Prevádzkovateľ, sprostredkovateľ a ich zástupca nie je povinný viesť záznamy o spracovateľských činnostiach, ak kumulatívne spĺňa zákonom stanovené podmienky, a to
a)zamestnáva menej ako 250 fyzických osôb,
b)nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva dotknutej osoby,
c)je toto spracúvanie príležitostné,
d)nezahŕňa osobitné kategórie osobných údajov,
e)nezahŕňa osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.
Úrad na svojom webovom sídle zverejní vzor záznamu o spracovateľských činnostiach.
K § 38
Prevádzkovateľ alebo sprostredkovateľ sú povinní nahradiť akúkoľvek škodu, ktorú môže dotknutá osoba utrpieť v dôsledku spracúvania osobných údajov, ktoré je v rozpore s týmto zákonom. Prevádzkovateľ alebo sprostredkovateľ nemajú takúto zodpovednosť, ak preukážu, že za škodu nenesú žiadnu zodpovednosť. Dotknuté osoby za utrpenú škodu majú dostať náhradu. Ak sú prevádzkovatelia alebo sprostredkovatelia zapojení do rovnakého spracúvania, zodpovedajú všetci spoločne a nerozdielne za celú škodu. Každý prevádzkovateľ alebo sprostredkovateľ, ktorý nahradil celú škodu, môže následne začať regresné konanie voči iným prevádzkovateľom alebo sprostredkovateľom zapojeným do toho istého spracúvania.
K § 39
Prevádzkovateľ a sprostredkovateľ sú povinní zohľadniť bezpečnostné riziká v rámci technických a organizačných opatrení, ktoré sú povinní prijať na účely zabezpečenia ochrany spracúvaných osobných údajov na účely minimalizácie možného narušenia spracúvania a tak vzniku škody alebo ohrozenia spracúvaných osobných údajov pre dotknuté osoby. Prijatými bezpečnostnými opatreniami sa má zaistiť primeraná úroveň bezpečnosti osobných údajov vrátane ich dôvernosti, integrity a dostupnosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení ako aj hroziace riziká a povaha osobných údajov, ktoré sa prijatými bezpečnostnými opatreniami majú chrániť.
Na základe uvedeného prevádzkovateľ, ako aj sprostredkovateľ, zmapuje všetky spracovateľské činnosti v rámci cyklu osobných údajov, t.j. proces získania osobných údajov do vnútorného prostredia prevádzkovateľa alebo sprostredkovateľa, priebeh nakladania s osobnými údajmi v prostredí prevádzkovateľa alebo sprostredkovateľa pri vykonávaní hlavnej ako aj vedľajšej či príležitostnej činnosti prevádzkovateľom alebo sprostredkovateľom, uchovávanie, likvidácia a uvoľnenie osobných údajov z vnútorného priestoru prevádzkovateľa – napr. poskytnutie tretím stranám, zverejnenie, prenos do tretích krajín alebo medzinárodnej organizácii.
Na základe zmapovania cyklu osobných údajov prevádzkovateľ alebo sprostredkovateľ objektívne posúdi všetky riziká súvisiace so spracúvaním osobných údajov, ako napríklad
a)pravdepodobnosť a závažnosť rizika v závislosti od povahy, rozsahu, kontextu a účelov spracúvania osobných údajov,
b)riziká spojené so spracúvaním osobných údajov v dôsledku ich náhodného alebo protiprávneho zničenia, straty, zmeny, neoprávneného poskytnutia, neoprávneného poskytnutia prenášaných osobných údajov, neoprávneného prístupu k osobným údajom,
c)dopady súvisiace s rizikami spracúvania ako napríklad ujma na zdraví, majetková alebo nemajetková ujmu, strata kontroly nad osobnými údajmi, obmedzenie práv dotknutých osôb, krádež identity, podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek sociálne alebo hospodárske znevýhodnenie dotknutej osoby.
Na základe takéhoto posúdenia rizika prevádzkovateľ alebo sprostredkovateľ následne príjme zodpovedajúce primerané a účinné bezpečnostné opatrenia, a to napríklad
a)technické, organizačné a personálne bezpečnostné opatrenia s ohľadom na účel spracúvania, zásady spracúvania osobných údajov, množstva osobných údajov, rozsahu osobných údajov, doby