§ 37 – Záznamy o spracovateľských činnostiach
Trvalý odkaz
Jednoducho
Originál
Jednoducho
(1)
Prevádzkovateľ a jeho zástupca musia viesť záznamy o spracovaní osobných údajov. Tieto záznamy musia obsahovať:
a)
kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa, zástupcu a zodpovednej osoby,
b)
účel spracovania,
c)
aké údaje a o kom sa spracúvajú,
d)
komu sa údaje poskytujú aj do zahraničia,
e)
ak sa údaje posielajú mimo EÚ, kam a aké záruky sa použijú,
f)
ako dlho sa údaje uchovávajú,
g)
aké bezpečnostné opatrenia sa používajú.
(2)
Sprostredkovateľ a jeho zástupca musia viesť záznamy o spracovaní, ktoré robia pre prevádzkovateľa. Tieto záznamy musia obsahovať:
a)
kontaktné údaje sprostredkovateľa, prevádzkovateľa, zástupcov a zodpovednej osoby,
b)
aké údaje spracúvajú pre ktorého prevádzkovateľa,
c)
ak sa údaje posielajú mimo EÚ, kam a aké záruky sa použijú,
d)
aké bezpečnostné opatrenia sa používajú.
(3)
Záznamy si môžete viesť na papieri alebo v počítači.
(4)
Úradu musíte na požiadanie ukázať tieto záznamy.
(5)
Ak ste zamestnávateľ s menej ako 250 zamestnancami, záznamy nemusíte viesť, ak spracovanie: - neohrozuje práva ľudí, - je príležitostné, - nezahŕňa citlivé údaje ani údaje o trestných činoch.
(6)
Vzor záznamu zverejní úrad na svojej webovej stránke.
Originál
(1)
Prevádzkovateľ a zástupca prevádzkovateľa, ak bol poverený, je povinný viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný. Tento záznam musí obsahovať
a)
identifikačné údaje a kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa, zástupcu prevádzkovateľa, ak bol poverený, a zodpovednej osoby,
b)
účel spracúvania osobných údajov,
c)
opis kategórií dotknutých osôb a kategórií osobných údajov,
d)
kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácii,
e)
označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2 ,
f)
predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
g)
všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1 .
(2)
Sprostredkovateľ a zástupca sprostredkovateľa, ak bol poverený, je povinný viesť záznam o kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa. Tento záznam musí obsahovať
a)
identifikačné údaje a kontaktné údaje sprostredkovateľa a prevádzkovateľa, v mene ktorého sprostredkovateľ koná, zástupcu prevádzkovateľa alebo sprostredkovateľa, ak bol poverený, a zodpovednej osoby,
b)
kategórie spracúvania osobných údajov vykonávaného v mene každého prevádzkovateľa,
c)
označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2 ,
d)
všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1 .
(3)
Záznamy podľa odsekov 1 a 2 sa vedú v listinnej podobe alebo elektronickej podobe.
(4)
Prevádzkovateľ alebo sprostredkovateľ a zástupca prevádzkovateľa alebo zástupca sprostredkovateľa, ak bol poverený, sú povinní na požiadanie sprístupniť záznam o spracovateľských činnostiach úradu.
(5)
Povinnosti podľa odsekov 1 a 2 sa nevzťahujú na zamestnávateľa s menej ako 250 zamestnancami, ak nie je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva, povedie k riziku ochrany práv dotknutej osoby, ak je spracúvanie osobných údajov príležitostné alebo ak nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 .
(6)
Vzor záznamu o spracovateľských činnostiach zverejní úrad na svojom webovom sídle.