Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

Nowy dokument z zakresu ochrony danych osobowych już od 25 maja 2018r.

blog-150

Zgodnie z Rozporządzeniem ogólnym UE w sprawie ochrony danych osobowych, niemal każdy administrator danych będzie musiał prowadzić rejestr czynności przetwarzana danych osobowych. Jest to dokument, który ma pokazywać w szczególności w jakich procesach w organizacji są przetwarzane dane osobowe, w jakim celu, kogo dotyczą oraz jak są zabezpieczane. Dokument ten będzie musiał zostać udostępniony na każde wezwanie GIODO.

Celem prowadzenia ww. rejestru jest możliwości pełnienia nadzoru i monitorowania procesów przetwarzania danych osobowych przez organ nadzorczy. Do tej pory rolę tą pełnił rejestr zbiorów danych osobowych, gdzie należało wskazać bardzo podobny zakres informacji. Jednak Rozporządzenie ogólne UE nie przewiduje obowiązku rejestracji zbiorów danych osobowych i proces ten zostanie ostatecznie zakończony w maju 2018r.

Jednak nie każdy administrator danych osobowych lub procesor danych będzie musiał prowadzić ww. rejestr, a tylko ten, który zatrudnia powyżej 250 osób, ten który przetwarza dane w sposób powodujący ryzyko naruszenia praw i wolności osób, których dane dotyczą, przetwarzanie to nie jest sporadyczne, a ciągłe oraz ten który przetwarza dane tzw. wrażliwe w tym wyroki skazujące i dotyczące naruszeń prawa. Innymi słowy powyższy obowiązek dotyczy trzech kategorii podmiotów. Kryteria wyodrębnienia tych podmiotów opierają się z jednej strony na wielkości zatrudnienia, a z drugiej strony ze względu na sposób przetwarzania danych i kategorię tych danych.

Rejestracja czynności przetwarzania

Rejestr czynności przetwarzania prowadzony przez administratora danych może maksymalnie zawierać siedem pozycji:

  • nazwę i dane kontaktowe administratora danych oraz dane kontaktowe IODO jeżeli został powołany,
  • cel przetwarzania danych osobowych,
  • opis kategorii osób, których dane dotyczą oraz zakres danych (wrażliwe lub zwykłe),
  • kategorie odbiorców, którym dane zostały lub zostaną udostępnione,
  • informację o przekazywaniu danych do państwa trzeciego wraz z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie,
  • planowany termin usunięcia danych osobowych,
  • ogólny opis zastosowanych zabezpieczeń technicznych i organizacyjnych.

Kontynuacją powyższego rejestru jest rejestr prowadzony przez każdego procesora danych, któremu administrator tych danych powierzył przetwarzanie danych, oczywiście jeżeli znajduje się on w grupie trzech ww. kategorii podmiotów. Procesor ten prowadzi rejestr czynności przetwarzania w następującym zakresie:

  • nazwę i dane kontaktowe procesora lub procesorów oraz dane kontaktowe wszystkich administratorów danych w imieniu, których działa procesor jak również dane kontaktowe IODO jeżeli został powołany,
  • formy przetwarzania, które wykonuje procesor danych tj. np. przechowywanie, modyfikowania, usuwanie, etc.,
  • informację o przekazywaniu danych do państwa trzeciego wraz z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie,
  • ogólny opis zastosowanych zabezpieczeń technicznych i organizacyjnych.

Podsumowanie

Rejestr czynności przetwarzania danych osobowych będzie nowym obowiązkiem dla podmiotów dużych lub takich, które przetwarzają dane w szczególny sposób lub szczególne kategorie danych osobowych. Celem prowadzenia rejestru jest możliwość zorientowania się przez organ nadzorczy jak faktycznie przebiegają procesy przetwarzania danych gdyż w tych kategoriach podmiotów może być to skomplikowane lub szczególnie istotne ze względu na prawo do prywatności osób, których dane dotyczą. Zakres informacji objętych rejestrem czynności przetwarzania danych osobowych nie wskazuje szczegółów tych procesów, a jedynie wskazuje podstawowe informacje, które mają pozwolić organowi nadzorczemu skierowanie szczegółowych pytań lub czynności kontrolnych wobec właściwych podmiotów. Innymi słowy celem prowadzenia rejestru jest przyspieszenie działania organu nadzorczego w sytuacji, gdy czas reakcji jest kluczowy dla skuteczności nadzoru.

Pozornie wymóg ten może wydawać się mało istotny jednak ustawodawca europejski przewidział za brak jego realizacji dość wysoką górną granicę kary w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

 

Sprawdź również:

Skuteczne wdrożenie RODO z kim je zrealizować?

HIT RODO NAWIGATOR zamów za darmo

Strefa RODO najważniejsze zmiany i nowości

 


Konrad Gałaj-Emiliańczyk
05 września 2017
Biuletyn ODO 24 Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd wydarzeń. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.