- Łączenie funkcji w ochronie informacji niejawnych
- Jak prawidłowo zatrudnić Pełnomocnika ds. ochrony informacji niejawnych
- Organizacji kancelarii tajnej obsługującej dwie lub więcej jednostek organizacyjnych
- Szkolenia z informacji niejawnych - kiedy, kogo i przez kogo?
- Informacje niejawne w przetargach publicznych
Rejestr czynności przetwarzania – dokument wymagany na gruncie RODO
Przepisy RODO przewidują obowiązek prowadzenia przez administratora danych rejestru czynności przetwarzania danych osobowych, za które odpowiadają.
Art. 30 ust. 1 RODO formułuje katalog informacji, które powinny znaleźć się w takim rejestrze, m.in. cele przetwarzania czy też opis kategorii osób, których dane dotyczą i kategorii danych osobowych.
Rejestr ten ma być prowadzony w pisemnej, w tym elektronicznej, i udostępniany organowi nadzorczemu na jego żądanie. Obowiązek ten dotyczy również podmiotu przetwarzającego dane osobowe w imieniu administratora danych.
Niewątpliwie, wymagany rejestr czynności przetwarzania jest jednym z instrumentów umożliwiających wykazanie przez administratora danych wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z zasadą rozliczalności sformułowaną w art. 24 RODO, która to przecież pozostawia samemu administratorowi danych swobodę decyzyjną w wyborze odpowiednich środków zapewniających zgodność przetwarzania danych osobowych z wymogami ich ochrony.
Warto również pamiętać, że RODO przewiduje wyjątek od obowiązku prowadzenia rejestru czynności przetwarzania związany z liczbą zatrudnionych, tj. nie więcej niż 250 osób, a zatem dotyczy mikro, małych i średnich przedsiębiorców, pod warunkiem, że (I) przetwarzanie, którego dokonują nie powoduje ryzyka naruszenia praw osobowych, (II) nie ma charakteru sporadycznego lub (III) przetwarzanie nie dotyczy szczególnych kategorii danych, do których odnosi się art. 9 ust. 1 RODO, lub danych o wyrokach skazujących za przestępstwa i naruszenia prawa, o których mowa w art. 10 RODO.
W konsekwencji, tak niejednoznacznie sformułowana konstrukcja wyłączeń od przywileju tych przedsiębiorców czyni go w istocie iluzorycznym, gdyż w praktyce wyjątek ten będzie miał zastosowanie jedynie w wyjątkowych sytuacjach.
Radca prawny przy Okręgowej Izbie Radców Prawnych w Warszawie, absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego (wyróżnienie) oraz Szkoły Prawa Amerykańskiego organizowanej przez University of Florida Frederic G. Levin Collage of Law. Współautor książki poświęconej problematyce prawa pracy i ubezpieczeń społecznych. Obecnie zajmuje się obsługą prawną podmiotów zarówno sektora prywatnego, jak i publicznego. Swoje zainteresowania zawodowe skupia wokół prawa cywilnego oraz prawa administracyjnego, w tym również ochrony danych osobowych.