Kojarzysz scenę, w której jedna z osób mówi do drugiej: mam dla ciebie dwie wiadomości, dobrą i złą? Pewnie tak. Podobnie będzie w tej sytuacji. Dobrą wiadomością jest, że wraz z wejściem RODO znika obowiązek rejestracji zbiorów danych. Zła natomiast (czy na pewno?) jest taka, że jego miejsce zajmie Rejestr Czynności Przetwarzania.
Co to jest Rejestr Czynności Przetwarzania?
Zgodnie z RODO, elementem dokumentacji ochrony danych powinien być Rejestr Czynności Przetwarzania. Co istotne, taki rejestr dotyczy nie tylko administratorów danych, ale również podmiotów przetwarzających dane.
W Rejestrze Czynności Przetwarzania, jak zresztą sama nazwa wskazuje, powinny zostać opisane wszystkie procesy zachodzące w firmie, które dotyczą przetwarzania danych osobowych. Dokument musi wskazywać jaki jest cel przetwarzania danych osobowych, kogo dane dotyczą oraz jak są zabezpieczone. Rejestr Czynności Przetwarzania będzie mógł być prowadzony w formie papierowej lub elektronicznej.
Jaki jest cel prowadzenia Rejestru Czynności Przetwarzania?
Rejestr Czynności Przetwarzania musi być udostępniany na każde wezwanie Urzędu Ochrony Danych Osobowych. Dzięki niemu organ nadzorczy będzie mógł monitorować procesy przetwarzania danych osobowych zachodzące w firmach. Brzmi znajomo? Tak, Rejestr Czynności Przetwarzania zastępuje Rejestr Zbiorów Osobowych, który zawierał bardzo podobny zestaw informacji.
Jakie informacje musi zawierać Rejestr Czynności Przetwarzania?
W każdym Rejestrze Czynności Przetwarzania muszą znaleźć się następujące informacje (art. 30 RODO):
- imię i nazwisko (nazwa) oraz dane kontaktowe administratorów, współadministratorów oraz przedstawiciela administratora oraz Inspektora Ochrony Danych (czytaj: IOD czyli nowy ABI – co się zmieni wraz z wejściem RODO?,
- cel przetwarzania danych osobowych,
- opis kategorii osób, których dane dotyczą oraz opis kategorii danych osobowych,
- kategorie odbiorców danych osobowych (uwzględniając odbiorców w państwach trzecich/organizacjach międzynarodowych),
- informacje o przekazywaniu danych do państwa trzeciego wraz z opisem zabezpieczeń,
- planowany termin usunięcia wybranych kategorii danych,
- ogólny opis zabezpieczeń technicznych i organizacyjnych (za art. 32 ust. 1 RODO).
Kto NIE będzie musiał prowadzić Rejestru Czynności Przetwarzania?
Na zdecydowanej większości Administratorów Danych Osobowych ciążyć będzie obowiązek prowadzenia Rejestru Czynności Przetwarzania. RODO przewiduje jednak wyjątki.
Z obowiązku prowadzenia Rejestru zwolnieni będą administratorzy zatrudniający mniej niż 250 pracowników. Jednak by uniknąć tego obowiązku, muszą spełniać poniższe warunki:
- przetwarzanie ma charakter sporadyczny,
- przetwarzanie nie powoduje ryzyka naruszenia praw i wolności osób, których dane dotyczą,
- przetwarzanie nie obejmuje szczególnych kategorii danych osobowych,
- przetwarzanie nie dotyczy danych na temat wyroków skazujących i naruszeń prawa.
UWAGA! Przedsiębiorcy muszą pamiętać, że fakt zatrudnienia poniżej 250 pracowników nie jest jedynym warunkiem, który trzeba spełnić, by zrezygnować z prowadzenia rejestru czynności przetwarzania!
Wyjątki nie dotyczą Procesorów Danych Osobowych – ci, według RODO, będą musieli prowadzić Rejestr Czynności Przetwarzania w każdej sytuacji.
Jakie kary grożą za brak Rejestru Czynności Przetwarzania?
Rejestr Czynności Przetwarzania ma pozwolić organowi nadzorczemu na skontrolowanie, jak przebiegają procesy przetwarzania danych osobowych. Zakres informacji, które muszą się w nim znaleźć, ma jedynie pomóc urzędowi na wystosowanie szczegółowych pytań lub czynności kontrolnych. Ponadto, ustawodawca przewidział kary za brak rejestru. Maksymalnie wyniosą 10 mln euro lub 2% całkowitego rocznego światowego obrotu.