Jawny rejestr zbiorów danych – czy zgodnie z ogólnym rozporządzeniem też trzeba będzie go prowadzić

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 1 maja 2017
Jawny rejestr zbiorów danych – czy zgodnie z ogólnym rozporządzeniem też trzeba będzie go prowadzić

Jednym z obowiązków administratora bezpieczeństwa informacji – powołanego i zgłoszonego do GIODO – jest prowadzenie jawnego rejestru zbiorów danych osobowych przetwarzanych przez administratora danych. Dowiedz się, czy zgodnie z ogólnym rozporządzeniem o ochronie danych osobowych również trzeba będzie go prowadzić.

Ogólne rozporządzenie o ochronie danych wskazuje, że aby spełnić wymogi, które z niego wynikają, konieczne jest wdrożenie przez administratorów danych odpowiednich środków służących ochronie danych. Rozporządzenie wymaga zatem aktywnej postawy administratorów danych i zobowiązuje ich do:

1) uwzględniania ochrony danych w fazie projektowania (privacy by design),

2) domyślnej ochrony danych (privacy by default),

3) oceny skutków przetwarzania dla ochrony danych osobowych,

4) prowadzenia konsultacji z organem nadzorczym,

5) rejestrowania czynności przetwarzania.

Administrator danych musi projektować swoje usługi bądź produkty w taki sposób, aby potrzeba wykorzystania danych osobowych była jak najmniejsza (zasada privacy by default). Musi także uwzględniać ochronę danych już na etapie projektowania swoich usług bądź produktów (zasada privacy by design).

Jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia ochrony danych osobowych, ADO powinien jeszcze przed rozpoczęciem przetwarzania przeprowadzić ocenę skutków przetwarzania dla ochrony danych osobowych. Może być również zobowiązany do skonsultowania się z organem nadzorczym, jeśli w wyniku przeprowadzonej oceny ustali, że planowane przetwarzanie danych wiąże się z wysokim ryzykiem.

Administrator danych może być też zobowiązany do prowadzenia rejestru czynności przetwarzania danych, w którym muszą znaleźć się informacje m.in. o kategorii danych osobowych i celach przetwarzania.

Ważne:

Ogólne rozporządzenie znosi obowiązek rejestracji zbiorów danych osobowych, a zatem rezygnuje z administracyjnego trybu kontroli przetwarzania danych osobowych. Procedurę tę zastępują nowe obowiązki administratorów danych, w szczególności te związane z oceną skutków przetwarzania dla ochrony danych osobowych oraz prowadzeniem rejestru czynności przetwarzania.

Nie trzeba będzie zgłaszać zbiorów danych osobowych do rejestracji

Gdy planowane przetwarzanie danych będzie się wiązać z dużym ryzykiem i koniecznością podjęcia środków w celu jego zminimalizowania, ADO będzie musiał przeprowadzić konsultacje z krajowym organem nadzorczym. Konsultacje te będą prowadzone przed rozpoczęciem przetwarzania danych.

Jeżeli organ nadzorczy uzna, że planowane operacje przetwarzania danych stanowiłyby naruszenie postanowień rozporządzenia, wówczas udzieli administratorowi w terminie do ośmiu tygodni pisemnego zalecenia. Może także skorzystać z dowolnego ze swych uprawnień określonych w rozporządzeniu, np. wydać ostrzeżenie dotyczące możliwości naruszenia przepisów rozporządzenia poprzez planowane operacje przetwarzania. Zatem, zamiast rejestrować zbiory danych osobowych, administrator będzie musiał stworzyć dokumentację obrazującą przeprowadzenie oceny ryzyka przetwarzania danych i potrzebną dla ewentualnego prowadzenia konsultacji z krajowym organem nadzorczym.

Co dalej z jawnym rejestrem zbiorów danych osobowych

Administrator nie będzie musiał samodzielnie wykonywać obowiązków, które nakłada na niego unijne rozporządzenie. Będzie mógł powołać inspektora ochrony danych osobowych, a w przypadkach określonych w rozporządzeniu będzie miał wręcz taki obowiązek. Inspektor ochrony danych będzie służył administratorowi wsparciem m.in. w przygotowaniu dokumentacji związanej z oceną ryzyka planowanych operacji przetwarzania danych osobowych oraz w prowadzeniu rejestru czynności przetwarzania danych.

Uwaga

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych nie dotyczy każdego administratora danych osobowych. Obowiązek ten nie obejmuje bowiem przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego te podmioty dokonują:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych lub
  • dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Z chwilą, gdy ogólne rozporządzenie zacznie obowiązywać, administrator będzie zwolniony z obowiązku rejestrowania zbiorów danych osobowych u GIODO niezależnie od tego, jakie dane te zbiory mają zawierać. Nie będzie także musiał prowadzić wewnętrznego rejestru zbiorów danych osobowych w takim kształcie, jaki wymagają tego obecnie obowiązujące polskie przepisy. Zamiast tego będzie zobowiązany do prowadzenia rejestru czynności przetwarzania danych (jeśli zatrudnia 250 osób lub więcej albo zatrudnia mniej niż 250 osób, jednak przetwarza dane o określonym charakterze i w określony sposób).

Jakie informacje musi zawierać rejestr czynności przetwarzania danych

Ogólne rozporządzenie wymaga, aby rejestr czynności przetwarzania danych osobowych zawierał określone informacje. Ustala przy tym sposób prowadzenia rejestru, wskazując, że ma on mieć formę pisemną. Jako formę pisemną rozporządzenie nakazuje traktować także formę elektroniczną. Na żądanie organu nadzorczego administrator danych powinien udostępnić mu prowadzony przez siebie rejestr.  

Rejestr czynności przetwarzania danych powinien zawierać następujące elementy:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Analizując wykaz elementów, które musi zawierać rejestr czynności przetwarzania danych osobowych, można stwierdzić, że jest on w swojej strukturze podobny do rejestru zbioru danych osobowych, do którego prowadzenia zobowiązani są obecnie ABI. Do rejestru zbiorów wprowadza się i wykreśla zbiory danych, a w odniesieniu do każdego zbioru danych umieszcza się określone informacje dotyczące tego zbioru i przetwarzanych w nim danych osobowych.

Rejestr czynności przetwarzania powinien z kolei zawierać opis kategorii osób, których dane dotyczą, a następnie przypisany danej kategorii opis kategorii danych osobowych, cele przetwarzania, czy planowane terminy usunięcia poszczególnych kategorii danych.

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel