Dla zachowania zgodności z unijnym rozporządzeniem (RODO), administrator lub podmiot przetwarzający dane powinien prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. Każdy administrator i każdy podmiot przetwarzający mają obowiązek współpracować z organem nadzorczym i na jego żądanie udostępniać mu te rejestry w celu monitorowania tych operacji przetwarzania. Obowiązek prowadzenia rejestru czynności przetwarzania ma na celu realizację przez administratora (podmiot przetwarzający) tzw. zasady rozliczalności, tj. wykazania, że wdrożył on odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO i aby móc to wykazać. Administrator danych ustala cele i sposoby przetwarzania danych, a także ponosi odpowiedzialność za przewarzanie danych, dlatego został zobowiązany do prowadzenia rejestru czynności przetwarzania.
Rejestr ten nie jest tworzony dla podmiotów, których dane są przetwarzane i nie jest on im udostępniany, ma charakter wewnętrzny, a obowiązkiem administratora jest jego udostępnianie jedynie na wniosek organu nadzorczego.
Przedsiębiorcy i pracodawcy zatrudniający mniej niż 250 osób zobowiązani są prowadzić taki rejestr, jeżeli przetwarzanie:
• którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
• nie ma charakteru sporadycznego lub
• obejmuje szczególne kategorie danych osobowych, lub obejmuje dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
Najwięcej wątpliwości budzi sformułowanie "sporadyczność przetwarzania danych osobowych". Sporadyczny oznacza występujący rzadko. W przypadku prowadzenia działalności gospodarczej czy też wykonywania innej funkcji przez podmiot np. zatrudniający pracowników, trudno mówić o sporadycznym przetwarzaniu danych osobowych. Większość procesów przetwarzania danych osobowych w firmach, jak przetwarzanie danych pracowników czy klientów, odbywa się w sposób ciągły.
Menu
Menu
