Zgłoszenie zbiorów danych osobowych do GIODO to chyba najpopularniejszy obowiązek w odniesieniu do prawnych aspektów przetwarzania danych osobowych dlatego też często pytacie nas czy po rozpoczęciu stosowania RODO nadal będzie trzeba zgłaszać zbiory do GIODO. Z artykułu dowiecie czy RODO utrzyma ten obowiązek i jakie ewentualne zmiany wprowadzi.
Zgłoszenia zbiorów do GIODO do 25 maja 2018 r.
Od 25 maja tego roku nie tylko nie będzie już GIODO (zmieni go najprawdopodobniej prezes Urzędu Ochrony Danych Osobowych), ale również obowiązku zgłaszania zbiorów do organu nadzorczego. W związku z tym jeśli pracujesz na projektem, której ujrzy światło dzienne, a tym samym zacznie zbierać dane osobowe, po tym terminie nie będziesz już musiał zgłaszać zbioru do GIODO. Jeśli natomiast z działalnością czy serwisem ruszasz już teraz to zgłoszenia powinieneś wysłać chociaż najprawdopodobniej organ i tak nie zdąży ich już zarejestrować, ale w przypadku tzw. danych zwykłych nie ma to znaczenia i już samo wysłanie zgłoszeń jest wystarczające dla spełnienia tego obowiązku.
Od 25 maja – rejestr czynności przetwarzania
Jak już wiesz nie będziesz musiał zgłaszać zbioru do GIODO, ale RODO wprowadza zupełnie nowy obowiązek jakim jest prowadzenie rejestru czynności przetwarzania. Co ciekawe obowiązek ten dotyczy nie tylko administratorów danych, ale również podmiotów przetwarzających dane w imieniu administratorów (np. firmy hostingowej czy hurtowni przy sklepie działającym w modelu droshippingu).
Rejestr będzie Twoim wewnętrznym, firmowym dokumentem, możesz go prowadzić zarówno w formie elektronicznej jak i pisemnej. W rejestrze prowadzonym przez administratora (dla podmiotu przetwarzającego wymogi są nieco odmienne) powinny się znaleźć m.in.:
- imię i nazwisko lub nazwa oraz dane kontaktowe administratora, a także gdy ma to zastosowanie inspektora ochrony danych;
- cele przetwarzania (w ramach Twojej działalności możesz przetwarzać dane w różnych celach, np. w celu prowadzenia działań marketingowych czy realizowania umów);
- opis kategorii osób, których dane dotyczą (np. Użytkownicy aplikacji), oraz
- opis kategorii danych osobowych (nie podajesz tutaj danych konkretnych osób np. Jan Kowalski tylko ogólnie: imię i nazwisko);
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich (w tym dodatkowe informacje związane z przekazaniem danych do państwa trzeciego);
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. RODO
Warto spełnić ten obowiązek bo kara za jego nie spełnienie może być wysoka. Zgodnie z RODO naruszenie tego wymogu podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Kiedy nie trzeba prowadzić rejestru?
Jeśli zatrudniasz mniej niż 250 osób, a przetwarzanie, którego dokonujesz ma sporadyczny charakter, nie obejmuje tzw. szczególnych kategorii danych (np. o stanie zdrowia), danych dotyczących wyroków skazujących i naruszeń prawa, a także nie może powodować ryzyka naruszenia praw lub wolności osób, których dotyczą nie musisz prowadzić rejestru.
W większości przypadków przedsiębiorcy będą jednak musieli prowadzić rejestry. Wyłączenie może znaleźć zastosowanie np. przy małym sklepiku stacjonarnym, w którym pracuje tylko właściciel lub jednoosobowo prowadzonym serwisie internetowym wyłącznie dla spółek handlowych (a nie dla jednoosobowych działalności gospodarczych), w którym nie są podawane co do zasady żadne dane osobowe osób fizycznych (np. pracowników przy zakładaniu konta).
Podsumowanie:
- RODO nie przewiduje obowiązku zgłaszania zbiorów do GIODO.
- RODO wprowadza obowiązek prowadzenia rejestru czynności przetwarzania danych.
- Brak rejestru czynności przetwarzania może skutkować wysoką karą.
- Rejestr muszą prowadzić zarówno administratorzy danych jak i pomioty przetwarzające dane w ich imieniu.