Firma

RODO: kiedy mali i średni przedsiębiorcy muszą prowadzić rejestr czynności przetwarzania

Adobe Stock
Przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania - zdecydowali unijni rzecznicy ochrony danych osobowych.

Jak informuje polski Generalny Inspektor Ochrony Danych Osobowych (GIODO) rzecznicy, skupieni w Grupie Roboczej Art. 29, przyjęli takie stanowisko w związku z pytaniami kierowanymi do nich przez przedsiębiorców o wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników, który określony został w Motywie 13 Preambuły RODO.

Motyw 13 zostaw doprecyzowany przez Artykuł 30 ust. 5, który  stanowi, że obowiązek prowadzenia rejestru czynności przetwarzania nie ma zastosowania do 'przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Grupa Robocza Art. 29 uznała za konieczne wydanie interpretacji tego przepisu. Uznano w nim, że wyjątek przewidziany w artykule 30 ust. 5 nie ma charakteru bezwzględnego. Istnieją trzy rodzaje przetwarzania, gdy obowiązek ten trzeba realizować. Chodzi o sytuacje, gdy przetwarzanie:

- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,

- nie ma charakteru sporadycznego,

- obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Dla powstania tego obowiązku wystarczy, że zachodzi którakolwiek z tych sytuacji samodzielnie. Tyle,  że rejestr czynności przetwarzania trzeba prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania.

Jako przykład Grupa Robocza Art. 29 podaje przypadek małej organizacji, która najprawdopodobniej systematycznie przetwarza dane dotyczące swoich pracowników. Jak wskazuje, „w rezultacie takie przetwarzanie nie może być uznane za "sporadyczne" i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. Jednak inne czynności przetwarzania, które w rzeczywistości mają charakter „sporadyczny", nie muszą być zawarte w rejestrze czynności przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób fizycznych, i nie obejmują szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych".

GIODO publikuje na swojej stronie pełny tekst stanowiska Grupy Roboczej Art. 29.

Źródło: rp.pl

REDAKCJA POLECA

NAJNOWSZE Z RP.PL