Rejestr czynności przetwarzania – dokument wymagany na gruncie RODO

Przepisy RODO przewidują obowiązek prowadzenia przez administratora danych rejestru czynności przetwarzania danych osobowych, za które odpowiadają.

Art. 30 ust. 1 RODO formułuje katalog informacji, które powinny znaleźć się w takim rejestrze, m.in. cele przetwarzania czy też opis kategorii osób, których dane dotyczą i kategorii danych osobowych.

Rejestr ten ma być prowadzony w pisemnej, w tym elektronicznej, i udostępniany organowi nadzorczemu na jego żądanie. Obowiązek ten dotyczy również podmiotu przetwarzającego dane osobowe w imieniu administratora danych.

Niewątpliwie, wymagany rejestr czynności przetwarzania jest jednym z instrumentów umożliwiających wykazanie przez administratora danych wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z zasadą rozliczalności sformułowaną w art. 24 RODO, która to przecież pozostawia samemu administratorowi danych swobodę decyzyjną w wyborze odpowiednich środków zapewniających zgodność przetwarzania danych osobowych z wymogami ich ochrony.

Warto również pamiętać, że RODO przewiduje wyjątek od obowiązku prowadzenia rejestru czynności przetwarzania związany z liczbą zatrudnionych, tj. nie więcej niż 250 osób, a zatem dotyczy mikro, małych i średnich przedsiębiorców, pod warunkiem, że (I) przetwarzanie, którego dokonują nie powoduje ryzyka naruszenia praw osobowych, (II) nie ma charakteru sporadycznego lub (III) przetwarzanie nie dotyczy szczególnych kategorii danych, do których odnosi się art. 9 ust. 1 RODO, lub danych o wyrokach skazujących za przestępstwa i naruszenia prawa, o których mowa w art. 10 RODO.

W konsekwencji, tak niejednoznacznie sformułowana konstrukcja wyłączeń od przywileju tych przedsiębiorców czyni go w istocie iluzorycznym, gdyż w praktyce wyjątek ten będzie miał zastosowanie jedynie w wyjątkowych sytuacjach.

Zobacz również:

Leave a Comment

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.