ZADZWOŃ

Aktualności prawne

Rejestry czynności przetwarzania danych osobowych – kto i w jaki sposób będzie musiał je prowadzić?

Facebook
Twitter
LinkedIn

Rejestry czynności przetwarzania danych osobowych – kto i w jaki sposób będzie musiał je prowadzić?

System rejestrowania u GIODO zbiorów danych osobowych, funkcjonujący według obecnych przepisów ustawy o ochronie danych osobowych, po rozpoczęciu stosowania unijnego ogólnego rozporządzenia o ochronie danych (RODO), tj. od dnia 25 maja 2018 roku, nie zostanie utrzymany. W miejsce obowiązku rejestracji zbiorów administratorzy danych, a także ich przedstawiciele i podmioty przetwarzające będą musieli prowadzić rejestry czynności przetwarzania danych osobowych.

Podmioty zobowiązane do prowadzenia rejestrów

Do prowadzenia rejestrów czynności przetwarzania danych osobowych zobowiązani będą:

  • administrator danych;
  • podmiot przetwarzający dane – tj. podmiot przetwarzający dane w imieniu administratora (w praktyce podmioty, które przetwarzają dane na podstawie umowy o powierzeniu przetwarzania danych osobowych zawartej z administratorem);
  • przedstawiciel administratora lub podmiotu przetwarzającego – tj. podmiot, który ma miejsce zamieszkania lub siedzibę w UE, wyznaczony na piśmie przez administratora lub podmiot przetwarzający, którzy nie mają jednostki organizacyjnej na terenie UE do ich reprezentowania w zakresie obowiązków wynikających z RODO.

Ustawodawca unijny przewidział wyłączenie obowiązku prowadzenia rejestrów w przypadku przedsiębiorców lub podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego lub
  • obejmuje szczególne kategorie danych osobowych (tzw. dane wrażliwe), lub
  • obejmuje dane dotyczące wyroków skazujących i naruszeń prawa.

W praktyce powyższe oznacza, że zdecydowana większość podmiotów, pomimo spełnienia przesłanki zatrudnienia niższego niż 250 osób, będzie musiała prowadzić rejestry czynności przetwarzania danych osobowych – w szczególności z uwagi na fakt, że przetwarzanie danych zazwyczaj nie ma charakteru sporadycznego.

Treść i forma rejestru

W przypadku rejestru prowadzonego przez administratora danych (albo jego przedstawiciela) przepisy RODO wymagają, aby zawarte w nim były następujące informacje:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – o ile ma to zastosowanie w przypadku danego administratora – jego przedstawiciela oraz inspektora danych osobowych;
  • cele przetwarzania danych;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, informacja na temat przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku określonego rodzaju przekazań, do rejestru należy także załączyć dokumentację odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Podmiot przetwarzający (albo jego przedstawiciel) w rejestrze czynności przetwarzania dokonywanych w imieniu administratora będzie musiał wskazywać:

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  • gdy ma to zastosowanie – informacje na temat przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku określonego rodzaju przekazań, podmiot ten będzie musiał załączyć do rejestru także dokumentację odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Rejestry czynności przetwarzania danych powinny być, zgodnie z RODO, prowadzone w „formie pisemnej, w tym formie elektronicznej”. Redakcja przepisu dotyczącego formy rejestru może w praktyce budzić wątpliwości – w szczególności co do tego, czy wystarczające będzie prowadzenie rejestru tylko w jednej ze wskazanych form. Literalna treść przepisu, w tym w wersji anglojęzycznej, skłania jednak do wniosku, że podmiot zobowiązany powinien dysponować rejestrem prowadzonym w obu wskazanych formach.

Obowiązek udostępnienia i sankcje

Podmiot zobowiązany do prowadzenia rejestru czynności przetwarzania będzie musiał udostępniać go na żądanie organu nadzorczego. W Polsce, wedle aktualnie procedowanego projektu ustawy o ochronie danych osobowych, organem tym będzie Prezes Urzędu Ochrony Danych Osobowych.

Nieprowadzenie rejestru czynności przetwarzania w przypadku istnienia takiego obowiązku może być dotkliwe w skutkach. RODO przewiduje w takiej sytuacji karę pieniężną w wysokości do 10 milionów euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Anna Eliszewska  – radca prawny, ukończyła „Praktyczne szkolenie z europejskiego Rozporządzenia o ochronie danych osobowych”

 

 

pexels-photo-530024 komp
Michał Sznycer, radca prawny, partner Kancelarii MGS LAW
Energetyka

Michał Sznycer w Komisji Rewizyjnej TOE XXI kadencji

Partner Kancelarii  MGS LAW, radca prawny Michał Sznycer w składzie Komisji Rewizyjnej Towarzystwa Obrotu Energią XXI Kadencji.     Z przyjemnością informujemy, że podczas Zwyczajnego Walnego Zgromadzenia Członków Towarzystwa Obrotu Energią (TOE) w dniu 27 marca 2024 r. Michał Sznycer – radca prawny i partner Kancelarii MGS LAW został wybrany do składu Komisji Rewizyjnej

Czytaj więcej »
4 kwietnia 2024
Energetyka

Konferencja „Oczekiwania firm energochłonnych wobec polityki gospodarczej Polski, sektora energetycznego i polskiej nauki”

Michał Sznycer brał czynny udział w debacie eksperckiej na Konferencji w Akademii Górniczo-Hutniczej w Krakowie w dniu 14 marca 2024 r.    Michał Sznycer, partner MGS LAW, radca prawny wspólnie z mec. Anną Kucińską, z ramienia Stowarzyszenie Prawników Prawa Energetycznego uczestniczyli w Konferencji, która odbywała się w auli głównej AGH University of Kraków. Konferencja „Oczekiwania firm

Czytaj więcej »
21 marca 2024
O Nas

Maria Pekar dołączyła do Zespołu MGS LAW. Serdecznie witamy!

Serdecznie witamy Marię Pekar, specjalistkę ds. administracyjnych w Zespole MGS LAW.    Maria Pekar pracuje w naszej Kancelarii od lutego br. Jest profesjonalistką w dziedzinie administracji i posiada bogate doświadczenie w tym zakresie. Przejęła szeroki zakres obowiązków, obejmujący nie tylko przygotowywanie dokumentów i obsługę korespondencji, lecz także efektywną współpracę z firmami zewnętrznymi oraz bezpośredni kontakt z klientami.  Jesteśmy pewni, że umiejętności,

Czytaj więcej »
11 marca 2024
MGS LAW KANCELARIA RADCÓW PRAWNYCH
Mądry, Sznycer, Sambożuk i Partnerzy

NIP: 583-305-19-17
REGON: 220716047
KRS: 0000319602

NASZE BIURA

GDAŃSK

Centrum biurowe VIGO
ul. Szymanowskiego 2 / 2.08
80-280 Gdańsk

 

WARSZAWA

Nowogrodzka 18/5
00-511 Warszawa

KONTAKT

office@mgs-law.eu 

Tel: +48 58 521 92 50
Fax: +48 58 521 92 60

NUMER KONTA

79 1050 1764 1000 0023 3714 1853

SOCIAL MEDIA

Linkedin Facebook-f Twitter Envelope

© 2021 MGS LAW | Created with ♡ by Gienia Creative | Patrycja Okła