iSecure logo
  • pl
  • en
    • Blog

    RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania

    Olga Skotnicka
    RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania
    Kategorie

    W drugiej części cyklu o najważniejszych zmianach, jakie wprowadza Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) wyjaśniamy na czym polega obowiązek prowadzenia rejestru przetwarzania.

    Przeczytaj pierwszą część cyklu: Rozszerzony obowiązek informacyjny i profilowanie

    W przepisach unijnego Rozporządzenia (RODO) zrezygnowano z często uciążliwego dla administratorów obowiązku rejestracji zbiorów danych osobowych w GIODO. Zamiast tego nowe przepisy nakładają na administratora danych obowiązek prowadzenia rejestru przetwarzania. Wynika to z art. 30., przy czym istnieją pewne wyjątki od obowiązku prowadzenia rejestru dla poszczególnych grup administratorów danych.

    Obowiązek ten nie będzie miał zastosowania w sytuacji, gdy administrator danych zatrudnia mniej niż 250 osób. Niemniej, pomimo zatrudniania poniżej 250 pracowników, obowiązek taki będzie zawsze istniał względem administratorów, gdy dokonywane przez nich przetwarzanie:

    • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
    • nie ma charakteru sporadycznego,
    • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust 1,
    • obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.

    Można więc śmiało stwierdzić, że obowiązek ten będzie spoczywał także na mikroprzedsiębiorcach (jednoosobowej działalności gospodarczej), bo proces przetwarzania danych osobowych rzadko będzie odbywał się sporadycznie.

    Wymogi co do zawartości rejestru przypominają niewątpliwie prowadzony obecnie przez ABI jawny rejestr zbiorów danych osobowych, choć należy odnotować, że RODO wymaga dodania nowych elementów jak np. konieczność wskazania, jeżeli to możliwe, planowanego terminu usunięcia poszczególnych kategorii danych. RODO rozróżnia dwa rejestry – różnią się w zależności od tego, czy dane przetwarzane są przez administratora, czy podmiot przetwarzający, tj.:

    • rejestr czynności prowadzi administrator danych dla swoich danych,
    • rejestr kategorii przetwarzania prowadzi podmiot przetwarzający dla danych, które zostały mu powierzone.

    Jak stworzyć rejestr czynności przetwarzania?

    Zasady tworzenia rejestru czynności przetwarzania określa art. 30 RODO, zgodnie z którym rejestr musi zawierać:

    • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
    • cele przetwarzania, np. przeprowadzenie konkursu;
    • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych (kategoria osób, to na przykład uczestnicy konkursu, natomiast przy kategorii danych należy wskazać, czy są to dane zwykłe czy wrażliwe);
    • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych (RODO co prawda zezwala na wskazanie tylko kategorii odbiorców, jednak jestem zwolenniczką wskazywania konkretnych odbiorców, aby zapewnić rozliczalność danych);
    • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń (zwracam uwagę na wiążące reguły korporacyjne oraz tarczę prywatności UE – USA, które stanowią opis zabezpieczeń);
    • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych (przetwarzanie danych powinno być celowe i ograniczone czasowo);
    • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. (można wskazać ogólnie najważniejsze rzeczy oraz odnieść się do zapisów z polityki bezpieczeństwa).

    Ogromną korzyścią, okazuje się fakt, iż na dzień dzisiejszy żadne przepisy wykonawcze nie odnoszą się do sposobu tworzenia i prowadzenia rejestru przetwarzania, więc administrator danych ma swobodę i sam podejmuje decyzję jak to robić. Można wskazać co najmniej dwie możliwości: albo oddzielny rejestr, tożsamy do obecnego rejestru zbiorów ABI albo rozszerzenie tabeli z wykazem zbiorów w polityce bezpieczeństwa o dodatkowe kolumny. Myślę, że godnym polecenia jest drugie rozwiązanie, bo daje możliwość większej kontroli przez administratora.

    Inaczej jest w przypadku podmiotu przetwarzającego, który nie może dopisać kolejnych kolumn do wykazu swoich danych osobowych w polityce bezpieczeństwa, ponieważ zbiory powierzone nie są zbiorami administrowanymi przez niego. We wskazanej sytuacji, dobrym rozwiązaniem staje się dołączenie dodatkowej kolumny z danymi administratora danych. Przydatną może stać się informacja o dacie zawarcia umowy powierzenia, czasu trwania, czy zasady zakończenia współpracy, a także dodatkowe informacje o dalszym podpowierzeniu. Daje nam to pełną kontrolę oraz ,,poukładaną’’ wiedzę na temat procesów powierzenia i umowy.

    I najważniejsza informacja dla każdego z nas – za nieprowadzenie rejestru będzie groziła kara pieniężna w wysokości do 10 mln EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 proc.  jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Dane osobowe dzieci w internecie
    Bartosz Migas

    “ICO z tym internetem dzieci?” – Część II. Standardy 1 – 3

    (1 – Najlepszy interes dziecka, 2 – Ocena skutków dla ochrony danych, 3 – Dostosowanie do wieku) Po omówieniu ogólnych informacji na temat wytycznych ICO w tekście “ICO z tym internetem dzieci?” – Część I. Kodeks, które dostępne są tutaj, przyszedł czas na dokładne omówienie każdego z 15 standardów, które należy brać pod uwagę przy […]

    Czytaj więcej
    Pobieraczek.pl ukarany przez UOKiK
    Damian Bielecki

    Główne cele audytu ochrony danych

    Z powodu coraz częstszych strat finansowych, jak i w szczególności wizerunkowych, działanie w zgodności z RODO i szeroko pojętą ochroną danych osobowych nie jest już traktowane tylko jako niepotrzebny obowiązek, lecz także jako działanie marketingowe, bardzo pożądane wśród kontrahentów lub klientów przedsiębiorstwa. Oprócz wdrażania rozwiązań zgodnych z RODO, przedsiębiorcy coraz częściej starają się posiadać i […]

    Czytaj więcej
    Agnieszka Rapcewicz

    Franczyza i RODO

    Umowa franczyzy zdecydowanie nie kojarzy się w pierwszej kolejności z tematem ochrony danych osobowych. Franczyza jest rozumiana jako system sprzedaży towarów lub technologii czy świadczenia usług, wiążący się z bliską współpracą niezależnych prawnie podmiotów (franczyzodawcy i franczyzobiorcy). Jest to jeden ze sposobów na rozpoczęcie własnego biznesu, gdy nie za bardzo mamy na niego pomysł. Możemy […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki