Już niedługo przedsiębiorcy będą zobowiązani wykazać się spełnieniem nowego obowiązku: prowadzenia rejestru czynności przetwarzania danych osobowych. To istotny element dokumentacji danych osobowych wymaganej przez unijne rozporządzenie RODO. Prowadzenie rejestru będzie obowiązkowe dla wszystkich podmiotów, które zatrudniają co najmniej 250 osób, ale również w wielu wypadkach dla mniejszych, m.in. jeżeli przetwarzanie, którego dokonują, nie ma charakteru sporadycznego, może powodować naruszenie praw lub wolności osób lub obejmuje szczególne kategorie danych (np. o stanie zdrowia, przynależność do związków zawodowych). Co ważne, rejestr powinien być gotowy na 25 maja tego roku, a więc na dzień, kiedy zacznie być stosowane RODO. Problem w tym, że przedsiębiorcy nie wiedzą, jakie czynności przetwarzania należy uwzględnić w rejestrze. Unijne rozporządzenie nie definiuje czynności przetwarzania. Organy nadzorcze w UE natomiast dotąd nie wyjaśniły tego szczegółowo. Od generalnego inspektora ochrony danych osobowych uzyskaliśmy informację, że organ czeka na ustalenia w ramach unijnej Grupy Roboczej Art. 29 – po to, aby ewentualna rekomendacja GIODO była spójna z ustaleniami w innych krajach UE. Zapowiada jednak, że w najbliższym czasie opublikuje takie precyzyjne wyjaśnienia. Zatem do tematu powrócimy.
25 maja 2018 r. zaczną być stosowane nowe regulacje o ochronie danych osobowych – RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1). Weszło ono w życie już w maju 2016 r., ale za cztery miesiące upłynie dwuletni okres, który unijny legislator dał przedsiębiorcom na dostosowanie się do nowych wymagań. W praktyce oznacza to, że od tego dnia krajowy organ nadzoru – prezes Urzędu Ochrony Danych Osobowych (który najprawdopodobniej powstanie w miejsce obecnego GIODO) będzie mógł sprawdzić, jak przedsiębiorcy przygotowali się do stosowania zmienionych przepisów. Wydaje się, że o obowiązkach wynikających z unijnego rozporządzenia powiedziano już bardzo dużo, jednak obserwujemy, że wiele polskich firmnawet nie rozpoczęło prac zmierzających do jego wdrożenia, a niektórzy wciąż jeszcze nie mają świadomości, iż taki obowiązek na nich spoczywa. Kontynuujemy zatem serię artykułów poradniczych, w których przybliżymy najważniejsze zmiany i nowe obowiązki wynikające z RODO. Dziś wskazujemy, od czego zacząć przygotowania do wdrożenia RODO i jak rozplanować prace.
NA CZYM POLEGA NOWY OBOWIĄZEK
Obowiązek prowadzenia rejestru czynności przetwarzania danych wynika z przepisów rozporządzenia RODO.
Rejestr ten powinien być gotowy na 25 maja tego roku, tj. na dzień, gdy rozporządzenie zacznie być w pełni stosowane. To nowy wymóg. Dotychczas przedsiębiorcy, którzy przetwarzają dane osobowe, nie byli zobowiązani do prowadzenia takiego rejestru. Był natomiast obowiązek prowadzenia rejestru zbiorów danych. Zobowiązani byli prowadzić go ci administratorzy danych, którzy powołali administratorów bezpieczeństwa danych i zgłosili ich do generalnego inspektora ochrony danych osobowych, a zatem nie wszyscy.
NA KIM SPOCZYWA
Nowy obowiązek dotyczy prawie wszystkich administratorów danych. Teoretycznie zwolnieni z niego są ci przedsiębiorcy, który zatrudniają mniej niż 250 osób. Ale w praktyce niewielu przedsiębiorców skorzysta z tego zwolnienia.
Źródło: https://prawo.gazetaprawna.pl/artykuly/1102435,rodo-jakie-czynnosci-przetwarzania-danych-osobowych-trzeba-rejestrowac.html
