Cześć! To ja, Dokrates!
Dzisiaj chciałbym opowiedzieć Ci o jednej z najistotniejszych zmian, jakie wprowadza RODO. Otóż, z dniem 25 maja 2018 roku zniknie obowiązek rejestracji zbiorów danych osobowych w GIODO. Zanim jednak ucieszysz się z tego powodu, muszę od razu poinformować, że RODO wprowadza w miejsce tego obowiązku zupełnie inne wymogi. Jakie? O tym właśnie będzie ten wpis!
Skoro zgłaszanie zbiorów danych nie przyniosło oczekiwanego efektu, a więc nie zapewniło prawidłowego przetwarzania danych przez administratorów, trzeba było wymyślić inny sposób zabezpieczenia interesów osób, których dane są zbierane. Takim pomysłem okazał się być rejestr czynności przetwarzania.
Co jest celem rejestru?
Celem takiego rejestru jest zebranie w jednym miejscu najważniejszych kwestii dotyczących przetwarzania, jakie ma miejsce w danym przedsiębiorstwie. Zgodnie z RODO, muszą się tam znaleźć, między innymi, następujące informacje:
- imię i nazwisko lub nazwa oraz dane kontaktowe administratora, jego przedstawicieli i, ewentualnie, inspektora ochrony danych;
- cele przetwarzania (np. umożliwienie e-sklepowi realizacji zamówień);
- opis kategorii osób, których dane dotyczą (np. klienci e-sklepu),
- opis kategorii danych osobowych (np. imiona i nazwiska, adresy do wysyłki);
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione (np. zewnętrzny hostingodawca czy biuro księgowe)
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych (np. po upływie okresu wynikającego z wymogów ustawy o rachunkowości);
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (np. stosowanie szyfrowania).
Jak zapewne zauważyłeś, każdy rejestr przetwarzania musi być dostosowany do działalności danego administratora – nie jest to dokumentacja, którą możesz zaczerpnąć z darmowych przykładów z Internetu. Aby prawidłowo wprowadzić obowiązek prowadzenia rejestru, musisz chwilę się zastanowić i przeanalizować proces przetwarzania danych w Twojej firmie.
Ale zaraz, zaraz – czy wszyscy administratorzy muszą prowadzić taki rejestr? Może Twoja działalność podpada pod wyłączenie, jakie przewiduje RODO?
Rejestru czynności przetwarzania nie muszą prowadzić administratorzy, którzy JEDNOCZEŚNIE:
- zatrudniają mniej niż 250 pracowników;
- sporadycznie przetwarzają dane osobowe;
- nie przetwarzają danych wrażliwych (nazywanych na gruncie RODO szczególnymi kategoriami danych – pisałem o nich TU);
- przetwarzanie, którego dokonują, nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą.
Jeśli prowadzisz e-sklep lub serwis internetowy, w ramach którego użytkownicy podają swoje dane (np. podczas rejestracji), niestety – nie spełniasz wymogu sporadycznego przetwarzania danych. Pamiętaj, że przetwarzaniem danych jest także ich przechowywanie! W większości przypadków lepiej założyć, że musisz prowadzić rejestr.
Co jeszcze powinieneś wiedzieć? Może to, że rejestr powinien mieć formę pisemną, w tym formę elektroniczną, oraz to, ze na żądanie organu nadzorczego obowiązany jesteś udostępnić mu rejestr w celu monitorowania operacji przetwarzania. Jak widzisz, to kolejny argument przemawiający za tym, by solidnie przygotować się do obowiązku prowadzenia rejestru czynności przetwarzania. Aha, musisz jeszcze pamiętać o jednym – rejestr czynności przetwarzania powinien być wewnętrznym dokumentem Twojej firmy – nie jest to dokumentacja przeznaczona do powszechnej wiadomości.
To wszystko na dziś! Mam nadzieję, że pomogłem!
Twój Dokrates