+48 17 307 07 66
Blog

Rejestr czynności przetwarzania danych osobowych

29 czerwca 2018

RODO, czyli Unijne Rozporządzenie o Ochronie Danych Osobowych weszło w życie 25 maja 2018 roku.  Spowodowało to nałożenie na osoby przetwarzające dane osobowe i decydujące o celach przetwarzania (czyli administratorów tych danych) szeregu nowych obowiązków. Rejestr czynności przetwarzania danych osobowych stanowi właśnie jeden z takich obowiązków. Co to jednak właściwie jest? Kto i kiedy musi go prowadzić? Regulacja RODO wymaga w tym zakresie przybliżenia.

Kiedy trzeba prowadzić rejestr czynności przetwarzania danych osobowych?

Należy podkreślić, że zgodnie z RODO posiadanie rejestru przetwarzania nie jest obowiązkowe dla wszystkich administratorów danych osobowych. Obowiązek taki istnieje. jeżeli podmiot przetwarzający dane osobowe zatrudnia co najmniej 250 pracowników chyba, że:

  1. przetwarzanie danych osobowych przez mniejszego (w zakresie ilości pracowników) administratora może powodować ryzyko naruszenia praw i wolności osób, których dane dotyczą;
  2. przetwarzanie danych osobowych przez mniejszego (w zakresie ilości pracowników) administratora nie ma charakteru sporadycznego;
  3. przetwarzanie danych osobowych przez mniejszego (w zakresie ilości pracowników) administratora obejmuje szczególne kategorie danych osobowych (dane wrażliwe) lub dotyczy informacji o wyrokach skazujących.

Takie ujęcie wyjątków od zasady braku konieczności prowadzenia rejestru czynności przetwarzania przez administratorów zatrudniających mniej niż 250 pracowników powoduje, że znakomita większość przedsiębiorców przetwarzających dane osobowe, którzy mieszczą się w tej kategorii, tak czy inaczej jest zobowiązana prowadzić rejestr czynności przetwarzania. Przedmiotowa konkluzja wynika w szczególności z faktu, iż rzadko kiedy można uznać przetwarzanie danych za „sporadyczne”.

Jak stworzyć rejestr przetwarzania?

Rejestr ten powinien być sporządzony w formie pisemnej (papierowej lub elektronicznej), która umożliwiałaby udostępnienie rejestru organowi nadzorczemu na jego żądanie. Powinien posiadać:

  • nazwę i dane kontaktowe administratora oraz wszystkich współadministratorów,
  • cel przetwarzania,
  • opis kategorii osób, których dane dotyczą, a także kategorii danych osobowych,
  • kategorie odbiorców (jeżeli dane są im udostępniane, a w szczególności jeśli dane udostępniane są do państw trzecich lub organizacjom międzynarodowym),
  • przewidywany termin usunięcia danych,
  • ogólny opis stosowanych organizacyjnych i technicznych środków bezpieczeństwa.

Podsumowanie

Mając na uwadze powyższe, należy uznać, że obowiązek prowadzenia rejestru czynności przetwarzania dotyczy praktycznie wszystkich przedsiębiorców. Prawnicy Kancelarii TMH zajmujący się wdrożeniami RODO przygotowują również rejestry czynności przetwarzania. Adwokaci i radcowie prawni Kancelarii prawnej TMH świadczą kompleksowe usługi dostosowywania wykorzystywanej już dokumentacji do wymagań RODO, a także przygotowywania tego typu dokumentów na zlecenie Klienta.

 

Julia Bonusiak – prawnik Kancelarii TMH