Obowiązek prowadzenia rejestru czynności przetwarzania wynika z art. 30 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO), który stanowi, że każdy administrator oraz - gdy ma to zastosowanie - przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają.
RODO określa dwa podstawowe cele prowadzenia rejestru:
• zachowanie przez administratora i podmiot przetwarzający zgodności z RODO,
• umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania.
Rejestr prowadzony przez administratora danych powinien zawierać:
• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współ-administratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych,
• cele przetwarzania,
• opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
• gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń,
• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
• jeśli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Podmioty przetwarzające, tj. osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora, prowadzą rejestry wszystkich kategorii czynności przetwarzania wykonywanych w imieniu zlecających im je administratorów danych.
Ich rejestry powinny zawierać:
• imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
• kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
• gdy ma to zastosowanie - przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń,
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Art. 30 ust. 5 RODO stwierdza, że obowiązek rejestrowania czynności przetwarzania (zarówno przez administratorów, jak i podmioty przetwarzające) nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób.
Jednocześnie jednak przepisy RODO wskazują przesłanki, których zaistnienie przywraca obowiązek prowadzenia takiego rejestru.
Wskazane w tym przepisie wyłączenia powodują, że również przedsiębiorcy i pracodawcy zatrudniający mniej niż 250 osób zobowiązani są prowadzić taki rejestr, jeżeli przetwarzanie:
• którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
• nie ma charakteru sporadycznego lub
• obejmuje szczególne kategorie danych osobowych, lub
• obejmuje dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
Najwięcej wątpliwości wśród przedsiębiorców budzi sformułowanie "sporadyczność przetwarzania danych osobowych". Sporadyczny oznacza w najdosłowniejszym tłumaczeniu - występujący rzadko, czyli nie w sposób ciągły.
W przypadku prowadzenia „normalnej” działalności gospodarczej czy też wykonywania innej funkcji przez podmiot np. zatrudniający pracowników, trudno mówić o sporadycznym przetwarzaniu danych osobowych, ponieważ większość procesów przetwarzania danych osobowych pracowników czy klientów, odbywa się w sposób ciągły.
Menu
