Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Firma

RODO: kiedy mali i średni przedsiębiorcy muszš prowadzić rejestr czynności przetwarzania

Adobe Stock
Przedsiębiorcy zatrudniajšcy mniej niż 250 osób, nie będš zwolnieni z obowišzku prowadzenia rejestru czynnoœci przetwarzania - zdecydowali unijni rzecznicy ochrony danych osobowych.

Jak informuje polski Generalny Inspektor Ochrony Danych Osobowych (GIODO) rzecznicy, skupieni w Grupie Roboczej Art. 29, przyjęli takie stanowisko w zwišzku z pytaniami kierowanymi do nich przez przedsiębiorców o wyjštek dotyczšcy rejestrowania czynnoœci przetwarzania dla podmiotów zatrudniajšcych mniej niż 250 pracowników, który okreœlony został w Motywie 13 Preambuły RODO.

Motyw 13 zostaw doprecyzowany przez Artykuł 30 ust. 5, który  stanowi, że obowišzek prowadzenia rejestru czynnoœci przetwarzania nie ma zastosowania do 'przedsiębiorcy lub podmiotu zatrudniajšcego mniej niż 250 osób, chyba że przetwarzanie, którego dokonujš, może powodować ryzyko naruszenia praw lub wolnoœci osób, których dane dotyczš, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczšce wyroków skazujšcych i naruszeń prawa, o czym mowa w art. 10.

Grupa Robocza Art. 29 uznała za konieczne wydanie interpretacji tego przepisu. Uznano w nim, że wyjštek przewidziany w artykule 30 ust. 5 nie ma charakteru bezwzględnego. Istniejš trzy rodzaje przetwarzania, gdy obowišzek ten trzeba realizować. Chodzi o sytuacje, gdy przetwarzanie:

- może powodować ryzyko naruszenia praw lub wolnoœci osób, których dane dotyczš,

- nie ma charakteru sporadycznego,

- obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczšce wyroków skazujšcych i czynów zabronionych.

Dla powstania tego obowišzku wystarczy, że zachodzi którakolwiek z tych sytuacji samodzielnie. Tyle,  że rejestr czynnoœci przetwarzania trzeba prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania.

Jako przykład Grupa Robocza Art. 29 podaje przypadek małej organizacji, która najprawdopodobniej systematycznie przetwarza dane dotyczšce swoich pracowników. Jak wskazuje, „w rezultacie takie przetwarzanie nie może być uznane za "sporadyczne" i musi w zwišzku z tym być zawarte w rejestrze czynnoœci przetwarzania. Jednak inne czynnoœci przetwarzania, które w rzeczywistoœci majš charakter „sporadyczny", nie muszš być zawarte w rejestrze czynnoœci przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolnoœci osób fizycznych, i nie obejmujš szczególnych kategorii danych lub danych osobowych dotyczšcych wyroków skazujšcych i czynów zabronionych".

GIODO publikuje na swojej stronie pełny tekst stanowiska Grupy Roboczej Art. 29.

ródło: rp.pl

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL