Co zmienia RODO – Rejestr czynności przetwarzania danych osobowych

Co zmienia RODO – Rejestr czynności przetwarzania danych osobowych

RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. O tym co od maja 2018 roku zmieni RODO w skrócie pisaliśmy w poprzednim artykule RODO – najistotniejsze zmiany.

Zgodnie z nowymi przepisami, dane osobowe to takie dane, które pozwalają zidentyfikować osobę fizyczną. Mogą to być informacje takie jak: imię, nazwisko, numer PESEL, płeć, adres e-mail, ale również mniej oczywiste jak numer IP, dane o lokalizacji, kod genetyczny, poglądy polityczne czy historia zakupów. Wszelkie informacje zbierane na temat osoby, które pozwalają na ustalenie jej tożsamości, są danymi osobowymi, niezależnie od tego, czy są przetwarzane w formie papierowej czy cyfrowej.

Większość z administratorów danych będzie musiała prowadzić Rejestr czynności przetwarzana danych osobowych. Jest to dokument, który ma pokazywać w szczególności w jakich procesach są przetwarzane dane osobowe, w jakim celu, kogo dotyczą oraz jak są zabezpieczane. Dokument ten będzie musiał zostać udostępniony na każde wezwanie organu nadzorującego.

Jednak nie każdy administrator danych osobowych będzie musiał prowadzić ww. rejestr, a tylko ten kto spełnia choć jeden z poniżyć kryteriów:

  • kto zatrudnia powyżej 250 osób,
  • kto przetwarza dane w sposób powodujący ryzyko naruszenia praw i wolności osób, których dane dotyczą,
  • kto nie przetwarza danych tylko sporadycznie,
  • kto przetwarza dane „wrażliwe”, m.in. informacji o stanie zdrowia (a takie znajdują się np. na zwolnieniach lekarskich), orientacji seksualnej czy karalności,
  • kto udostępnia dane podmiotom trzecim.

 

Rejestr czynności przetwarzania danych osobowych będzie nowym obowiązkiem dla podmiotów dużych lub takich, które przetwarzają dane w szczególny sposób lub szczególne kategorie danych osobowych. Celem prowadzenia ww. rejestru jest możliwości pełnienia nadzoru i monitorowania procesów przetwarzania danych osobowych przez organ nadzorczy. Do tej pory rolę tą pełnił rejestr zbiorów danych osobowych, gdzie należało wskazać bardzo podobny zakres informacji, ale po wejściu w życie zapisów RODO brak będzie obowiązku zgłaszania zebranych danych do GIODO. Była to kwestia, którą wiele przedsiębiorców pomijało lub zaniedbywało.

Warto też wspomnieć, że zmianie ulegnie organ, dotychczas zajmujący się ochroną danych osobowych. Nazwa GIODO zmieni się na PUODO, czyli Prezes Urzędu Ochrony Danych Osobowych.

Zasady tworzenia rejestru czynności przetwarzania określa art. 30 RODO, zgodnie z którym rejestr musi zawierać:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów danych,
  • cele przetwarzania ( przeprowadzenie konkursu),
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych (kategoria osób, to na przykład uczestnicy konkursu, natomiast przy kategorii danych należy wskazać, czy są to dane zwykłe czy wrażliwe),
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
  • gdy ma to zastosowanie do przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, trzeba zawrzeć nazwę tego państwa trzeciego lub organizacji międzynarodowej,
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych (należy zwracać uwagę, że przetwarzanie danych powinno być celowe i ograniczone czasowo),
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Na dzień dzisiejszy żadne przepisy wykonawcze nie odnoszą się do sposobu tworzenia i prowadzenia rejestru przetwarzania, więc administrator danych sam podejmuje decyzję jak to robić.

Zapamiętaj!

Obowiązek prowadzenia rejestru czynności przetwarzana danych osobowych będzie spoczywał nawet na mikroprzedsiębiorcy (jednoosobowej działalności gospodarczej), jeżeli będzie przetwarzał:

  • dane wrażliwe,
  • informacje o wyrokach skazujących lub naruszeniach prawa dotyczących danej osoby,
  • przetwarzał dane na szeroką skalę i/lub w szerokim zakresie,
  • przetwarzanie nie ma charakteru sporadycznego.

 

Dokładniej o tym co i jeszcze się zmieni w kolejnych artykułach. Zapraszamy!

Opublikuj komentarz