Logowanie

Rejestracja

Poprzez założenie konta Użytkownika w serwisie e-prawnik.pl wyrażam zgodę na przetwarzanie moich danych osobowych w celu wykonania zobowiązań przez Legalsupport sp. z o.o. z siedzibą w Krakowie, przy ul. Gabrieli Zapolskiej 36, kod poczt. 30-126, zarejestrowaną w Sądzie Rejonowym dla Krakowa - Śródmieścia w Krakowie, NIP 676-21-64-973, kapitał zakładowy 133.000,00 zł, zgodnie z ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych.
Równocześnie akceptuję regulamin serwisu e-Prawnik.pl

Bezpłatny dostęp tylko dla zarejestrowanych

masz już konto?

  • Wyrażam zgodę na przetwarzanie moich danych osobowych i akceptuję Regulamin serwisu e-Prawnik.pl (więcej)

  • Wyrażam zgodę na otrzymywanie od Legalsupport sp. z o.o. informacji handlowej (więcej)


Kiedy MŚP muszą prowadzić rejestr czynności przetwarzania danych?

www.sxc.hu/arinas74
(fot. www.sxc.hu/arinas74)

Grupa Robocza Art. 29 przyjęła stanowisko, w którym wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania.

Z czego wynika obowiązek prowadzenia rejestru czynności przetwarzania?

Na mocy artykułu 30 RODO istnieje obowiązek prowadzenia przez administratorów i podmioty przetwarzające rejestru czynności przetwarzania. Przewidziano jednak wyjątki od tego obowiązku.

Motyw 13 RODO stanowi: „Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników”.

Artykuł 30 ust. 5 doprecyzowuje motyw 13. Stanowi on, że obowiązek prowadzenia rejestru czynności przetwarzania nie ma zastosowania do ‘przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Mali i średni przedsiębiorcy muszą w określonych sytuacjach prowadzić rejestr czynności przetwarzania danych

Grupa Robocza Art. 29, skupiająca unijnych rzeczników ochrony danych osobowych, w tym GIODO, przyjęła stanowisko, w którym wskazuje, w jakich przypadkach administratorzy lub podmioty przetwarzające zatrudniające mniej niż 250 pracowników, muszą prowadzić rejestr czynności przetwarzania. 

Wyjaśniła w nim, iż wyjątek przewidziany w artykule 30 ust. 5 RODO nie ma charakteru bezwzględnego. Istnieją trzy rodzaje przetwarzania, do których nie ma on zastosowania. Należą do nich:

  • przetwarzanie, które może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
  • przetwarzanie, które nie ma charakteru sporadycznego;
  • przetwarzanie, które obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

A zatem obowiązek rejestrowania trzeba realizować, gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Przy czym dla jego powstania wystarczy, że zachodzi którakolwiek z tych sytuacji samodzielnie. Brzmienie artykułu 30 ust. 5 jasno przewiduje bowiem, iż trzy rodzaje przetwarzania, do których wyjątek nie ma zastosowania, mają charakter alternatywny („lub”) i wystąpienie któregokolwiek z nich samodzielnie wywołuje obowiązek prowadzenia rejestru czynności przetwarzania. W związku z tym, mimo zatrudniania mniej niż 250 pracowników, administratorzy danych lub podmioty przetwarzające, którzy znajdują się w sytuacji przetwarzania, które może powodować ryzyko (nie tylko wysokie ryzyko) naruszenia praw lub wolności osób, których dane dotyczą, albo przetwarzania danych osobowych, które nie ma charakteru sporadycznego, albo przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących, o których mowa w art. 10, są zobowiązani do prowadzenia rejestru czynności przetwarzania. 

Rejestr czynności przetwarzania trzeba jednak prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania. Takie organizacje muszą więc tylko prowadzić rejestr czynności przetwarzania dla rodzajów przetwarzania wskazanych w artykule 30 ust. 5.

Przykład:

Mała organizacja, która najprawdopodobniej systematycznie przetwarza dane dotyczące swoich pracowników, ma taki obowiązek. W rezultacie takie przetwarzanie nie może być uznane za „sporadyczne” i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. Jednak inne czynności przetwarzania, które w rzeczywistości mają charakter „sporadyczny”, nie muszą być zawarte w rejestrze czynności przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób fizycznych, i nie obejmują szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych. Czynność przetwarzania można przy tym uznać za „sporadyczną” tylko, jeżeli nie jest prowadzona systematycznie i odbywa się poza regularną działalnością administratora lub podmiotu przetwarzającego (zob. Wytyczne Grupy Roboczej Art. 29 dotyczące artykułu 49 Rozporządzenia 2016/679, WP262).

Jak wskazała Grupa Robocza Art. 29, rejestr czynności przetwarzania stanowi bardzo przydatne wsparcie dla analizy konsekwencji przetwarzania, czy to istniejącego czy planowanego. Rejestr ułatwia faktyczną ocenę ryzyka naruszenia praw osób fizycznych, jakim mogą skutkować czynności przetwarzania prowadzone przez administratora lub podmiot przetwarzający, oraz określenie i wdrożenie odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych – oba elementy zasady rozliczalności przewidzianej w RODO. W przypadku wielu mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw jest mało prawdopodobne, że prowadzenie rejestru czynności przetwarzania stanowić będzie dla nich szczególnie poważne obciążenie.

Jednak artykuł 30 stanowi nowy wymóg administracyjny dla administratorów i podmiotów przetwarzających i w związku z tym zachęca krajowe organy nadzorcze do wspierania małych i średnich przedsiębiorstw, zapewniając narzędzia ułatwiające tworzenie i prowadzenie rejestrów czynności przetwarzania. Na przykład organ nadzorczy może udostępnić na swojej stronie internetowej uproszczony model, który może być wykorzystywany przez małe i średnie przedsiębiorstwa do prowadzenia rejestru czynności przetwarzania nieobjętych wyjątkiem z artykułu 30 ust. 5.

Należy wyjaśnić, iż Grupa Robocza Art. 29 została powołana na mocy art. 29 dyrektywy 95/46/WE. Jest to niezależny europejski organ doradczy w kwestiach ochrony danych i prywatności. Jego zadania zostały opisane w art. 30 dyrektywy 95/46/WE i art. 15 dyrektywy 2002/58/WE. Obsługę sekretariatu zapewnia Dyrekcja C (Prawa Podstawowe i Obywatelstwo Unii Europejskiej) Dyrekcji Generalnej ds. Sprawiedliwości Komisji Europejskiej, B-1049 Bruksela, Belgia, biuro nr MO-59 02/013.

 

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.

  

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).

 

Komentarze: Kiedy MŚP muszą prowadzić rejestr czynności przetwarzania danych?

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Dodaj komentarz

Administratorem danych osobowych jest Legalsupport sp. z o.o. z siedzibą w Krakowie przy ul. Gabrieli Zapolskiej 36. Podane przez Użytkownika dane osobowe będą przetwarzane w celu realizacji umowy i w zakresie niezbędnym do świadczenia usług oraz w celach statystycznych. Podanie danych osobowych przez użytkownika jest dobrowolne. Użytkownik ma prawo dostępu do ich treści oraz poprawy.

Pomoc prawna online

Opinie naszych klientów

  • Małgorzata

    ocena usługi:

    wszystkim niezdecydowanym serdecznie polecam portal e-prawnik.Ogromny plus dla portalu, że moja sprawa została bardzo dogłębnie zbadana. Stanowisko prawne i dalsza ścieżka postępowania jasno określona.Wszystkie moje wątpliwości, które nasuwały mi się po otrzymaniu opinii sukcesywnie przez kilka dni zostały wyjaśnione.Drugi ogromny plus za bardzo szybki czas reakcji na moja wysyłana korespondencję.Dzięki kontaktowi z portalem e-prawnik mam poczucie, że nie jestem sama z problemem.Biorąc pod uwagę konkurencyjną na rynku cenę za usługę, z całym przekonaniem mogę potwierdzić, że była tego warta.
  • Z. Wiśniewski

    ocena usługi:

    Jestem wysoce usatysfakcjonowany pracą zespołu e-prawnik.pl Gorąco polecam
  • Renata

    ocena usługi:

  • Damian

    ocena usługi:

  • Zbyszek

    ocena usługi:

    Biuro e-prawnik pomogło w sprawie, za co dziękuje.
  • Agnieszka

    ocena usługi:

    Bardzo trafna i rzeczowa obsługa Polecam wszystkim, którzy potrzebują porady prawnej
  • Sławomir

    ocena usługi:

    Dziękuję za poradę. Bardzo pomocny serwis, rzeczowe odpowiedzi, krótki czas oczekiwania na wycenę opinii. Naprawdę jestem zadowolony. Polecam
  • Wiesława

    ocena usługi:

    Dziękuję..., otrzymałam jasną i profesjonalną odpowiedź polecam Wiesława
  • Adam

    ocena usługi:

    Dzięki bardzo merytorycznej opinii oszczędzono mi przegranej sprawy w Sądzie .
  • Dorota

    ocena usługi:

    polecam, szybko i konkretnie
  • Anna

    ocena usługi:

  • Halina

    ocena usługi:

    Jestem zadowolona, otrzymałam jasną dla mnie jasną odpowiedź. Polecam.
  • Halina

    ocena usługi:

    Jestem zadowolona, otrzymałam jasną dla mnie jasną odpowiedź. Polecam.
  • Katarzyna

    ocena usługi:

    Profesjonalnie i dokladnie.napewno będę jeszcze korzystać. Dziękuję Katarzyna
  • Adam

    ocena usługi:

    Bardzo wyczerpująca opinia, na temat, bez zbędnych komentarzy.
  • Małgorzata

    ocena usługi:

    Bardzo dobra, fachowa obsługa, rzetelne i profesjonalne podejście do tematu, bardzo dziękuję i polecam
  • Piotr

    ocena usługi:

    jestem bardzo zadowolony. pelny profesjonalizm, polecam wszystkim osobom potrzebujacym porady prawnej




Informujemy, iż zgodnie z przepisem art. 25 ust. 1 pkt. 1 lit. b ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz. U. 2006 r. Nr 90 poz. 631), dalsze rozpowszechnianie artykułów i porad prawnych publikowanych w niniejszym serwisie jest zabronione.

Zadaj pytanie – porady prawne w 24h już od 30zł

* pola wymagane