Cześć! To ja, Dokrates!

Dzisiaj chciałbym opowiedzieć Ci o jednej z najistotniejszych zmian, jakie wprowadza RODO. Otóż,

z dniem 25 maja 2018 roku zniknie obowiązek rejestracji zbiorów danych osobowych w GIODO

. Zanim jednak ucieszysz się z tego powodu, muszę od razu poinformować, że RODO wprowadza w miejsce tego obowiązku zupełnie inne wymogi. Jakie? O tym właśnie będzie ten wpis! Skoro zgłaszanie zbiorów danych nie przyniosło oczekiwanego efektu, a więc nie zapewniło prawidłowego przetwarzania danych przez administratorów, trzeba było wymyślić inny sposób zabezpieczenia interesów osób, których dane są zbierane. Takim pomysłem okazał się być

rejestr czynności przetwarzania

.

Dokumenty RODO

Co jest celem rejestru?

Celem takiego rejestru jest zebranie w jednym miejscu najważniejszych kwestii dotyczących przetwarzania, jakie ma miejsce w danym przedsiębiorstwie. Zgodnie z RODO, muszą się tam znaleźć, między innymi, następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora, jego przedstawicieli i, ewentualnie, inspektora ochrony danych;
  • cele przetwarzania (np. umożliwienie e-sklepowi realizacji zamówień);
  • opis kategorii osób, których dane dotyczą (np. klienci e-sklepu),
  • opis kategorii danych osobowych (np. imiona i nazwiska, adresy do wysyłki);
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione (np. zewnętrzny hostingodawca czy biuro księgowe)
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych (np. po upływie okresu wynikającego z wymogów ustawy o rachunkowości);
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (np. stosowanie szyfrowania).

Jak zapewne zauważyłeś, każdy rejestr przetwarzania musi być dostosowany do działalności danego administratora – nie jest to dokumentacja, którą możesz zaczerpnąć z darmowych przykładów z Internetu. Aby prawidłowo wprowadzić obowiązek prowadzenia rejestru, musisz chwilę się zastanowić i przeanalizować proces przetwarzania danych w Twojej firmie.

Polityka prywatności RODO i cookies

Ale zaraz, zaraz – czy wszyscy administratorzy muszą prowadzić taki rejestr? Może Twoja działalność podpada pod wyłączenie, jakie przewiduje RODO?

Rejestru czynności przetwarzania nie muszą prowadzić administratorzy, którzy JEDNOCZEŚNIE:
  • zatrudniają mniej niż 250 pracowników;
  • sporadycznie przetwarzają dane osobowe;
  • nie przetwarzają danych wrażliwych (nazywanych na gruncie RODO szczególnymi kategoriami danych – pisałem o nich TU);
  • przetwarzanie, którego dokonują, nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Jeśli prowadzisz e-sklep lub serwis internetowy, w ramach którego użytkownicy podają swoje dane (np. podczas rejestracji), niestety – nie spełniasz wymogu sporadycznego przetwarzania danych. Pamiętaj, że przetwarzaniem danych jest także ich przechowywanie! W większości przypadków lepiej założyć, że

musisz prowadzić rejestr

. Co jeszcze powinieneś wiedzieć? Może to, że

rejestr powinien mieć formę pisemną, w tym formę elektroniczną

, oraz to, ze

na żądanie organu nadzorczego obowiązany jesteś udostępnić mu rejestr

w celu monitorowania operacji przetwarzania. Jak widzisz, to kolejny argument przemawiający za tym, by solidnie przygotować się do obowiązku prowadzenia rejestru czynności przetwarzania. Aha, musisz jeszcze pamiętać o jednym – rejestr czynności przetwarzania powinien być wewnętrznym dokumentem Twojej firmy –

nie jest to dokumentacja przeznaczona do powszechnej wiadomości

. To wszystko na dziś! Mam nadzieję, że pomogłem!

Twój Dokrates