Rejestr czynności przetwarzania część II

Jowita Kania-Stachura04 grudnia 2017Komentarze (1)

Szanowni Państwo!

Małe porcje są lekko strawne, dlatego też podzieliliśmy informacje o rejestrze czynności przetwarzania na krótkie odcinki. Mam nadzieję, że dzięki temu rejestr czynności przetwarzania będzie dla Państwa, jak przysłowiowa buła z masłem.

W poprzednim odcinku (zobacz: Rejestr czynności przetwarzania) skrótowo opisaliśmy, czym jest i po co został wprowadzony rejestr czynności przetwarzania. Dzisiaj będzie o tym, kiedy powstaje obowiązek jego prowadzenia.

Zasada jest prosta – zgodnie z art. 30 ust 5 RODO, obowiązek sporządzania rejestru ciąży na przedsiębiorcy lub podmiocie zatrudniającym co najmniej 250 osób. Niestety od każdej zasady są też wyjątki, a w tym wypadku wyjątków jest tyle, że rejestr czynności przetwarzania będą musieli prowadzić także:

  1. przedsiębiorcy lub podmioty, które przetwarzają dane osobowe osób fizycznych, w taki sposób, że może to powodować ryzyko naruszenia praw lub wolności tych osób;
  2. przedsiębiorcy lub podmioty przetwarzające dane w sposób niesporadyczny;
  3. przedsiębiorcy lub podmioty przetwarzający dane szczególne, określone w art. 9 ust. RODO (tak zwane dane wrażliwe dotyczące pochodzenia rasowego, etnicznego, światopoglądu, wyznania, zdrowia seksualności itp.).

Już po pobieżnej lekturze wskazanych przesłanek można stwierdzić, że będą one budziły wątpliwości interpretacyjne.

Kiedy przetwarzanie traci charakter sporadyczny?

Kiedy powoduje ryzyko naruszenia praw lub wolności?

Według zamierzeń ustawodawcy europejskiego, RODO miało być „szyte na miarę”, a zatem wprowadzać bardziej restrykcyjne obowiązki wtedy, kiedy to konieczne i zwalniać z dodatkowych wymagań tych, którzy zagrożenia dla danych osobowych nie powodują. Z założenia więc rejestr czynności przetwarzania miał być prowadzony wyłącznie w sytuacji przetwarzania danych osobowych na dużą skalę. Okazało się jednak, że obowiązek ten obciążał będzie bardzo dużą grupę podmiotów.

Prawie każdy administrator, który jednocześnie przetwarza dane osobowe osób fizycznych w związku z prowadzoną działalnością gospodarczą, robi to zazwyczaj w sposób niesporadyczny. Podobnie, bardzo wiele podmiotów przetwarza dane osobowe w minimalnej skali, jednakże są to dane szczególne (na przykład dane o stanie zdrowia pracowników – kierowców zatrudnianych przez niewielką firmę przewozową). We wszystkich tych sytuacjach, zgodnie z RODO, administratorzy zmuszeni będą prowadzić i aktualizować rejestr czynności przetwarzania.

Reasumując miało być dobrze, a wyszło tak, że praktycznie każdy przedsiębiorca powinien przestać zastanawiać się nad tym, czy ma obowiązek prowadzenia rejestru czynności przetwarzania i po prostu zacząć go przygotowywać.

{ 1 komentarz… przeczytaj go poniżej albo dodaj swój }

Stefan Maj 28, 2018 o 12:39

Szanowna Pani, gdyby tak interpretować, jak to Pani czyni, to oznaczałoby, że RODO, a na pewno prywoływany tu przepis, został napisany przez kogos niespełna rozumu. Jak to sobie Pani wyobraża, że firma ma 1-250 pracowników i nie przetwarza ich danych osobowych? Nie ma w tym żadnej logiki.
Jeśli RODO stanowi, że ten obowiązek dotyczy firm, które zatrudniają co najmniej 250 pracowników, to zastrzeżenia, które jednocześnie formułuje, nie mogą nakładać tego obowiązku na wszystkich innych, bo z zasady, gdy zatrudniają pracowników, muszą przetwarzać ich dane osobowe niesporadycznie i muszą przetwarzac ich dane szczególne (do których mają dostęp np. na zwolnieniach lekarskich).
Pozdrawiam serdecznie
Stefan Wajda

Odpowiedz

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez Kania Stachura Toś Kancelaria Radców Prawnych Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest Kania Stachura Toś Kancelaria Radców Prawnych z siedzibą w Krakowie.

Kontakt z Administratorem jest możliwy pod adresem jowita.kania@kancelariakst.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Generalnego Inspektora Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: