iSecure logo
  • pl
  • en
    • Blog

    RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania

    Olga Skotnicka
    RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania
    Kategorie

    W drugiej części cyklu o najważniejszych zmianach, jakie wprowadza Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) wyjaśniamy na czym polega obowiązek prowadzenia rejestru przetwarzania.

    Przeczytaj pierwszą część cyklu: Rozszerzony obowiązek informacyjny i profilowanie

    W przepisach unijnego Rozporządzenia (RODO) zrezygnowano z często uciążliwego dla administratorów obowiązku rejestracji zbiorów danych osobowych w GIODO. Zamiast tego nowe przepisy nakładają na administratora danych obowiązek prowadzenia rejestru przetwarzania. Wynika to z art. 30., przy czym istnieją pewne wyjątki od obowiązku prowadzenia rejestru dla poszczególnych grup administratorów danych.

    Obowiązek ten nie będzie miał zastosowania w sytuacji, gdy administrator danych zatrudnia mniej niż 250 osób. Niemniej, pomimo zatrudniania poniżej 250 pracowników, obowiązek taki będzie zawsze istniał względem administratorów, gdy dokonywane przez nich przetwarzanie:

    • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
    • nie ma charakteru sporadycznego,
    • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust 1,
    • obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.

    Można więc śmiało stwierdzić, że obowiązek ten będzie spoczywał także na mikroprzedsiębiorcach (jednoosobowej działalności gospodarczej), bo proces przetwarzania danych osobowych rzadko będzie odbywał się sporadycznie.

    Wymogi co do zawartości rejestru przypominają niewątpliwie prowadzony obecnie przez ABI jawny rejestr zbiorów danych osobowych, choć należy odnotować, że RODO wymaga dodania nowych elementów jak np. konieczność wskazania, jeżeli to możliwe, planowanego terminu usunięcia poszczególnych kategorii danych. RODO rozróżnia dwa rejestry – różnią się w zależności od tego, czy dane przetwarzane są przez administratora, czy podmiot przetwarzający, tj.:

    • rejestr czynności prowadzi administrator danych dla swoich danych,
    • rejestr kategorii przetwarzania prowadzi podmiot przetwarzający dla danych, które zostały mu powierzone.

    Jak stworzyć rejestr czynności przetwarzania?

    Zasady tworzenia rejestru czynności przetwarzania określa art. 30 RODO, zgodnie z którym rejestr musi zawierać:

    • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
    • cele przetwarzania, np. przeprowadzenie konkursu;
    • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych (kategoria osób, to na przykład uczestnicy konkursu, natomiast przy kategorii danych należy wskazać, czy są to dane zwykłe czy wrażliwe);
    • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych (RODO co prawda zezwala na wskazanie tylko kategorii odbiorców, jednak jestem zwolenniczką wskazywania konkretnych odbiorców, aby zapewnić rozliczalność danych);
    • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń (zwracam uwagę na wiążące reguły korporacyjne oraz tarczę prywatności UE – USA, które stanowią opis zabezpieczeń);
    • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych (przetwarzanie danych powinno być celowe i ograniczone czasowo);
    • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. (można wskazać ogólnie najważniejsze rzeczy oraz odnieść się do zapisów z polityki bezpieczeństwa).

    Ogromną korzyścią, okazuje się fakt, iż na dzień dzisiejszy żadne przepisy wykonawcze nie odnoszą się do sposobu tworzenia i prowadzenia rejestru przetwarzania, więc administrator danych ma swobodę i sam podejmuje decyzję jak to robić. Można wskazać co najmniej dwie możliwości: albo oddzielny rejestr, tożsamy do obecnego rejestru zbiorów ABI albo rozszerzenie tabeli z wykazem zbiorów w polityce bezpieczeństwa o dodatkowe kolumny. Myślę, że godnym polecenia jest drugie rozwiązanie, bo daje możliwość większej kontroli przez administratora.

    Inaczej jest w przypadku podmiotu przetwarzającego, który nie może dopisać kolejnych kolumn do wykazu swoich danych osobowych w polityce bezpieczeństwa, ponieważ zbiory powierzone nie są zbiorami administrowanymi przez niego. We wskazanej sytuacji, dobrym rozwiązaniem staje się dołączenie dodatkowej kolumny z danymi administratora danych. Przydatną może stać się informacja o dacie zawarcia umowy powierzenia, czasu trwania, czy zasady zakończenia współpracy, a także dodatkowe informacje o dalszym podpowierzeniu. Daje nam to pełną kontrolę oraz ,,poukładaną’’ wiedzę na temat procesów powierzenia i umowy.

    I najważniejsza informacja dla każdego z nas – za nieprowadzenie rejestru będzie groziła kara pieniężna w wysokości do 10 mln EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 proc.  jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Paweł Wojciechowski

    UODO egzekwuje niezależność IOD – jak nie wpaść w pułapkę przerzucania obowiązków na inspektora?

    UODO egzekwuje niezależność IOD – jak nie wpaść w pułapkę przerzucania obowiązków na inspektora? Od dłuższego czasu w środowisku prawników, inspektorów ochrony danych i specjalistów compliance toczy się dyskusja, jak daleko sięga rola IOD w procesie reagowania na naruszenia ochrony danych osobowych. Choć teoretyczne ramy wynikają bezpośrednio z RODO, praktyka wielu organizacji wciąż pokazuje coś […]

    Czytaj więcej
    Maria Lothamer

    Dane osobowe w sklepie stacjonarnym – jak je chronić?

    Ochrona danych osobowych w sklepie stacjonarnym jest istotnym aspektem, szczególnie w kontekście przestrzegania przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO). Zdecydowana większość poradników skupia się na zabezpieczeniu danych osobowych w środowisku cyfrowym co powoduje, że zapominamy, że dużą część danych przetwarzamy w formie tradycyjnej. Oto kilka kroków, które pomogą Ci chronić dane osobowe w […]

    Czytaj więcej
    Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.
    Przemysław Siarka

    Ciasteczko po Irlandzku, czyli Irlandzki organ nadzorczy o plikach cookies

    Irlandzki organ ochrony danych osobowych (IDPC – Irish Data Protection Commision) na swojej stronie internetowej zamieścił wskazówki dotyczące plików cookies oraz innych plików śledzących. Dokument powstał po dokonaniu audytu wybranych stron internetowych. W drugiej połowie ubiegłego roku IDPC wysłał kwestionariusz do 40 różnych organizacji celem przeanalizowania wykorzystania plików śledzących na stronach internetowych. W szczególności chciał […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki