané lhůty pro výmaz různých kategorií údajů;

g) pokud možno obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.

2. Každý zpracovatel a případně zástupce zpracovatele vede záznamy o všech kategoriích činností zpracování prováděných jménem správce, které obsahují:

a) jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, jehož jménem zpracovatel jedná, a případně zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů;

b) kategorie zpracování prováděné jménem každého správce;

c) případně předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země nebo mezinárodní organizace, a v případě předání uvedených v čl. 49 odst. 1 druhém pododstavci dokumentaci o vhodných zárukách;

d) pokud možno obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.

3. Záznamy uvedené v odstavcích 1 a 2 musí být písemné, a to i v elektronické podobě.

4. Správce nebo zpracovatel a případně zástupce správce nebo zpracovatele na požádání zpřístupní záznamy orgánu dozoru.

5. Povinnosti uvedené v odstavcích 1 a 2 se nevztahují na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže by zpracování, které provádí, mohlo vést k ohrožení práv a svobod subjektů údajů, zpracování není příležitostné nebo zpracování zahrnuje zvláštní kategorie údajů podle čl. 9 odst. 1 nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle článku 10.

Do seznamu služeb informačních technologií mohou patřit například:

  • E-mailové služby a aplikace pro zasílání e-mailů.
  • Sociální sítě a komunikační aplikace umožňující uživatelům sdílet obsah a komunikovat online.
  • Cloudové služby pro ukládání a sdílení souborů.
  • Platební brány a služby pro online platby a převody peněz.
  • Online tržiště umožňující uživatelům nákup jídla, nebo prodej zboží online
  • Hlasové nebo videohovory přes internet.
  • Zpravodajské weby a aplikace poskytující aktuální zpravodajství.
  • Vzdělávací weby a aplikace umožňující uživatelům studovat online.
  • Služby umožňující uživatelům streamovat hudbu a video a stahovat je z internetu.
  • Platformy pro online hraní her a soutěžení s dalšími hráči.
  • Online služby pro rezervaci ubytování, cestování a dalších souvisejících služeb.
  • Virtuální asistenti a chatboti poskytující online podporu a interakci s uživateli
  • Platformy pro obchodování s akciemi a kryptoměnami
  • Aplikace pro sledování zdraví
  • Online zprostředkování služeb a práce