Logowanie

Rejestracja

Poprzez założenie konta Użytkownika w serwisie e-prawnik.pl wyrażam zgodę na przetwarzanie moich danych osobowych w celu wykonania zobowiązań przez Legalsupport sp. z o.o. z siedzibą w Krakowie, przy ul. Gabrieli Zapolskiej 36, kod poczt. 30-126, zarejestrowaną w Sądzie Rejonowym dla Krakowa - Śródmieścia w Krakowie, NIP 676-21-64-973, kapitał zakładowy 133.000,00 zł, zgodnie z ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych.
Równocześnie akceptuję regulamin serwisu e-Prawnik.pl

Bezpłatny dostęp tylko dla zarejestrowanych

masz już konto?

  • Wyrażam zgodę na przetwarzanie moich danych osobowych i akceptuję Regulamin serwisu e-Prawnik.pl (więcej)

  • Wyrażam zgodę na otrzymywanie od Legalsupport sp. z o.o. informacji handlowej (więcej)


Rejestr czynności przetwarzania danych osobowych według RODO

FreeImages.com
(fot. FreeImages.com)

25 maja 2018 r. we wszystkich krajach Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych nr 2016/679 (RODO).

RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. Pozwoli ono m.in. spójnie monitorować przetwarzanie danych osobowych.

Kto będzie musiał prowadzić rejestr czynności przetwarzania danych osobowych, a kto nie?

Przede wszystkim artykuł 30 RODO normuje rejestrowanie czynności przetwarzania. Wskazuje on m.in., że każdy administrator oraz - gdy ma to zastosowanie - przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. 

Rejestr czynności zastąpi obowiązek zgłaszania zbiorów danych do organu nadzorczego (obecnie GIODO). Dyrektywa 95/46/WE przewidywała ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych. Obowiązek ten powodował jednak obciążenia administracyjne i finansowe oraz nie zawsze przyczyniał się do poprawy ochrony danych osobowych. Dlatego nowe rozporządzenie znosi te powszechne, ogólne obowiązki zawiadamiania i zastępuje je skutecznymi procedurami i mechanizmami koncentrującymi się w zamian na tych rodzajach operacji przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Takie rodzaje operacji przetwarzania obejmują w szczególności operacje, które wiążą się w szczególności z użyciem nowych technologii bądź które są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych lub stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania. 

Dla zachowania zgodności z RODO, administrator lub podmiot przetwarzający powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. Każdy administrator i każdy podmiot przetwarzający mają też obowiązek współpracować z organem nadzorczym i na jego żądanie udostępniać mu te rejestry w celu monitorowania tych operacji przetwarzania. Według nowych przepisów, administrator lub podmiot przetwarzający oraz - gdy ma to zastosowanie - przedstawiciel administratora lub podmiotu przetwarzającego udostępniać mają rejestr na żądanie organu nadzorczego.

Jak wspomniano, obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych dotyczy administratora danych oraz podmiotu przetwarzającego dane. Rejestr będzie więc sporządzany wewnątrz przedsiębiorstwa albo innej instytucji prywatnej albo publicznej, a dokumentacja z rejestru pozwoli rozliczać się przed organem nadzoru w przypadku kontroli. 

Rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych, przy czym niektóre z tych procesów występujących w typowych organizacjach mogą być zwolnione z prowadzenia rejestru. Zgodnie z preambułą RODO, zachęca się też instytucje i organy Unii, państwa członkowskie i ich organy nadzorcze, by stosując to rozporządzenie, uwzględniały szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw omawiane rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników. Obowiązki prowadzenia rejestru nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują:
  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, 
  • nie ma charakteru sporadycznego lub 
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 (zgodnie z którym, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby), lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Przykład:

A zatem przedsiębiorcy zatrudniający poniżej 250 osób muszą prowadzić rejestr przetwarzania kadrowych danych osobowych bądź danych związanych z zarządzaniem klientami, gdyż w tych przypadkach przetwarzanie nie ma charakteru sporadycznego oraz obejmuje szczególne kategorie danych osobowych.

Rejestr czynności musi być też prowadzony w przedsiębiorstwach zatrudniających mniej niż 250 osób, gdy przetwarzanie może naruszać prawa lub wolności osób, których dane są przetwarzane, np. może poskutkować dyskryminacją, kradzieżą tożsamości bądź oszustwem dotyczącym tożsamości, albo gdy przetwarzanie obejmuje szczególne kategorie danych takie jak dane biometryczne. 

Z kolei przedsiębiorca zatrudniający mniej niż 250 osób, który będzie jednorazowo przetwarzał dane osobowe, nieobejmujące szczególnych kategorii danych, przykładowo dla urządzenia imprezy promocyjnej, będzie w odniesieniu do takiego procesu przetwarzania danych zwolniony z obowiązku prowadzenia rejestru.


Co będzie musiał zawierać rejestr czynności przetwarzania danych osobowych?

Rejestr jest dokumentacją związaną z przetwarzaniem danych osobowych. Stanowi on element dokumentacji ochrony danych.

W rejestrze powinny być zapisane wszystkie czynności związane z przetwarzaniem danych osobowych. „Czynności związane z przetwarzaniem danych” nie są tym samym co „operacje przetwarzania” (operacje przetwarzania, tj. m.in. zbieranie, porządkowanie, usuwanie danych osobowych zdefiniowane są w słowniczku w art. 4 pkt 2 RODO; wg tego przepisu, "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie).

Posługiwanie się kategorią czynności przetwarzania wymaga szerokiego spojrzenia na przetwarzane dane osobowe w organizacji, przykładowo poprzez kategorie podmiotów danych, których dane przetwarzamy, albo celów, dla których je przetwarzamy. Kształtując rejestr na podstawie kategorii podmiotów danych, można wyróżnić np. pracowników i klientów.

Następnym krokiem jest określenie czynności przetwarzania danych w danej kategorii. W kategorii pracowników mogą to być czynności przetwarzania dotyczące m.in.: zatrudniania, wypłaty wynagrodzenia, organizacji wyjazdów służbowych, ubezpieczenia społecznego, ubezpieczenia chorobowego. Każdej kategorii czynności powinny być przypisane operacje przetwarzania.

Ponadto w rejestrze powinien zostać zamieszczony szereg innych informacji. Te informacje, które muszą zostać zamieszczone w rejestrze prowadzonym odpowiednio przez administratora danych i przetwarzającego, określone zostały w art. 30 RODO. Wskazuje on m.in., jakie informacje musi odnotowywać w rejestrze administrator danych, a jakie - podmiot przetwarzający.

I tak, w rejestrze czynności przetwarzania danych osobowych, za które odpowiadają administrator oraz przedstawiciel administratora, zamieszcza się wszystkie następujące informacje:

 a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;

 b) cele przetwarzania;

 c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

 d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

 e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

 f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

 g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Każdy podmiot przetwarzający oraz - gdy ma to zastosowanie - przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

 a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

 b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

 c) gdy ma to zastosowanie - przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

 d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

W jakiej formie należy prowadzić rejestr?

Rejestry powyższe mają mieć formę pisemną, w tym formę elektroniczną.

To, w jakiej dokładnie formie rejestr będzie prowadzony, jest sprawą indywidualną organizacji – może to być dowolny typ pliku w wybranym programie komputerowym. W tym względzie RODO nie narzuca konkretnych rozwiązań, jedynie wskazuje kryteria, jakie każdy rejestr musi wypełniać. Ważne jest to, żeby rejestr czynności był na bieżąco aktualizowany, a jego zawartość odpowiednio chroniona przed nieuprawnionymi osobami.

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dz.Urz. UE L z 2016 r., nr 119, s. 1) - preambuła: motywy 13, 82 i 89, art. 4 pkt 1 i 2, art. 30.

 

Komentarze: Rejestr czynności przetwarzania danych osobowych według RODO

  • Krzysiek 2018-03-30 01:29:56

    Re: Rejestr czynności przetwarzania danych osobowych według RODO

    ?Trzeba będzie rejestrować czynności przetwarzania!? Taki komunikat coraz częściej dociera do zobowiązanych do zastosowania i następnie stosowania Rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych - RODO. Czyli co trzeba będzie rejestrować? No, ?czynności przetwarzania? ? czyli, co ? każdą aktywność (czynność, działanie) w związku z przetwarzaniem danych osobowych? Bzdura ? i to bez czytania tymczasem treści Artykułu 30. Wydaje się być dość wystarczająco oczywiste, że gdyby wymagać zapisywania (rejestrowania, rozpisania, ewidencjowania, katalogowania) każdej operacji (aktywności, czynności, działania) na danych osobowych, to pewnie w zdecydowanej większości wyobrażanych przypadków dochodzi do przekroczenia granic absurdu.

  • Jest tu ktoś mądr 2018-03-17 23:17:37

    Re: Rejestr czynności przetwarzania danych osobowych według RODO

    Czyli co musze prowadzić czy nie to rodo? A zatrudniam kilku pracownikow w firmie produkcyjnej bez sklepu internetowego.


Dodaj komentarz

Administratorem danych osobowych jest Legalsupport sp. z o.o. z siedzibą w Krakowie przy ul. Gabrieli Zapolskiej 36. Podane przez Użytkownika dane osobowe będą przetwarzane w celu realizacji umowy i w zakresie niezbędnym do świadczenia usług oraz w celach statystycznych. Podanie danych osobowych przez użytkownika jest dobrowolne. Użytkownik ma prawo dostępu do ich treści oraz poprawy.

Pomoc prawna online

Opinie naszych klientów

  • Anna

    ocena usługi:

    Szybko i sprawnie, a opinia napisana w sposób jasny i klarowny.
  • Marek Mikulski

    ocena usługi:

    jestem ogólnie bardzo zadowolony - zwłaszcza z wszechstronnej odpowiedzi, wobec czego bardzo dziękuję
  • Grzes

    ocena usługi:

    Fachowo, terminowo,profesjonalnie, polecam.
  • Jolanta

    ocena usługi:

  • Dorota

    ocena usługi:

    Dziękuję bardzo. Wszystko rzetelnie, a co najważniejsze komentarz w przystępnej formie. Następnym razem tylko e-prawnik.
  • Mirosław

    ocena usługi:

  • Jozef

    ocena usługi:

  • Mirosław

    ocena usługi:

  • Beata Jaroslawska

    ocena usługi:

    Profesjonalizm i fachowość, odpowiedz błyskawiczna, bardzo polecam Z poważaniem
  • Anna

    ocena usługi:

    Bardzo fachowa pomoc. Kontakt idealny. Polecam
  • Zbigniew

    ocena usługi:

    Opinia wydana terminowo, z wnioskami prawnymi podanymi w sposób jasny nawet dla nieprawników. Spełnia założenia przyjęte przeze mnie przy występowaniu z zapytaniem o jej wydanie.
  • Ryszard

    ocena usługi:

    Dziękuję! Opinia jest jasna i zadowalająca w treści. Polecam innym. Z powazaniem
  • Marta

    ocena usługi:

    Doskonały serwis i jakość usług. Otrzymałam niezwykle dogłębną i pomocną poradę prawną oraz odpowiedź na moje dodatkowe, powiązane pytanie. Polecam wszystkim, którzy potrzebują porady prawnika.
  • teti50

    ocena usługi:

    Polecam wszystkim potrzebujacym pomocy prawnej. Bardzo szybko otrzymalam odpowiedz na zadane pytanie.
  • Renata

    ocena usługi:

    Opinia przygotowana szybko, profesjonalnie, zrozumiale. POLECAM.
  • Zdzisława

    ocena usługi:

    Dziękuję za bardzo profesjonalną usługę prawną i wyczerpującą w pełni moje pytanie.Będę polecała napewno znajomym . Sama także skorzystam jeszcze z Państwa porad.
  • Paweł

    ocena usługi:





Informujemy, iż zgodnie z przepisem art. 25 ust. 1 pkt. 1 lit. b ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz. U. 2006 r. Nr 90 poz. 631), dalsze rozpowszechnianie artykułów i porad prawnych publikowanych w niniejszym serwisie jest zabronione.

Zapytaj prawnika – skontaktujemy się z Tobą w ciągu godziny!

* pola wymagane