Co do zasady rejestr czynności przetwarzania danych osobowych powinien prowadzić administrator danych osobowych lub podmiot przetwarzający liczący sobie co najmniej 250 pracowników. Od tej reguły przewidziane są jednak wyjątki – sprawdź, jakie.
Dokumentacja ODO
Każdy administrator danych osobowych powinien prowadzić dokumentację ochrony danych osobowych, w tym przede wszystkim dokumentację odpowiednich zabezpieczeń. Zgodnie z art. 4 pkt 7 RODO pod pojęciem administratora należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Dokumentacja danych osobowych według RODO może mieć bardzo różny kształt i tytuły. Wszystko zależy od tego jakie dane, w jakiej formie, na jakiej podstawie i w jakim zakresie administrator przetwarza. W szczególności dokumentacja ochrony danych powinna opisywać środki zabezpieczające przetwarzanie danych wdrożone przez administratora danych. Zgodnie z art. 24 RODO „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.
Oznacza to, że administrator danych powinien samodzielnie ocenić czy i jakie środki należy podjąć i jak je opisać w dokumentacji RODO.
Inne dokumenty – poza dotyczącymi środków zabezpieczających – jakie powinny zostać wdrożone to:
- rejestr czynności przetwarzania;
- zakres rejestru kategorii czynności przetwarzania;
- rejestr naruszeń ochrony danych;
- raport dokumentujący wyniki przeprowadzonych ocen skutków dla oceny danych.
RCPD – kiedy obowiązkowy?
Rejestr czynności przetwarzania danych zgodnie z motywem 13 RODO, z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw nie dotyczy podmiotów zatrudniających mniej niż 250 pracowników. Motyw ten ogranicza więc zastosowanie art. 30 ust. 1 RODO tylko do administratorów danych osobowych i przedstawicieli administratorów zatrudniających co najmniej 250 pracowników. Od tej reguły istnieją jednak wyjątki wskazujące, kiedy rejestr czynności przetwarzania danych powinien być prowadzony przez podmioty zatrudniające mniej niż 250 osób. Jest tak w przypadkach, gdy przetwarzanie, którego takie podmioty dokonują:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
- nie ma charakteru sporadycznego lub
- obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 (czyli dane wrażliwe), lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa (o czym mowa w art. 10 RODO).
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 4, art. 25, art. 30.
—
Marcin Sarna
ekspert portalu poradyODO.pl
