Ochrona praw i wolności osób, których dane dotyczą oraz obowiązki i odpowiedzialność prawna administratorów i podmiotów przetwarzających wymagają jasnego doprecyzowania oczekiwań organów nadzorczych w ramach ich działań monitorujących ochronę danych osobowych.

Data dodania: 2016-07-15

Wyświetleń: 772

Przedrukowań: 0

Głosy dodatnie: 0

Głosy ujemne: 0

WIEDZA

0 Ocena

Licencja: Creative Commons

Od 25 maja 2018 r. na podstawie Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 administratorzy danych osobowych (ADO) lub podmioty przetwarzające będą zobowiązani do prowadzenia rejestrów czynności przetwarzania.

Każdy administrator lub podmiot przetwarzający dane osobowe w ramach współpracy z organem nadzorczym (w naszym przypadku z GIODO) - na jego żądanie - zobowiązany będzie do udostępniania rejestru w celu monitorowania operacji przetwarzania danych pod kątem ich bezpieczeństwa oraz zgodności z obowiązującymi przepisami prawa.

Z obowiązku prowadzenia rejestrów czynności przetwarzania zwolnione będą podmioty zatrudniające mniej niż 250 osób; chyba, że przetwarzanie, którego dokonują może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których jest mowa w art. 9 ust. 1 rozporządzenia 2016/679, lub dane osobowe dotyczą wyroków skazujących i naruszeń prawa (w art. 10 rozporządzenia 2016/679).[1]

Zapisy rejestru, w sposób przejrzysty, ukazywać powinny rzeczywisty stan bezpieczeństwa przetwarzania z uwzględnieniem wdrożonych środków technicznych i organizacyjnych.

Większość informacji, jakie zawierać powinien rejestry dziś znaleźć można w obowiązującej dokumentacji ochrony danych osobowych, lecz są one rozproszone w różnych dokumentach. Po wejściu w życie rozporządzenia ogólnego o ochronie danych informacje te zostaną zgromadzone i uporządkowane w jednym dokumencie – rejestrze czynności przetwarzania.

Rejestr zawierał będzie w przypadku administratorów danych osobowych następujące informacje:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszystkich współadministratorów - a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit 2 rozporządzenia 2016/679, dokumentację odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rozporządzenia 2016/679.[2]

W przypadku podmiotów przetwarzających rejestr zawierać powinien następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora w imieniu, którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  • gdy ma to zastosowanie – przekazania danych osobowych do państw trzecich lub organizacji międzynarodowych, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi rozporządzenia 2016/679, dokumentację odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rozporządzenia 2016/679.[3]

Rejestry powinny być prowadzone w formie pisemnej, w tym formie elektronicznej. Podmioty, które z mocy prawa zobowiązane będą do prowadzenia rejestrów czynności przetwarzania na bieżąco weryfikować będą aktualność i zgodność jego zapisów ze stanem faktycznym przetwarzania danych.


[1] Por.: Art. 30 ust. 5 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.

[2] Por.: Art. 30 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.

[3] Por.: Art. 30 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.

Licencja: Creative Commons