Rejestr czynności przetwarzania danych osobowych

Rejestr czynności przetwarzania danych osobowych

Rejestr czynności przetwarzania danych osobowych

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dalej jako „RODO” nakłada na administratora danych osobowych szereg obowiązków. Jednym z nich jest m.in. konieczność prowadzenia rejestru  czynności przetwarzania danych osobowych (art. 30 ust. 1 RODO) i dotyczy on czynności przetwarzania, za które administrator (ewentualnie również współadministrator) odpowiada.

Jakie są obligatoryjne elementy rejestru przetwarzania danych osobowych?

Wspomniany powyżej art. 30 RODO wymienia elementy obligatoryjne takiego rejestru, tj.:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  2. cele przetwarzania;
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Czy każdy administrator ma obowiązek prowadzić rejestr czynności przetwarzania danych?

Otóż nie. Obowiązek prowadzenia rejestru czynności przetwarzania przez administratora (lub jego przedstawiciela) nie dotyczy przedsiębiorców (zgodnie z definicją zawartą w art. 4 pkt 18 RODO przedsiębiorca oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą) lub podmiotów zatrudniających mniej niż 250 osób.

Zaznaczyć jednak należy, że zwolnienie z obowiązku prowadzenia rejestru nie będzie jednak miało zastosowania co do tych przedsiębiorców lub podmiotów w przypadku gdy:

  • przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego, lub
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Zauważyć dodatkowo należy, że art. 35 ust. 4 RODO nakłada na administratora danych obowiązek udostępnienia rejestru organowi nadzorczemu (w przypadku zgłoszenia przez ten organ żądania w tym zakresie).

Warto rozważyć prowadzenie ww. rejestru, w przypadku nawet braku obowiązku, jako że jest to dobre narzędzie do oceny procesów przetwarzania przez danego administratora.

W jakie formie powinien być prowadzony rejestr czynności przetwarzania?

Rejestr czynności przetwarzania zgodnie z art. 30 ust. 3 RODO powinien mieć formę pisemną, w tym formę elektroniczną.

Jakie są sankcje za brak rejestru czynności przetwarzania?

Brak prowadzenia rejestru czynności przetwarzania (w przypadku, gdy administrator na podstawie RODO jest do powyższego zobligowany) stanowi przesłankę do nałożenia (niższe – ale nadal jednak wysokiej!) administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 lit. a RODO (w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).

ilona świderska-ćwik

Ilona Świderska-Ćwik

Radca prawny

Potrzebujesz pomocy przy wdrożeniu RODO?

W razie pytań lub wątpliwości – zachęcamy do komentowania, kontaktu mailowego lub telefonicznego bezpośrednio z prawnikiem specjalizującym się w kwestiach ochrony danych osobowych. Wspomagamy firmy w bieżących audytach i wdrożeniach RODO.

Spodobał Ci się artykuł  – polub, udostępnij lub zostaw komentarz. Będzie nam bardzo miło!