Fajgielski Paweł, Rejestrowanie czynności przetwarzania danych osobowych
Rejestrowanie czynności przetwarzania danych osobowych
Rejestrowanie czynności przetwarzania danych osobowych
Rejestrowanie czynności przetwarzania danych osobowych
Unijne rozporządzenie o ochronie danych nakłada na administratorów, podmioty przetwarzające dane na zlecenia administratora (oraz ich przedstawicieli) obowiązek rejestrowania czynności przetwarzania. Obowiązek ten polega na prowadzeniu rejestru, w którym powinny być zawarte informacje dotyczące administratora, celów i zakresu przetwarzania oraz innych istotnych kwestii związanych z przetwarzaniem i ochroną danych. Zakres informacji, jakie powinny być zawarte w rejestrze prowadzonym przez administratora, został określony w art. 30 ust. 1 r.o.d.o., natomiast wymogi dotyczące zawartości rejestru prowadzonego przez podmiot przetwarzający zawarto w art. 30 ust. 2 r.o.d.o. Unijny prawodawca określił formę prowadzenia rejestru (art. 30 ust. 3 r.o.d.o.), wprowadził wymóg udostępniania rejestru organowi nadzorczemu (art. 30 ust. 4 r.o.d.o.) oraz przewidział wyjątki od obowiązku prowadzenia rejestru (art. 30 ust. 5 r.o.d.o.). Rejestr czynności przetwarzania zastąpił zgłoszenia zbiorów danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (na podstawie art. 40 u.o.d.o.), a także rejestry zbiorów danych prowadzone przez administratorów bezpieczeństwa informacji na podstawie art. 36a ust. 2 pkt 2 u.o.d.o. Prawodawca unijny uznał obowiązek notyfikacyjny za mało efektywny instrument ochrony danych i zdecydował o zastąpieniu go innymi rozwiązaniami, go których można także zaliczyć obowiązek prowadzenia rejestru czynności przetwarzania na podstawie art. 30 r.o.d.o.
Procedury prawne pokazane w formie interaktywnych schematów, dzięki którym sprawdzisz, jak krok po kroku przebiega postępowanie w danej sprawie.
Dowiedz się więcej o LEX Navigator.
Zamów bezpłatną prezentację zdalną , podczas której przedstawimy Ci to narzędzie.
Krok: przetwarzanie danych osobowych
Przetwarzanie danych osobowych pociąga za sobą wiele obowiązków nałożonych przepisami unijnego rozporządzenia o ochronie danych. Jednym z takich obowiązków, określonym w art. 30 r.o.d.o., jest obowiązek prowadzenia rejestru czynności przetwarzania. Obowiązek ten został nałożony na administratora, którym jest podmiot decydujący o celu i sposobie przetwarzania danych (por. art. 4 pkt 7 r.o.d.o.), na podmiot przetwarzający dane na zlecenie administratora (por. art. 4 pkt 8 r.o.d.o.) oraz na przedstawiciela administratora bądź podmiotu przetwarzającego, w przypadku gdy administrator bądź podmiot przetwarzający nie mają jednostki organizacyjnej na terytorium UE (por. art. 4 pkt 17 r.o.d.o.).
Krok: ocena, czy podmiot zatrudnia mniej niż 250 pracowników
Obowiązek prowadzenia rejestru czynności przetwarzania nie ma charakteru bezwzględnego, gdyż prawodawca unijny przewidział wyjątek dla podmiotów, które zatrudniają mniej niż 250 osób, niezależnie od tego, czy są to przedsiębiorcy (próg 250 osób stanowi nawiązanie do kategorii mikro, małych i średnich przedsiębiorców), ale również inne podmioty (także podmioty publiczne).