Kiedy małe i średnie firmy muszą prowadzić rejestr czynności przetwarzania

Dodano: 14 maja 2018
Kiedy małe i średnie firmy muszą prowadzić rejestr czynności przetwarzania

Grupa Robocza Art. 29 do spraw ochrony danych opublikowała stanowisko w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania (30 ust. 5 RODO). Sprawdź, czy musisz prowadzić taki rejestr.

Grupa Robocza Art. 29 przeanalizowała obowiązek prowadzenia przez administratorów i podmioty przetwarzające rejestru czynności przetwarzania i wyjątki niego od (art. 30 RODO).

Zgodnie z motywem 13 RODO uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników. Artykuł 30 ust. 5 RODO doprecyzowuje motyw 13, wskazując, że obowiązek prowadzenia rejestru czynności przetwarzania nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Grupa Robocza Art. 29 wskazuje, że wyjątek przewidziany w artykule 30 ust. 5 RODO nie ma charakteru bezwzględnego i są trzy rodzaje przetwarzania, do których nie ma on zastosowania:

1) przetwarzanie, które może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,

2) przetwarzanie, które nie ma charakteru sporadycznego,

3) przetwarzanie, które obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Grupa Robocza Art. 29 wskazuje, że spełnienie chociażby jednej z tych przesłanek oznacza konieczność prowadzenia rejestru czynności przetwarzania. W związku z tym, nawet jeśli firma będzie zatrudniać mniej niż 250 osób, ale będzie prowadzić przetwarzanie, które może powodować ryzyko (nie tylko wysokie) naruszenia praw lub wolności osób, których dane dotyczą, albo które nie ma charakteru sporadycznego, albo dotyczy szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących, będzie miała obowiązek prowadzenia rejestru.

Jednak co ważne, takie podmioty muszą prowadzić rejestr czynności przetwarzania jedynie dla rodzajów przetwarzania wskazanych w art. 30 ust. 5 RODO.

PRZYKŁAD

Mała organizacja systematycznie przetwarza dane dotyczące swoich pracownikowi. Takie przetwarzanie nie może być uznane za „sporadyczne” i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. Jednak inne czynności przetwarzania, które w rzeczywistości mają charakter „sporadyczny”, nie muszą być zawarte w rejestrze czynności przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób fizycznych, i nie obejmują szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Grupa Robocza Art. 29 wskazuje, że rejestr czynności przetwarzania to przydatne wsparcie dla analizy konsekwencji przetwarzania, czy to istniejącego, czy planowanego. Rejestr ma ułatwić faktyczną ocenę ryzyka naruszenia praw osób fizycznych oraz określenie i wdrożenie odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych – oba elementy zasady rozliczalności przewidzianej w RODO.

W przypadku wielu mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw jest mało prawdopodobne, że prowadzenie rejestru czynności przetwarzania będzie dla nich szczególnie poważnym obciążeniem – twierdzi Grupa Robocza Art. 29. Jednak zauważa, że art. 30 RODO to nowy wymóg administracyjny dla administratorów i podmiotów przetwarzających i w związku z tym zachęca krajowe organy nadzorcze do wspierania małych i średnich przedsiębiorstw, zapewniając narzędzia ułatwiające tworzenie i prowadzenie rejestrów czynności przetwarzania. Na przykład organ nadzorczy może udostępnić na swojej stronie internetowej uproszczony model, który może być wykorzystywany przez małe i średnie przedsiębiorstwa do prowadzenia rejestru czynności przetwarzania nieobjętych wyjątkiem z art. 30 ust. 5 RODO.

Źródło:
  • stanowisko Grupy Roboczej Artykułu 29 ds. ochrony danych w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust. 5 RODO.

Nasi partnerzy i zdobyte nagrody » 


Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel