ZADZWOŃ

Aktualności prawne

Rejestry czynności przetwarzania danych osobowych – kto i w jaki sposób będzie musiał je prowadzić?

Facebook
Twitter
LinkedIn

Rejestry czynności przetwarzania danych osobowych – kto i w jaki sposób będzie musiał je prowadzić?

System rejestrowania u GIODO zbiorów danych osobowych, funkcjonujący według obecnych przepisów ustawy o ochronie danych osobowych, po rozpoczęciu stosowania unijnego ogólnego rozporządzenia o ochronie danych (RODO), tj. od dnia 25 maja 2018 roku, nie zostanie utrzymany. W miejsce obowiązku rejestracji zbiorów administratorzy danych, a także ich przedstawiciele i podmioty przetwarzające będą musieli prowadzić rejestry czynności przetwarzania danych osobowych.

Podmioty zobowiązane do prowadzenia rejestrów

Do prowadzenia rejestrów czynności przetwarzania danych osobowych zobowiązani będą:

  • administrator danych;
  • podmiot przetwarzający dane – tj. podmiot przetwarzający dane w imieniu administratora (w praktyce podmioty, które przetwarzają dane na podstawie umowy o powierzeniu przetwarzania danych osobowych zawartej z administratorem);
  • przedstawiciel administratora lub podmiotu przetwarzającego – tj. podmiot, który ma miejsce zamieszkania lub siedzibę w UE, wyznaczony na piśmie przez administratora lub podmiot przetwarzający, którzy nie mają jednostki organizacyjnej na terenie UE do ich reprezentowania w zakresie obowiązków wynikających z RODO.

Ustawodawca unijny przewidział wyłączenie obowiązku prowadzenia rejestrów w przypadku przedsiębiorców lub podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego lub
  • obejmuje szczególne kategorie danych osobowych (tzw. dane wrażliwe), lub
  • obejmuje dane dotyczące wyroków skazujących i naruszeń prawa.

W praktyce powyższe oznacza, że zdecydowana większość podmiotów, pomimo spełnienia przesłanki zatrudnienia niższego niż 250 osób, będzie musiała prowadzić rejestry czynności przetwarzania danych osobowych – w szczególności z uwagi na fakt, że przetwarzanie danych zazwyczaj nie ma charakteru sporadycznego.

Treść i forma rejestru

W przypadku rejestru prowadzonego przez administratora danych (albo jego przedstawiciela) przepisy RODO wymagają, aby zawarte w nim były następujące informacje:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – o ile ma to zastosowanie w przypadku danego administratora – jego przedstawiciela oraz inspektora danych osobowych;
  • cele przetwarzania danych;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, informacja na temat przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku określonego rodzaju przekazań, do rejestru należy także załączyć dokumentację odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Podmiot przetwarzający (albo jego przedstawiciel) w rejestrze czynności przetwarzania dokonywanych w imieniu administratora będzie musiał wskazywać:

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  • gdy ma to zastosowanie – informacje na temat przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku określonego rodzaju przekazań, podmiot ten będzie musiał załączyć do rejestru także dokumentację odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Rejestry czynności przetwarzania danych powinny być, zgodnie z RODO, prowadzone w „formie pisemnej, w tym formie elektronicznej”. Redakcja przepisu dotyczącego formy rejestru może w praktyce budzić wątpliwości – w szczególności co do tego, czy wystarczające będzie prowadzenie rejestru tylko w jednej ze wskazanych form. Literalna treść przepisu, w tym w wersji anglojęzycznej, skłania jednak do wniosku, że podmiot zobowiązany powinien dysponować rejestrem prowadzonym w obu wskazanych formach.

Obowiązek udostępnienia i sankcje

Podmiot zobowiązany do prowadzenia rejestru czynności przetwarzania będzie musiał udostępniać go na żądanie organu nadzorczego. W Polsce, wedle aktualnie procedowanego projektu ustawy o ochronie danych osobowych, organem tym będzie Prezes Urzędu Ochrony Danych Osobowych.

Nieprowadzenie rejestru czynności przetwarzania w przypadku istnienia takiego obowiązku może być dotkliwe w skutkach. RODO przewiduje w takiej sytuacji karę pieniężną w wysokości do 10 milionów euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Anna Eliszewska  – radca prawny, ukończyła „Praktyczne szkolenie z europejskiego Rozporządzenia o ochronie danych osobowych”

 

 

pexels-photo-530024 komp
O Nas

Nowe biuro w Warszawie MGS LAW

Z przyjemnością informujemy, że w związku ze stałym rozwojem Kancelarii, wychodząc naprzeciw potrzebom naszych Klientów, otworzyliśmy dla Państwa nowe biuro w Warszawie.   Nowa, dodatkowa lokalizacja MGS LAW w Warszawie będzie udogodnieniem przy obsłudze naszych obecnych, jak i przyszłych Klientów ze stolicy i innych miejsc z Polski i zza granicy. Kancelaria MGS LAW w Warszawie, otwarta z początkiem

Czytaj więcej »
23 kwietnia 2024
Energetyka

Kongres Energetyki Przyszłości KEP III edycja

MGS LAW, jako Partner wydarzenia,  serdecznie zaprasza Państwa do udziału w Kongresie Energetyki Przyszłości, gdzie Michał Sznycer znajdzie się wśród ekspertów na panelu: Nowy kierunek rynku energii.    Kongres Energetyki Przyszłości, III edycja  (KEP 2024) odbędzie się w Toruniu w dniach 16-17 kwietnia 2024 r.  Wśród ekspertów III edycji  Kongresu Energetyki Przyszłości,

Czytaj więcej »
10 kwietnia 2024
O Nas

Izabela Koszela, radca prawny w Zespole MGS LAW

Izabela Koszela, radca prawny pracuje w Zespole MGS LAW od marca 2024 roku.  Specjalizuje się w obsłudze korporacyjnej spółek prawa handlowego, ze szczególnym uwzględnieniem podmiotów działających w branży budowlanej i deweloperskiej. Posiada również bogate doświadczenie w zakresie szeroko rozumianego prawa nieruchomości, w tym kompleksowej obsługi prawnej procesów inwestycyjno-budowlanych. Mec. Izabela Koszela w toku dotychczasowej

Czytaj więcej »
9 kwietnia 2024
MGS LAW KANCELARIA RADCÓW PRAWNYCH
Mądry, Sznycer, Sambożuk i Partnerzy

NIP: 583-305-19-17
REGON: 220716047
KRS: 0000319602

NASZE BIURA

GDAŃSK - siedziba główna

Centrum biurowe VIGO
ul. Szymanowskiego 2 / 2.08
80-280 Gdańsk

 

WARSZAWA

Biurowiec Park Avenue

ul. Wspólna 70
00-687 Warszawa

(2. piętro)

KONTAKT

office@mgs-law.eu 

Tel: +48 58 521 92 50

NUMER KONTA

79 1050 1764 1000 0023 3714 1853

SOCIAL MEDIA

Linkedin Facebook-f Twitter Envelope

© 2021 MGS LAW | Created with ♡ by Gienia Creative | Patrycja Okła