Kiedy dane osobowe są przetwarzane sporadycznie i nie trzeba prowadzić rejestru czynności przetwarzania
Do sporadycznego przetwarzania danych osobowych dochodzi, gdy dane są przetwarzane rzadko bądź nieregularnie.
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych wynika z art. 30 ogólnego rozporządzenia o ochronie danych (RODO). W ustępie 5 tego przepisu znajduje się jednak wyłączenie, zgodnie z którym obowiązku prowadzenia rejestru czynności przetwarzania nie mają administratorzy i podmioty przetwarzające zatrudniające mniej niż 250 osób, chyba że przetwarzanie, które prowadzą:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, lub
- nie ma charakteru sporadycznego lub
- obejmuje szczególne kategorie danych osobowych (art. 9 RODO) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych (art. 10 RODO).
Spełnienie chociażby jednego z tych warunków oznacza, że trzeba prowadzić rejestr czynności przetwarzania, nawet jeśli zatrudnia się mniej niż 250 osób. Wówczas w takim rejestrze uwzględnia się tylko te czynności przetwarzania, które nie są sporadyczne, mogą powodować ryzyko lub obejmują szczególne kategorie danych.
RODO nie wskazuje przykładów, kiedy przetwarzanie danych osobowych jest sporadyczne. Zgodnie z definicją ze Słownika Języka Polskiego określenie sporadycznie oznacza „rzadko, nieregularnie”.
|
PRZYKŁAD 1) Przedsiębiorca zatrudnia mniej niż 250 osób, ale przetwarza dane pracowników (dane kadrowe) – nie jest to przetwarzanie sporadyczne, musi więc prowadzić rejestr czynności przetwarzania. 2) Przedsiębiorca prowadzący jednoosobową działalność jednorazowo przetwarza dane osobowe, np. w celu organizacji imprezy promocyjnej – nie będzie musiał prowadzić rejestru czynności przetwarzania. |
- Udostępnienie danych osobowych właścicieli lokali – kiedy spółdzielnia musi to zrobić
- Transmisja obrad rady gminy – czy konieczna umowa powierzenia przetwarzania
- Dostęp do danych osobowych – konieczna weryfikacja tożsamości wnioskodawcy
- Wycofanie zgody na przetwarzanie danych – okres przechowywania oświadczenia
- Wyszukiwanie danych osobowych w darknecie na zlecenie – czy konieczna umowa powierzenia przetwarzania danych
- Umowa podpowierzenia przetwarzania danych w związku z realizacją projektu unijnego
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
