iSecure logo
  • pl
  • en
    • Blog

    RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania

    Olga Skotnicka
    RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania
    Kategorie

    W drugiej części cyklu o najważniejszych zmianach, jakie wprowadza Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) wyjaśniamy na czym polega obowiązek prowadzenia rejestru przetwarzania.

    Przeczytaj pierwszą część cyklu: Rozszerzony obowiązek informacyjny i profilowanie

    W przepisach unijnego Rozporządzenia (RODO) zrezygnowano z często uciążliwego dla administratorów obowiązku rejestracji zbiorów danych osobowych w GIODO. Zamiast tego nowe przepisy nakładają na administratora danych obowiązek prowadzenia rejestru przetwarzania. Wynika to z art. 30., przy czym istnieją pewne wyjątki od obowiązku prowadzenia rejestru dla poszczególnych grup administratorów danych.

    Obowiązek ten nie będzie miał zastosowania w sytuacji, gdy administrator danych zatrudnia mniej niż 250 osób. Niemniej, pomimo zatrudniania poniżej 250 pracowników, obowiązek taki będzie zawsze istniał względem administratorów, gdy dokonywane przez nich przetwarzanie:

    • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
    • nie ma charakteru sporadycznego,
    • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust 1,
    • obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.

    Można więc śmiało stwierdzić, że obowiązek ten będzie spoczywał także na mikroprzedsiębiorcach (jednoosobowej działalności gospodarczej), bo proces przetwarzania danych osobowych rzadko będzie odbywał się sporadycznie.

    Wymogi co do zawartości rejestru przypominają niewątpliwie prowadzony obecnie przez ABI jawny rejestr zbiorów danych osobowych, choć należy odnotować, że RODO wymaga dodania nowych elementów jak np. konieczność wskazania, jeżeli to możliwe, planowanego terminu usunięcia poszczególnych kategorii danych. RODO rozróżnia dwa rejestry – różnią się w zależności od tego, czy dane przetwarzane są przez administratora, czy podmiot przetwarzający, tj.:

    • rejestr czynności prowadzi administrator danych dla swoich danych,
    • rejestr kategorii przetwarzania prowadzi podmiot przetwarzający dla danych, które zostały mu powierzone.

    Jak stworzyć rejestr czynności przetwarzania?

    Zasady tworzenia rejestru czynności przetwarzania określa art. 30 RODO, zgodnie z którym rejestr musi zawierać:

    • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
    • cele przetwarzania, np. przeprowadzenie konkursu;
    • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych (kategoria osób, to na przykład uczestnicy konkursu, natomiast przy kategorii danych należy wskazać, czy są to dane zwykłe czy wrażliwe);
    • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych (RODO co prawda zezwala na wskazanie tylko kategorii odbiorców, jednak jestem zwolenniczką wskazywania konkretnych odbiorców, aby zapewnić rozliczalność danych);
    • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń (zwracam uwagę na wiążące reguły korporacyjne oraz tarczę prywatności UE – USA, które stanowią opis zabezpieczeń);
    • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych (przetwarzanie danych powinno być celowe i ograniczone czasowo);
    • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. (można wskazać ogólnie najważniejsze rzeczy oraz odnieść się do zapisów z polityki bezpieczeństwa).

    Ogromną korzyścią, okazuje się fakt, iż na dzień dzisiejszy żadne przepisy wykonawcze nie odnoszą się do sposobu tworzenia i prowadzenia rejestru przetwarzania, więc administrator danych ma swobodę i sam podejmuje decyzję jak to robić. Można wskazać co najmniej dwie możliwości: albo oddzielny rejestr, tożsamy do obecnego rejestru zbiorów ABI albo rozszerzenie tabeli z wykazem zbiorów w polityce bezpieczeństwa o dodatkowe kolumny. Myślę, że godnym polecenia jest drugie rozwiązanie, bo daje możliwość większej kontroli przez administratora.

    Inaczej jest w przypadku podmiotu przetwarzającego, który nie może dopisać kolejnych kolumn do wykazu swoich danych osobowych w polityce bezpieczeństwa, ponieważ zbiory powierzone nie są zbiorami administrowanymi przez niego. We wskazanej sytuacji, dobrym rozwiązaniem staje się dołączenie dodatkowej kolumny z danymi administratora danych. Przydatną może stać się informacja o dacie zawarcia umowy powierzenia, czasu trwania, czy zasady zakończenia współpracy, a także dodatkowe informacje o dalszym podpowierzeniu. Daje nam to pełną kontrolę oraz ,,poukładaną’’ wiedzę na temat procesów powierzenia i umowy.

    I najważniejsza informacja dla każdego z nas – za nieprowadzenie rejestru będzie groziła kara pieniężna w wysokości do 10 mln EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 proc.  jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.
    Przemysław Siarka

    Czy musimy mieć zgodę na ciasteczka? Wskazówek irlandzkiego organu ciąg dalszy

    Kontynuujemy wpis z ubiegłego miesiąca. Opisałem w nim wnioski z dokonanego przez Irlandzki Organ Ochrony Danych Osobowych (IDPC – Irish Data Protection Commision) audytu stron internetowych 38 administratorów danych. Teraz nadszedł czas na przedstawienie wskazówek, jakie zaprezentował wspomniany organ. Wstępne rozważania organu o plikach śledzących Na wstępie IDPC zaznacza, że nie tylko ciasteczkami człowiek żyje. […]

    Czytaj więcej
    Maria Lothamer

    Dane osobowe w sklepie stacjonarnym – jak je chronić?

    Ochrona danych osobowych w sklepie stacjonarnym jest istotnym aspektem, szczególnie w kontekście przestrzegania przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO). Zdecydowana większość poradników skupia się na zabezpieczeniu danych osobowych w środowisku cyfrowym co powoduje, że zapominamy, że dużą część danych przetwarzamy w formie tradycyjnej. Oto kilka kroków, które pomogą Ci chronić dane osobowe w […]

    Czytaj więcej
    Przydatne aplikacje
    Agnieszka Rapcewicz

    When does the processor become a controller?

    Can the processor also act as a controller in the course of a personal data processing entrustment agreement? Can the processor, after termination of the entrustment agreement, become the controller of personal data which it previously processed only on behalf of another entity? Answers to these questions are important for determining the duties and potential […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki