iSecure logo
  • pl
  • en
    • Blog

    RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania

    Olga Skotnicka
    RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania
    Kategorie

    W drugiej części cyklu o najważniejszych zmianach, jakie wprowadza Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) wyjaśniamy na czym polega obowiązek prowadzenia rejestru przetwarzania.

    Przeczytaj pierwszą część cyklu: Rozszerzony obowiązek informacyjny i profilowanie

    W przepisach unijnego Rozporządzenia (RODO) zrezygnowano z często uciążliwego dla administratorów obowiązku rejestracji zbiorów danych osobowych w GIODO. Zamiast tego nowe przepisy nakładają na administratora danych obowiązek prowadzenia rejestru przetwarzania. Wynika to z art. 30., przy czym istnieją pewne wyjątki od obowiązku prowadzenia rejestru dla poszczególnych grup administratorów danych.

    Obowiązek ten nie będzie miał zastosowania w sytuacji, gdy administrator danych zatrudnia mniej niż 250 osób. Niemniej, pomimo zatrudniania poniżej 250 pracowników, obowiązek taki będzie zawsze istniał względem administratorów, gdy dokonywane przez nich przetwarzanie:

    • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
    • nie ma charakteru sporadycznego,
    • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust 1,
    • obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.

    Można więc śmiało stwierdzić, że obowiązek ten będzie spoczywał także na mikroprzedsiębiorcach (jednoosobowej działalności gospodarczej), bo proces przetwarzania danych osobowych rzadko będzie odbywał się sporadycznie.

    Wymogi co do zawartości rejestru przypominają niewątpliwie prowadzony obecnie przez ABI jawny rejestr zbiorów danych osobowych, choć należy odnotować, że RODO wymaga dodania nowych elementów jak np. konieczność wskazania, jeżeli to możliwe, planowanego terminu usunięcia poszczególnych kategorii danych. RODO rozróżnia dwa rejestry – różnią się w zależności od tego, czy dane przetwarzane są przez administratora, czy podmiot przetwarzający, tj.:

    • rejestr czynności prowadzi administrator danych dla swoich danych,
    • rejestr kategorii przetwarzania prowadzi podmiot przetwarzający dla danych, które zostały mu powierzone.

    Jak stworzyć rejestr czynności przetwarzania?

    Zasady tworzenia rejestru czynności przetwarzania określa art. 30 RODO, zgodnie z którym rejestr musi zawierać:

    • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
    • cele przetwarzania, np. przeprowadzenie konkursu;
    • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych (kategoria osób, to na przykład uczestnicy konkursu, natomiast przy kategorii danych należy wskazać, czy są to dane zwykłe czy wrażliwe);
    • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych (RODO co prawda zezwala na wskazanie tylko kategorii odbiorców, jednak jestem zwolenniczką wskazywania konkretnych odbiorców, aby zapewnić rozliczalność danych);
    • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń (zwracam uwagę na wiążące reguły korporacyjne oraz tarczę prywatności UE – USA, które stanowią opis zabezpieczeń);
    • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych (przetwarzanie danych powinno być celowe i ograniczone czasowo);
    • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. (można wskazać ogólnie najważniejsze rzeczy oraz odnieść się do zapisów z polityki bezpieczeństwa).

    Ogromną korzyścią, okazuje się fakt, iż na dzień dzisiejszy żadne przepisy wykonawcze nie odnoszą się do sposobu tworzenia i prowadzenia rejestru przetwarzania, więc administrator danych ma swobodę i sam podejmuje decyzję jak to robić. Można wskazać co najmniej dwie możliwości: albo oddzielny rejestr, tożsamy do obecnego rejestru zbiorów ABI albo rozszerzenie tabeli z wykazem zbiorów w polityce bezpieczeństwa o dodatkowe kolumny. Myślę, że godnym polecenia jest drugie rozwiązanie, bo daje możliwość większej kontroli przez administratora.

    Inaczej jest w przypadku podmiotu przetwarzającego, który nie może dopisać kolejnych kolumn do wykazu swoich danych osobowych w polityce bezpieczeństwa, ponieważ zbiory powierzone nie są zbiorami administrowanymi przez niego. We wskazanej sytuacji, dobrym rozwiązaniem staje się dołączenie dodatkowej kolumny z danymi administratora danych. Przydatną może stać się informacja o dacie zawarcia umowy powierzenia, czasu trwania, czy zasady zakończenia współpracy, a także dodatkowe informacje o dalszym podpowierzeniu. Daje nam to pełną kontrolę oraz ,,poukładaną’’ wiedzę na temat procesów powierzenia i umowy.

    I najważniejsza informacja dla każdego z nas – za nieprowadzenie rejestru będzie groziła kara pieniężna w wysokości do 10 mln EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 proc.  jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maria Lothamer

    Naruszenie ochrony danych osobowych w firmie – co dalej?

    Jeżeli doszło do naruszenia ochrony danych osobowych w Twojej firmie, np. dane Twoich klientów zostały upublicznione lub dostały się w nieuprawnione ręce, zginęły Ci dokumenty zawierające dane osobowe, to jesteś zobowiązany do podjęcia konkretnych działań. Administrator czy podmiot przetwarzający? W pierwszej kolejności powinieneś określić, czy w stosunku do danych osobowych, których dotyczy naruszenie, jesteś administratorem […]

    Czytaj więcej
    Przemysław Siarka

    Zabezpieczenia pamięci przenośnej według irlandzkiego organu nadzorczego

    Co słychać na zielonej wyspie? Jak dobrze wiemy, jednym z głównych obowiązków administratora danych wynikających z ogólnego rozporządzenia o ochronie danych (RODO) jest zapewnienie odpowiednich środków bezpieczeństwa danych osobowych. Te środki powinny chronić przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem (posługiwaniem się) danymi osobowymi, w tym przed kradzieżą, zniszczeniem, uszkodzeniem lub ich ujawnieniem. Skąd administrator […]

    Czytaj więcej
    Jak przetwarzać dane - poradnik (cz. III)
    Maria Lothamer

    Jak przetwarzać dane – poradnik (cz. III)

    W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych).

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki