Článek 30 GDPR záznamy o činnostech zpracování osobních údajů
Správce vede záznamy o činnostech zpracování, za něž odpovídá, pokud:
- organizace zaměstnává více než 250 zaměstnanců,
- zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů,
- zpracování není příležitostné,
- zpracování zahrnuje zpracování zvláštních kategorií údajů ,
- zpracování zahrnuje zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů,
Záznamy se vyhotovují písemně popřípadě elektronicky.
Správce, zpracovatel nebo případný zástupce správce nebo zpracovatele poskytne záznamy na požádání dozorového úřadu.
Záznamy vedené správcem obsahují tyto informace:
- jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů,
- účel zpracování,
- popis kategorií subjektů údajů a kategorií osobních údajů,
- kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích,
- informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace,
- je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů,
- je-li to možné, obecný popis technických a organizačních bezpečnostních opatření.
Každý zpracovatel vede záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují: - jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů,
- kategorie zpracování prováděného pro každého ze správců,
- informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace,
- je-li to možné, obecný popis technických a organizačních bezpečnostních opatření.