Rejestr czynności przetwarzania danych jest obowiązkowym elementem dokumentacji ochrony danych, którą prowadzić powinien administrator lub jego przedstawiciel. Wspomniany rejestr zawierać powinien następujące dane:
• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych (IOD);
• cele przetwarzania;
• opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
• gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.
Każdy podmiot przetwarzający dane powinien odnotowywać w rejestrze:
• imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
• kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
• gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.
Rejestr może być prowadzony w formie pisemnej lub w postaci elektronicznej. W takiej postaci należy go udostępnić na żądanie organu nadzorczego.
W przypadku, gdy przedsiębiorstwo zatrudnia mniej niż 250 osób, nie ma obowiązku prowadzenia rejestru czynności, chyba że przetwarzanie, którego dokonują:
• może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
• nie ma charakteru sporadycznego
• obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.


RODO odchodzi od podawania konkretnych środków zabezpieczenia danych osobowych. Wprowadza w zamian podejście oparte na ryzyku, wynikającym z ich przetwarzania.
Od administratora danych wymagane jest zapewnienie stosownego stopnia bezpieczeństwa danych, odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych. Przykładowe środki zabezpieczające dane to przede wszystkim :
• pseudonimizacja i szyfrowanie danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania.
Dokonując oceny bezpieczeństwa danych, z uwzględnieniem ryzykownych czynników związanych z ich przetwarzaniem, należy wziąć pod uwagę w szczególności ryzyko wynikające z:
• przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji danych;
• nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Dotychczasowa ustawa zobowiązywała administratorów danych osobowych do przygotowania i wdrożenia odpowiedniej dokumentacji, w której skład wchodzić miały:
• polityka bezpieczeństwa danych osobowych;
• instrukcja zarządzanie systemem informatycznym, w którym przetwarzane są dane osobowe.
RODO nie wprowadza takiego obowiązku, ponieważ wynikające z niego założenia ochrony danych oparte są na pojęciu ryzyka. Rozporządzenie odwołuje się jednak do pewnej „polityki ochrony danych”, którą administrator powinien stosować, stąd zaleca się dalsze stosowanie tej dokumentacji, kiedy zostanie ona dostosowana do przepisów RODO.


Zgody na przetwarzanie danych osobowych powinny być wyrażone według szczegółowych warunków. Wytyczne zostały zebrane i opisane w artykule 6 rozporządzenia RODO. Przetwarzanie jest zgodne z prawem wtedy, kiedy co najmniej jeden z poniższych warunków jest spełniony:
• osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit ten nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.


Rozporządzenie RODO wprowadza na swoje potrzeby odpowiednie definicje związane z przetwarzaniem danych osobowych. I tak w artykule 4 można znaleźć informacje, że „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Dodatkowo rozporządzenie RODO wskazuje kto może przetwarzać dane, wyróżniając dwa rodzaje podmiotów. Pierwszym z nich jest administrator, czyli „administrator” – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Drugim rodzajem podmiotu jest „podmiot przetwarzający”, co oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.


RODO nie precyzuje dokładnie czynności, jakie mają podjąć przedsiębiorcy, a jedynie nakreśla wytyczne, na które należy zwrócić uwagę w zakresie przetwarzania danych osobowych. Jest to zatem element risk based approach (podejścia uwzględniającego ryzyko) – przedsiębiorca będzie zobowiązany samodzielnie przeanalizować, jakimi danymi osobowymi dysponuje, co konkretnie się z nimi dzieje i jakie ryzyko się z tym wiąże – a ostatecznie dobrać optymalne środki, które to ryzyko zminimalizują.
Dla firm ważną kwestią jest wiedza o maksymalnej wysokości kar za naruszenia przepisów, Wahają się one od 10 mln euro lub 2% do nawet 20 mln euro lub 4% całkowitego rocznego światowego obrotu firmy z roku obrotowego poprzedzającego naruszenie (przy czym zastosowanie ma kwota wyższa). Szczegółowe informacje znajdują się w artykule 83 (zwłaszcza informacje zawarte w pkt. 4,5,6).


Od kiedy i dla kogo RODO

25 maja 2018 r. wchodzi w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE L 119/1). Tzw. RODO znacząco wpłynie na zagadnienie możliwości przetwarzania danych osobowych oraz ich ochrony.
Nowe przepisy zostały przyjęte w formie rozporządzenia unijnego, co oznacza bezpośrednie stosowanie ich przez wszystkich przedsiębiorców, przetwarzających dane osobowe na terytorium Unii Europejskiej. RODO wejdzie zatem w życie bez konieczności implementacji polską ustawą. Wszystko w celu ujednolicenia zasad ochrony danych osobowych w Unii Europejskiej. To zaś ułatwi stosowanie prawa przez podmioty o zasięgu międzynarodowym. Niemniej jednak polski rząd planuje wydanie szeregu przepisów krajowych, które dostosują nasz wewnętrzny porządek prawny do norma wynikających z RODO (zwłaszcza poprzez zmianę ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych).
Trzeba mieć na uwadze, że RODO będzie obejmowało także podmioty spoza Unii Europejskiej, oferujące swoje towary i usługi osobom przebywający w UE. W przypadku osób fizycznych, prowadzących działalność gospodarczą, RODO należy stosować do danych osobowych swoich kontrahentów, czy też zatrudnionych pracowników.


RODO a GDPR

RODO i GDPR to nazwy określające to samo rozporządzenie. RODO to polski skrót Rozporządzenia ochrony danych osobowych, a GDPR – angielski skrót The General Data Protection Regulation. Jest to rozporządzenie Parlementu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).


Inspektorzy Ochrony Danych muszą być wyznaczeni w przypadku:
• władz publicznych;
• podmiotów dokonujących operacji przetwarzania, które wiążą się z monitorowaniem osób, których dane dotyczą;
• podmiotów dokonujących operacji przetwarzania, które wiążą się z przetwarzaniem danych wrażliwych (szczególnych kategorii danych) na dużą skalę.



Notice: Undefined variable: wp_query in /var/www/encyklopediarodo.pl/wp-content/themes/rodo/library/foundation.php on line 13

Notice: Trying to get property of non-object in /var/www/encyklopediarodo.pl/wp-content/themes/rodo/library/foundation.php on line 13

Darek