Nie każdy administrator musi prowadzić rejestr czynności przetwarzania danych. Sprawdź, kiedy nie ma obowiązku jego prowadzenia. Skorzystaj ze wskazówek Grupy Roboczej Art. 29.
Co do zasady prowadzenie rejestru czynności przetwarzania to prawny obowiązek. Są jednak z jego zwolnieni administratorzy zatrudniający mniej niż 250 pracowników. Dotyczy to odpowiednio rejestru kategorii czynności przetwarzania prowadzonego przez procesorów. Rozwiązanie to zostało przewidziane w art. 30 ust. 5 RODO z uwagi na specyfikę ochrony danych osobowych w mikroprzedsiębiorstwach, a także małych i średnich przedsiębiorstwach.
Pobierz wzór:
Od tej reguły w przepisach RODO przewidziano jednak istotne wyjątki. W razie ich wystąpienia prowadzenie rejestru będzie obowiązkowe, nawet jeżeli administrator danych osobowych (podmiot przetwarzający) zatrudnia mniej niż 250 pracowników.
Należy prowadzić rejestr czynności przetwarzania danych osobowych (odpowiednio rejestr kategorii czynności przetwarzania) gdy przetwarzanie:
Wystarczy spełnienie jednego z powyższych warunków, a administrator (procesor) będzie musiał prowadzić rejestr bez względu na liczbę pracowników. Niestety wyjątki przedstawione w art. 30 ust. 5 RODO budzą wątpliwości interpretacyjne, ponieważ zawierają sformułowania nieostre. Dlatego warto sięgnąć do Wytycznych Grupy Roboczej Art. 29.
W odniesieniu do pierwszego z wyjątków Grupa Robocza Art. 29 wskazuje, że ryzyko naruszenia praw lub wolności osób, których dotyczą dane, wcale nie musi być wysokie. Oznacza to, że co do zasady każde ryzyko naruszenia skutkuje obowiązkiem prowadzenia rejestru bez względu na liczbę pracowników. Wyjątkiem jest sytuacja, w której wystąpienie takiego ryzyka jest mało prawdopodobne.
Odnośnie do sporadycznego przetwarzania danych, Grupa Robocza Art. 29 podała przykład z zakresu kadr. Otóż przetwarzanie danych osobowych pracowników, niezależnie od ich liczby, zwykle trudno uznać za sporadyczne.
Według Grupy Roboczej Art. 29 czynność przetwarzania jest sporadyczna tylko wtedy, gdy:
Trzeci z wyjątków, odmiennie od wyżej wymienionych, jest akurat dość oczywisty. Dotyczy on bowiem przetwarzania danych:
Z całą pewnością rejestr czynności przetwarzania danych musi prowadzić np. placówka medyczna, nawet stosunkowo niewielka.
Grupa Robocza Art. 29 sformułowała jeszcze jeden dosyć istotny wniosek. Otóż w przypadku wystąpienia jednego z przedstawionych wyjątków organizacja musi prowadzić rejestr jedynie w zakresie czynności (kategorii czynności) przetwarzania objętych tym wyjątkiem.
Niewielki zakład pracy systematycznie przetwarzania dane osobowe swoich pracowników, ale w pozostałym zakresie przetwarzanie danych ma sporadyczny charakter i nie wiąże się z ryzykiem. Co więcej, nie są to dane wrażliwe ani wymienione w art. 10 RODO. W takim przypadku w rejestrze należy ująć tylko przetwarzanie danych pracowników.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
