Záznamy o činnostech zpracování a školní družiny

Obecné nařízení o ochraně osobních údajů účinné od 25. května 2018 (GDPR) zavádí v čl. 30 novou povinnost vést záznamy o činnostech zpracování. V tomto příspěvku se zaměříme na to, co je záznam o činnostech zpracování a zda jsou školní družiny povinny tyto záznamy vést.

Záznamy o činnostech zpracování a školní družiny
RNDr. Ing.
Eva
Urbanová,
lektorka, Centrum školského managementu PedF UK
Mgr.
Alice
Frýbová,
specialistka na ochranu osobních údajů, AK Holubová advokáti, s. r. o.
Co je záznam o činnostech zpracování?
Záznam o činnostech zpracování je písemný dokument, který definuje typ zpracování osobních údajů. Pro každý typ zpracování musí být veden samostatný záznam. Není tedy nutné zaznamenávat každé jednotlivé zpracování osobních údajů konkrétního člověka. Záznam o činnostech zpracování je jakousi náhradou za oznamovací povinnost, která byla GDPR zrušena. Záznamy je nutné na žádost zpřístupnit Úřadu pro ochranu osobních údajů (dále jen ÚOOÚ). Záznam totiž primárně slouží ÚOOÚ jako vodítko k tomu, aby se zorientoval v tom, jak v dané organizaci probíhá zpracování osobních údajů. ÚOOÚ bude také posuzovat, zda faktické zpracování v organizaci probíhá tak, jak je popsáno v záznamech o činnostech zpracování.
Záznamy o činnostech zpracování je nutné vést písemně, přičemž za písemnou podobu se považují i záznamy vedené v elektronické podobě. Záleží tedy na správci, zda se rozhodne tyto záznamy mít uložené na počítači nebo je mít vytištěné a založené v pořadači.
Musí školní družiny vést záznamy o činnostech zpracování?
Povinnost vést záznamy o činnostech zpracování osobních údajů dopadá prakticky na všechny subjekty, které osobní údaje zpracovávají. GDPR sice stanovuje výjimku z této povinnosti pro společnosti a organizace, které zaměstnávají méně než 250 zaměstnanců, avšak tato výjimka má opět své výjimky. Pokud správce zpracovává osobní údaje nikoliv příležitostně nebo je toto zpracování rizikové nebo zahrnuje citlivé údaje, pak musí dotyčný správce vést záznamy o činnostech zpracování, i když má méně než 250 zaměstnanců.
U školních družin je nutné si uvědomit, že téměř vždy je školní družina součástí určité právnické osoby, a nemá tedy sama právní subjektivitu. V těchto případech bude záznamy o činnosti zpracování vést právnická osoba, a to jak záznamy o činnosti zpracování „pro základní školu“, tak „pro školní družinu“.
Pro jaké agendy bude třeba mít záznam?
Na tvorbu záznamu o činnostech zpracování je nutné se připravit. Školní družina si nejprve určí agendy, ve kterých zpracovává osobní údaje. Závisí na dané právnické osobě, jak jednotlivé činnosti rozvrhne do jednotlivých záznamů o činnosti zpracování. Některé činnosti školní družiny (např. přijímání k zájmovému vzdělávání, vedení školní matriky školní družiny, průběh zájmového vzdělávání, kamerový systém se záznamem umístěným u vstupu do školní družiny) mohou být uvedeny ve „speciálním“ záznamu o činnosti zpracování „pro školní družinu“. Některé činnosti školní družiny (např. personální činnost, zveřejňování fotografií z akcí), které jsou z logiky věci v mnohém shodné s činností základní školy, lze spojit do záznamu o činnosti zpracování „pro školu i pro školní družinu“.
Co musí záznam o činnostech zpracování obsahovat?
Záznam musí obsahovat:
1.
jméno a kontaktní údaje správce, příp. pověřence pro ochranu osobních údajů,
2.
účel zpracování,
3.
kategorie subjektu údajů,
4.
kategorie zpracovávaných osobních údajů,
5.
kategorie příjemců,
6.
informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci,
7.
lhůty pro výmaz jednotlivých kategorií osobních údajů,
8.
obecný popis technických a organizačních bezpečnostních opatření.
Vyplatí se mít záznam i z jiného důvodu?
Ačkoliv je primárním účelem záznamu o činnostech zpracování informování ÚOOÚ o tom, jaké údaje škola či školní družina zpracovává, může je školní družina využít i k jiným účelům. V některých školních družinách mohou sloužit i jako manuál pro pověřené pracovníky, které osobní údaje mohou při kontaktu se žáky zpracovávat.
Závěr
Domníváme se, že školní družiny, resp. jejich školy se k 25. květnu 2018 nevyhnou povinnosti vést záznamy o činnostech zpracování osobních údajů. Proto by si měly ujasnit, jaké osobní údaje v jakých procesech zpracovávají. Na základě toho vypracují tyto záznamy, které obecně popisují, jak jsou osobní údaje zpracovány v jednotlivých agendách školní družiny.

Související dokumenty