Hlavní navigace

Zaměstnavatel a záznamy o činnostech zpracování dle GDPR

Dagmar Kučerová

Většina zaměstnavatelů povede povinně záznamy o činnostech zpracování, přestože se původně hovořilo pouze o velkých firmách.

Doba čtení: 5 minut

Obecné nařízení GDPR přináší povinnost vést záznamy o činnostech zpracování. Odborníci poradili, o které údaje se jedná.

Každý zaměstnavatel, coby správce osobních údajů svých zaměstnanců, má mít v souladu s GDPR zmapováno, které údaje, v jakém rozsahu, jak často a s jakým rizikem je zpracovává. Zmapování pomůže zaměstnavatelům určit, kdy je potřeba vést záznamy o činnostech zpracování. 

Čtěte také: GPS lokalizace ve služebních automobilech. Co na to GDPR?

Záznamy o činnostech zpracování jsou záznamy, jež mají zaměstnavatelé v souladu GDPR vést a na žádost je zpřístupnit dozorovému orgánu, tj. Úřadu pro ochranu osobních údajů. Záznam o činnostech zpracování v podstatě nahrazuje dřívější oznamovací povinnost, která spočívala v povinnosti nahlásit na Úřad pro ochranu osobních údajů zpracování osobních údajů. Nyní podle nařízení GDPR tedy není nutné zpracování hlásit, ale správce má povinnost vést záznamy o činnostech zpracování, vysvětlil pro server Podnikatel.cz Martin Kurka, právník z advokátní kanceláře e-Legal.

Výjimka vést záznamy o činnostech zpracování

Nařízení GDPR stanoví, že povinnost vypracovat a vést záznamy o činnostech zpracování nemá

  • a) podnik nebo organizace zaměstnávající méně než 250 zaměstnanců (do limitu se započítávají i případní agenturní pracovníci), ledaže
  • b) zpracování představuje riziko pro práva a svobody subjektů údajů,
  • c) zpracování není příležitostné nebo
  • d) zahrnuje zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.

Pro vznik povinnosti vést záznamy o činnostech zpracování postačí, když správce splní alespoň jednu z vyjmenovaných podmínek. Zpracování je příležitostné, pokud k němu nedochází soustavně, ale naopak např. jednorázově, nebo pokud jde o zpracování, které je uskutečňováno ad hoc, případně v malém rozsahu a pravidelně. S ohledem na takto široce vymezené vynětí z možnosti záznamy nevyhotovit lze uzavřít, že v zásadě každý zaměstnavatel se vystavuje riziku, pokud záznamy vést nebude. Dlouhodobé vedení mzdové agendy totiž nikdy nebude pouze příležitostným zpracováním osobních údajů a vynětí z povinnosti se tak neuplatní, uvedl Ladislav Karas, právník advokátní kanceláře KPMG Legal. Z toho důvodu doporučuje vedení záznamů každé organizaci, která zpracovává osobní údaje. Díky záznamům získá přehled o procesech zpracování osobních údajů. V prvním kroku záznamy pomůžou odhalit potenciálně problematická místa (např. že pro některé zpracování může chybět tzv. právní titul) a do budoucna mohou sloužit jako užitečný nástroj pro udržování souladu s regulací ochrany osobních údajů. 

Čtěte také: GDPR zatočí s kopírováním nadbytečných dokladů zaměstnavatelem

Které záznamy povede zaměstnavatel povinně?

Povinné je vždy vedení záznamu o činnostech zpracování v případě kamerového systému. Kamerový systém, který je aplikován z důvodu ochrany majetku zaměstnavatele a předmětů a věcí zaměstnanců, které se obvykle do zaměstnání nosí, a dále z důvodu ochrany a bezpečnosti zdraví zaměstnanců, představuje určité riziko pro práva a svobody fyzických osob. Navíc se jedná o zpracování osobních údajů, jež není příležitostné, ale permanentní. Z uvedených důvodů bude nutné, aby provozovatel kamerového systému vedl vždy záznamy o činnosti zpracování bez ohledu na počet osob.

Dále se jedná o zpracování takzvaných citlivých osobních údajů. GDPR nově užívá pojem zvláštní kategorie osobních údajů, těmi se vedle již „tradičních“ kategorií, jako jsou údaje o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby, rozumí dle GDPR též genetické a biometrické údaje. Podle Ladislava Karase budou zpracovávat citlivé osobní údaje kupříkladu společnosti provozující signpady umožňující snímat biometriku (např. rychlost, tlak a dynamiku učiněného podpisu), nebo též provozovatelé aplikací nabízejících zabezpečení mobilního telefonu nebo v dnešní době i vedení docházkového systému pomocí otisků prstů. Tyto společnosti  budou muset rovněž vždy vést záznamy o činnostech zpracování. Je však třeba říci, že se to týká primárně provozovatelů daných technických řešení, nikoliv nutně jejich uživatelů (např. rozvážkové společnosti využívající signpady), kteří k citlivým osobním údajům nemusí mít vůbec přístup.

Ptejte se odborníka v poradně Mzdové účetnictví a personalistika
PhDr. Dagmar Kučerová
poradkyně pro mzdové účetnictví

Mimo kamerový systém a uvedené biometrické údaje (např. docházkový systém) budou zaměstnavatelé vést záznamy o činnostech při zpracování údajů o zdravotním stavu. Jedná se o zpracovávané údaje v souvislosti s pracovnělékařskými službami (vstupní a periodické prohlídky), zpracování osobních údajů v souvislosti se zaměstnáváním osob se zdravotním postižením a osobních údajů týkajících se evidence pracovních úrazů a nemocí z povolání. Obdobně se doporučuje vést záznamy o činnostech zpracování při zaměstnávání zaměstnanců ze zahraničí. Někteří právníci poukazují i na zpracování osobních údajů – tělesných mír zaměstnanců při poskytování pracovního oblečení. Podle Martina Kurky z Advokátní kanceláře e-Legal toto zpracování za rizikové považovat nelze. Nepředstavuje totiž riziko pro práva a svobody subjektů údajů. Naproti tomu zpracování osobních údajů v souvislosti s vedením exekučního řízení již může být svojí povahou citlivé. Doporučuje zaměstnavatelům v případě exekučních a insolvenčních srážek ze mzdy záznamy o činnostech zpracování vést. 

Čtěte také: GDPR a výmaz osobních údajů po skončení pracovního poměru

Záznamy o činnostech zpracování

Dokument samotný není až tak složité sestavit. GDPR vymezuje, jaké konkrétní údaje musí být součástí takové dokumentace o zpracování osobních údajů. Lze je vytvořit například ve formě tabulky, co záznam, to samostatná tabulka. Záznamy u správce obsahují:

  • jméno a kontaktní údaje správce (případně také jméno a kontaktní údaje pověřence, pokud byl jmenován),
  • účel zpracování, 
  • popis kategorií subjektů a kategorii osobních údajů, 
  • kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, 
  • rozsah zpracovávaných osobních údajů,
  • informace o příjemcích daných osobních údajů, o předávání údajů do třetích zemí, lhůtách pro výmaz jednotlivých kategorií údajů a popis přijatých technických a organizačních opatření k zajištění bezpečnosti údajů.

Jsou-li osobní údaje zpracovávány zpracovatelem (externí účetní), je možné tuto povinnost přenést na zpracovatele. Je-li správce osobních údajů povinen jmenovat pověřence, je vhodné tuto skutečnost uvést v záznamu o zpracování pouze v obecné rovině, neboť s ohledem na možné budoucí změny v osobě pověřence by bylo vždy nutné záznamy aktualizovat. 

Čtěte více: Zpracování mzdového účetnictví externí firmou a GDPR