eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoPrawo dla biznesu › Rejestr czynności przetwarzania danych osobowych - kiedy jest obowiązkowy?

Rejestr czynności przetwarzania danych osobowych - kiedy jest obowiązkowy?

2020-01-27 00:35

Przeczytaj także: Płatność danymi osobowymi - kiedy informacje o nas stają się walutą


4. Obowiązek prowadzenia rejestru.


Art. 30 ust. 5 RODO, co do zasady wskazuje, że tylko przedsiębiorcy zatrudniający, co najmniej 250 osób są zobowiązani do prowadzenia rejestru czynności przetwarzania danych. Jednakże obowiązek ten został także nałożony na przedsiębiorców, którzy zatrudniają mniej niż 250 osób, w sytuacji, gdy:
  • przedsiębiorca przetwarza dane w taki sposób, że może to powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
  • przetwarzanie nie ma charakteru sporadycznego;
  • przetwarzanie obejmuje szczególne kategorie danych osobowych (np. dane dotyczące zdrowia, poglądów politycznych itp.) lub dane dotyczące wyroków skazujących i czynów zabronionych.

Wskazać należy, że dla powstania powyższego obowiązku wystarczy, że zachodzi jedna z tych sytuacji samodzielnie. Jednakże sam rejestr czynności przetwarzania trzeba prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania. Przykładem może być małe przedsiębiorstwo, które systematycznie przetwarza dane dotyczące swoich pracowników. W związku z tym takie przetwarzanie nie będzie sporadyczne i będzie musiało zostać zawarte w rejestrze czynności przetwarzania. Natomiast inne czynności przetwarzania, które będą mieć charakter sporadyczny, nie będą musiały być zawarte w rejestrze czynności przetwarzania. Jednak tylko pod warunkiem, że będzie mało prawdopodobne, aby powodowało to ryzyko naruszenia praw lub wolności osób fizycznych, oraz nie będą to szczególne kategorii danych lub danych osobowych dotyczące wyroków skazujących i czynów zabronionych.

Może zainteresuje Cię także: https://mikroporady.pl/instrukcje-i-regulaminy/instrukcje/jak-dbac-o-dane-przetrzymywane-w-chmurze-wykorzystywanie-programow-do-fakturowania-zgodnie-z-regulacjami-rodo

5. Przechowywanie danych osobowych – tworzenie zbiorów danych.


Przepisy RODO nie zawierają konkretnych wytycznych, które odnoszą się do sposobu przechowywania danych osobowych oraz prowadzenia dokumentacji przetwarzania danych osobowych, jak również jej zawartości. Nie oznacza to jednak, że administrator nie jest zobowiązany do posiadania żadnej dokumentacji w tym zakresie. Przepisy RODO nie określają wymagań dotyczących dokumentacji przetwarzania danych osobowych. Dają w tym zakresie dużą swobodę administratorom danych. Administrator może dowolnie kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przechowywania danych. Jednakże w przepisach RODO zostały ujęte pewne wymagania formalne dotyczące zakresu dokumentowania danych, są to m.in.:
  • prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • zgłaszanie naruszenia ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  • prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

Przechowywanie danych jest to swojego rodzaju utrzymywanie zapisów w zbiorach danych (jak np. rejestry, kartoteki, wykazy). Takie zbiory umożliwiają korzystanie w rozumieniu definicji przetwarzania, przekazywanie, czyli udostępnianie uprawnionym pracownikom (sprzedawcom, akwizytorom tj. zaufanym partnerom), jak i podmiotom, z którymi przedsiębiorca współpracuje, czyli np. firmom transportowym czy serwisowym. Może również nastąpić ograniczanie utrzymania zapisów, które stanowią jedynie zarchiwizowanie danych nie dla przetwarzania, a z ostrożności w związku z terminami możliwych roszczeń z tytułu szkód na zasadach ogólnych lub gdy wynika to bezpośrednio z ustawy jak np. przepisy kodeksu pracy czy ustaw dotyczących ubezpieczeń społecznych nakładają na pracodawcę obowiązek przechowywania zbiorów dokumentacji personalnej, której okres wynosi 50 lat od dnia zakończenia stosunku pracy, jak również dokumentacji płacowej pracownika, licząc od dnia jej wytworzenia.

Pamiętać należy, że aby tworząc zbiory danych, niezależnie od ich formatowania i nośników, zawsze uwzględniać dwa podstawowe kryteria:
  • czasu, przez jaki przedsiębiorca może je przechowywać:
    • na czas niezbędny dla realizacji transakcji;
    • na czas, w którym z tytułu transakcji mogą powstać obowiązki dla przedsiębiorcy (rękojmie, gwarancje, odpowiedzialność za produkt niebezpieczny);
    • na czas nieograniczony;
  • możliwość i zakres przetwarzania, w tym udostępniania osobom trzecim.

Warto również pamiętać, że jeżeli chodzi o dozwolone przetwarzanie, to można je podzielić na następujące kryteria:
  • jedynie dla potrzeb tej jednej transakcji;
  • dla potrzeb innych transakcji z danym podmiotem (kontrahentem, klientem) bez możliwości wykorzystania we własnej działalności marketingowej oraz w celach reklamowych;
  • dla wykorzystania w celach marketingu i reklamy, ale tylko produktów przedsiębiorcy i dla danej osoby;
  • dla wykorzystania danych do przekazywania cenników i reklam innych produktów, podmiotów, według klucza branżowego lub zadeklarowanych zainteresowań;
  • zgoda na przetwarzanie, udostępnianie bez ograniczeń.

6. Podsumowanie


Podsumowując przedsiębiorcy w swoich firmach powinni na pewno opracować rejestr czynności przetwarzania w zakresie dotyczącym osób zatrudnionych. Taki rejestr powinien być na bieżąco aktualizowany, wraz z podejmowaniem przez pracodawcę jakichkolwiek nowych czynności na danych pracowników.

Przedsiębiorcy powinni również zastanowić się, czy pozostałe wyjątki dot. tworzenia rejestru czynności przetwarzania przewidziane w RODO mają zastosowanie w ich przypadku. Jeżeli oprócz danych osobowych osób zatrudnionych przedsiębiorcy będą przetwarzać także informacje dotyczące wyroków skazujących lub czynów zabronionych, albo, jeżeli sposób, w jaki przetwarzają dane osobowe innych osób czy też podmiotów może powodować ryzyko dla ich praw i wolności, to prowadzony rejestr powinien uwzględniać także wszelkie operacje dokonywane na danych tych podmiotów.

Podstawa prawna:
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO), (t.j. Dz.Urz.UE.L 2016 Nr 119, str. 1);
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000).

Masz pytania? Zapytaj bezpłatnie naszego eksperta https://mikroporady.pl/porady/zatrudnianie-pracownikow-do-pracy-zdalnej-jak-zatrudniac-pracownika-do-pracy-zdalnej-plusy-i-minusy-jakie-obowiazki-ciaza-na-pracodawcy-i-prawa-pracownika

poprzednia  

1 2

Przeczytaj także

Umowa dowodowa w mediacjach

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: