Kolejnym zagadnieniem, które chcielibyśmy Państwu przedstawić w związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej jako: „Rozporządzenie RODO”), jest „nowy obowiązek” administratorów danych osobowych tj. obowiązek prowadzenia tzw. rejestrów czynności przetwarzania danych osobowych
Zagadnienie prowadzenia przez administratorów danych osobowych tzw. rejestrów czynności przetwarzania danych osobowych zostało uregulowane w art. 30 ust. 1 Rozporządzenia RODO. Zgodnie z treścią przedmiotowych każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora są zobowiązani do prowadzenia tzw. rejestru czynności przetwarzania danych osobowych. W rejestrze tym zamieszcza się wszystkie następujące informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych.
- cele przetwarzania,
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, informację o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym wskazanie nazwy tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi Rozporządzenia RODO, dokumentacja odpowiednich zabezpieczeń,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 Rozporządzenia RODO.
Rejestry czynności przetwarzania danych osobowych powinien mieć formę pisemną, przy czym dopuszcza się jego prowadzenie w formie elektronicznej. Należy przy tym pamiętać, iż administratorzy są zobowiązaniu do udostępnienia przedmiotowego rejestru na żądanie organu nadzorczego.
W kontekście powyższego warto podkreślić, iż Rozporządzenie RODO dopuszcza sytuację, w których administratorzy nie mają obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych. Obowiązki ten nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób (chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 Rozporządzenia RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 Rozporządzenia RODO.
Powyżej w możliwe syntetyczny sposób przedstawiliśmy Państwu kolejną części problematyki związanej z Rozporządzeniem RODO. W przypadku wątpliwości w tym zakresie lub w innych aspektach związanych z przetwarzaniem danych osobowych na gruncie Rozporządzenia RODO, serdecznie zapraszamy do kontaktu z adwokatem Maciejem Wypych (maciej.wypych@rpwe.pl), który z pewnością odpowie na wszystkie Państwa pytania lub pomoże skonstruować odpowiednie projekty dokumentów.
Maciej Wypych – adwokat / doradca specjalistyczny OWES Debrzno