Szanowni Państwo!
Małe porcje są lekko strawne, dlatego też podzieliliśmy informacje o rejestrze czynności przetwarzania na krótkie odcinki. Mam nadzieję, że dzięki temu rejestr czynności przetwarzania będzie dla Państwa, jak przysłowiowa buła z masłem.
W poprzednim odcinku (zobacz: Rejestr czynności przetwarzania) skrótowo opisaliśmy, czym jest i po co został wprowadzony rejestr czynności przetwarzania. Dzisiaj będzie o tym, kiedy powstaje obowiązek jego prowadzenia.
Zasada jest prosta – zgodnie z art. 30 ust 5 RODO, obowiązek sporządzania rejestru ciąży na przedsiębiorcy lub podmiocie zatrudniającym co najmniej 250 osób. Niestety od każdej zasady są też wyjątki, a w tym wypadku wyjątków jest tyle, że rejestr czynności przetwarzania będą musieli prowadzić także:
- przedsiębiorcy lub podmioty, które przetwarzają dane osobowe osób fizycznych, w taki sposób, że może to powodować ryzyko naruszenia praw lub wolności tych osób;
- przedsiębiorcy lub podmioty przetwarzające dane w sposób niesporadyczny;
- przedsiębiorcy lub podmioty przetwarzający dane szczególne, określone w art. 9 ust. RODO (tak zwane dane wrażliwe dotyczące pochodzenia rasowego, etnicznego, światopoglądu, wyznania, zdrowia seksualności itp.).
Już po pobieżnej lekturze wskazanych przesłanek można stwierdzić, że będą one budziły wątpliwości interpretacyjne.
Kiedy przetwarzanie traci charakter sporadyczny?
Kiedy powoduje ryzyko naruszenia praw lub wolności?
Według zamierzeń ustawodawcy europejskiego, RODO miało być „szyte na miarę”, a zatem wprowadzać bardziej restrykcyjne obowiązki wtedy, kiedy to konieczne i zwalniać z dodatkowych wymagań tych, którzy zagrożenia dla danych osobowych nie powodują. Z założenia więc rejestr czynności przetwarzania miał być prowadzony wyłącznie w sytuacji przetwarzania danych osobowych na dużą skalę. Okazało się jednak, że obowiązek ten obciążał będzie bardzo dużą grupę podmiotów.
Prawie każdy administrator, który jednocześnie przetwarza dane osobowe osób fizycznych w związku z prowadzoną działalnością gospodarczą, robi to zazwyczaj w sposób niesporadyczny. Podobnie, bardzo wiele podmiotów przetwarza dane osobowe w minimalnej skali, jednakże są to dane szczególne (na przykład dane o stanie zdrowia pracowników – kierowców zatrudnianych przez niewielką firmę przewozową). We wszystkich tych sytuacjach, zgodnie z RODO, administratorzy zmuszeni będą prowadzić i aktualizować rejestr czynności przetwarzania.
Reasumując miało być dobrze, a wyszło tak, że praktycznie każdy przedsiębiorca powinien przestać zastanawiać się nad tym, czy ma obowiązek prowadzenia rejestru czynności przetwarzania i po prostu zacząć go przygotowywać.
{ 1 komentarz… przeczytaj go poniżej albo dodaj swój }
Szanowna Pani, gdyby tak interpretować, jak to Pani czyni, to oznaczałoby, że RODO, a na pewno prywoływany tu przepis, został napisany przez kogos niespełna rozumu. Jak to sobie Pani wyobraża, że firma ma 1-250 pracowników i nie przetwarza ich danych osobowych? Nie ma w tym żadnej logiki.
Jeśli RODO stanowi, że ten obowiązek dotyczy firm, które zatrudniają co najmniej 250 pracowników, to zastrzeżenia, które jednocześnie formułuje, nie mogą nakładać tego obowiązku na wszystkich innych, bo z zasady, gdy zatrudniają pracowników, muszą przetwarzać ich dane osobowe niesporadycznie i muszą przetwarzac ich dane szczególne (do których mają dostęp np. na zwolnieniach lekarskich).
Pozdrawiam serdecznie
Stefan Wajda