Kiedy MŚP muszą prowadzić rejestr czynności przetwarzania danych?

Grupa Robocza Art. 29 przyjęła stanowisko, w którym wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania.

Z czego wynika obowiązek prowadzenia rejestru czynności przetwarzania?

Na mocy artykułu 30 RODO istnieje obowiązek prowadzenia przez administratorów i podmioty przetwarzające rejestru czynności przetwarzania. Przewidziano jednak wyjątki od tego obowiązku.

Motyw 13 RODO stanowi: „Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników”.

Artykuł 30 ust. 5 doprecyzowuje motyw 13. Stanowi on, że obowiązek prowadzenia rejestru czynności przetwarzania nie ma zastosowania do ‘przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Mali i średni przedsiębiorcy muszą w określonych sytuacjach prowadzić rejestr czynności przetwarzania danych

Grupa Robocza Art. 29, skupiająca unijnych rzeczników ochrony danych osobowych, w tym GIODO, przyjęła stanowisko, w którym wskazuje, w jakich przypadkach administratorzy lub podmioty przetwarzające zatrudniające mniej niż 250 pracowników, muszą prowadzić rejestr czynności przetwarzania. 

Wyjaśniła w nim, iż wyjątek przewidziany w artykule 30 ust. 5 RODO nie ma charakteru bezwzględnego. Istnieją trzy rodzaje przetwarzania, do których nie ma on zastosowania. Należą do nich:

  • przetwarzanie, które może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
  • przetwarzanie, które nie ma charakteru sporadycznego;
  • przetwarzanie, które obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

A zatem obowiązek rejestrowania trzeba realizować, gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Przy czym dla jego powstania wystarczy, że zachodzi którakolwiek z tych sytuacji samodzielnie. Brzmienie artykułu 30 ust. 5 jasno przewiduje bowiem, iż trzy rodzaje przetwarzania, do których wyjątek nie ma zastosowania, mają charakter alternatywny („lub”) i wystąpienie któregokolwiek z nich samodzielnie wywołuje obowiązek prowadzenia rejestru czynności przetwarzania. W związku z tym, mimo zatrudniania mniej niż 250 pracowników, administratorzy danych lub podmioty przetwarzające, którzy znajdują się w sytuacji przetwarzania, które może powodować ryzyko (nie tylko wysokie ryzyko) naruszenia praw lub wolności osób, których dane dotyczą, albo przetwarzania danych osobowych, które nie ma charakteru sporadycznego, albo przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących, o których mowa w art. 10, są zobowiązani do prowadzenia rejestru czynności przetwarzania. 

Rejestr czynności przetwarzania trzeba jednak prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania. Takie organizacje muszą więc tylko prowadzić rejestr czynności przetwarzania dla rodzajów przetwarzania wskazanych w artykule 30 ust. 5.

Przykład:

Mała organizacja, która najprawdopodobniej systematycznie przetwarza dane dotyczące swoich pracowników, ma taki obowiązek. W rezultacie takie przetwarzanie nie może być uznane za „sporadyczne” i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. Jednak inne czynności przetwarzania, które w rzeczywistości mają charakter „sporadyczny”, nie muszą być zawarte w rejestrze czynności przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób fizycznych, i nie obejmują szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych. Czynność przetwarzania można przy tym uznać za „sporadyczną” tylko, jeżeli nie jest prowadzona systematycznie i odbywa się poza regularną działalnością administratora lub podmiotu przetwarzającego (zob. Wytyczne Grupy Roboczej Art. 29 dotyczące artykułu 49 Rozporządzenia 2016/679, WP262).

Jak wskazała Grupa Robocza Art. 29, rejestr czynności przetwarzania stanowi bardzo przydatne wsparcie dla analizy konsekwencji przetwarzania, czy to istniejącego czy planowanego. Rejestr ułatwia faktyczną ocenę ryzyka naruszenia praw osób fizycznych, jakim mogą skutkować czynności przetwarzania prowadzone przez administratora lub podmiot przetwarzający, oraz określenie i wdrożenie odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych – oba elementy zasady rozliczalności przewidzianej w RODO. W przypadku wielu mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw jest mało prawdopodobne, że prowadzenie rejestru czynności przetwarzania stanowić będzie dla nich szczególnie poważne obciążenie.

Jednak artykuł 30 stanowi nowy wymóg administracyjny dla administratorów i podmiotów przetwarzających i w związku z tym zachęca krajowe organy nadzorcze do wspierania małych i średnich przedsiębiorstw, zapewniając narzędzia ułatwiające tworzenie i prowadzenie rejestrów czynności przetwarzania. Na przykład organ nadzorczy może udostępnić na swojej stronie internetowej uproszczony model, który może być wykorzystywany przez małe i średnie przedsiębiorstwa do prowadzenia rejestru czynności przetwarzania nieobjętych wyjątkiem z artykułu 30 ust. 5.

Należy wyjaśnić, iż Grupa Robocza Art. 29 została powołana na mocy art. 29 dyrektywy 95/46/WE. Jest to niezależny europejski organ doradczy w kwestiach ochrony danych i prywatności. Jego zadania zostały opisane w art. 30 dyrektywy 95/46/WE i art. 15 dyrektywy 2002/58/WE. Obsługę sekretariatu zapewnia Dyrekcja C (Prawa Podstawowe i Obywatelstwo Unii Europejskiej) Dyrekcji Generalnej ds. Sprawiedliwości Komisji Europejskiej, B-1049 Bruksela, Belgia, biuro nr MO-59 02/013.

 

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.

  

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Potrzebujesz pomocy prawnej?

Zapytaj prawnika