Wiele osób jest przekonanych, że podstawą przetwarzania danych osobowych jest przede wszystkim zgoda osoby, której dane dotyczą. Zgoda taka rzeczywiście została wymieniona jako pierwsza z podstaw przetwarzania danych osobowych w art. 6 ust. 1 RODO. Nie oznacza to jednak, że ta podstawa jest najważniejsza czy pierwsza w hierarchii. Przeciwnie, zgody wymagamy tylko wówczas, gdy nie znajdujemy innej podstawy z art. 6 RODO. Podstawą taką może być m.in. prawnie uzasadniony interes administratora, o którym mowa w art. 6 ust. 1lit. f RODO.

Przechodząc do szczegółów, art. 6 ust. 1 lit. f RODO stanowi, że przetwarzanie jest zgodne z prawem, jeżeli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

RODO wymaga, aby interes był „prawnie uzasadniony”, co należy rozumieć szeroko. Nie chodzi bowiem o interes wynikający z przepisów prawa (jak mogłoby się wydawać biorąc pod uwagę literalne brzmienie przepisu), lecz o interes zgodny z prawem (nie może być to interes nielegalny). Interes ten musi być ponadto konkretny i rzeczywisty, tj. nie może być jedynie prawdopodobny. Jako przykłady takiego interesu wskazuje się np. bezpieczeństwo sieci, ale także marketing bezpośredni własnych towarów i usług.

Ustalenie, czy możliwe jest przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesy wymaga przeprowadzenia testu równowagi w celu ustalenia, że interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, nie są nadrzędne wobec interesu administratora danych osobowych.

Sposób przeprowadzenia tego testu został szczegółowo opisany w Opinii Grupy Roboczej art. 29 nr 6/2014 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy artykułu 7 dyrektywy 95/46/WE (opinia ta zachowuje swoją aktualność także po wejściu w życie RODO – jej pełny tekst dostępny jest tutaj: https://giodo.gov.pl/pl/1520203/7813).

Poniżej przedstawiamy krótki opis przeprowadzenia takiego testu krok po kroku:

Krok 1: Ocena, która podstawa prawna może potencjalnie znajdować zastosowanie zgodnie z art. 6 ust. 1 RODO

Należy rozważyć, czy nie znajdzie zastosowania inna podstawa prawna przetwarzania danych niż prawnie uzasadniony interes, np. przetwarzanie danych w celu zawarcia i wykonania umowy lub realizacji obowiązków wynikających z przepisów prawa. Jeżeli ustalimy, że podstawą przetwarzania danych będzie interes administratora (który jest konkretny i rzeczywisty), przechodzimy do kroku 2.

Krok 2: Zakwalifikowanie interesu jako „prawnie uzasadniony” lub „nieuzasadniony”

Jak wskazano powyżej, ocena taka wymaga ustalenia, czy interes określony w kroku 1 jest zgodny z prawem, tj. czy jest legalny.

Krok 3: Określenie czy przetwarzanie jest konieczne do osiągnięcia interesu

Na tym etapie należy ustalić, czy nie ma innych środków, które pozwolą na osiągniecie interesu. Przetwarzanie danych osobowych musi być konieczne dla celu, który chcemy osiągnąć.

Krok 4: Ustanowienie tymczasowej równowagi przy ocenie, czy interes administratora danych jest podporządkowany podstawowym prawom i wolnościom osoby, której dane dotyczą

Na tym etapie należy przeanalizować:

a)      charakter interesów administratora (prawa podstawowe, innego typu interesy, interes publiczny);

b)     możliwe szkody poniesione przez administratora, osoby trzecie lub szerszą społeczność, jeżeli przetwarzanie danych nie będzie miało miejsca;

c)      charakter danych (wrażliwe w węższym czy szerszym sensie?);

d)     status osoby, której dane dotyczą (nieletni, pracownik, etc.) oraz administratora (na przykład, czy to jest organizacja biznesowa posiadająca dominującą pozycję na rynku);

e)      sposób, w jaki dane są przetwarzane (duża skala, wydobywanie danych, profilowanie, ujawnienie dużej liczbie osób lub publikacja);

f)       podstawowe prawa oraz/lub interesy osoby, której dane dotyczą, na które może być wywarty wpływ;

g)      racjonalne oczekiwania osoby, której dane dotyczą;

h)     wpływy na osobę, której dane dotyczą, oraz porównać je z oczekiwanymi korzyściami z przetwarzania dla administratora danych.

Krok 5: Ustanowienie ostatecznej równowagi biorąc pod uwagę dodatkowe środki ochronne

Na tym etapie należy zidentyfikować oraz wdrożyć odpowiednie dodatkowe środki ochronne wynikające z obowiązku dochowania należytej staranności, takie jak:

a)      minimalizacja danych (na przykład ścisłe ograniczenia zbierania danych lub natychmiastowe usunięcie danych po wykorzystaniu);

b)     środki organizacyjne i techniczne w celu zapewnienia, że dane nie mogą być wykorzystane do podjęcia decyzji lub innych działań w odniesieniu do osób;

c)      rozległe zastosowanie technik anonimizacyjnych, agregowanie danych, technologie wzmacniające prywatność, prywatność w fazie projektowania, ocena wpływu na prywatność i ochronę danych;

d)     zwiększona przejrzystość, ogólne oraz bezwarunkowe prawo do mechanizmu opt-out; możliwość przenoszenia danych oraz powiązane środki dające uprawnienia osobom, których dane dotyczą.

Krok 6: Wykazanie zgodności oraz zapewnienie przejrzystości

W ramach tego etapu należy przygotować uzasadnienie przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO w oparciu o informacje zebrane w krokach 1-5. Zaleca się także, aby poinformować osoby, których dane dotyczą, o uzasadnieniu przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO oraz aby zachować dokumentację stanowiącą potwierdzenie przeprowadzenia stosownej analizy na potrzeby ewentualnej kontroli organów ochrony danych.

Krok 7: Co należy uczynić w sytuacji, gdy osoba, której dane dotyczą, korzysta ze swojego prawa do wyrażenia sprzeciwu?

W ramach tego kroku należy zapewnić, że zastosowano odpowiedni oraz przyjazny użytkownikowi mechanizm w celu ponownej oceny równowagi zainteresowanych osób oraz wstrzymania przetwarzania ich danych, jeżeli ponowna ocena wykaże, że ich interes jest nadrzędny. Jeżeli administrator zdecyduje się na wprowadzenie bezwarunkowego mechanizmu opt-out (tj. przetwarzanie danych na podstawie art. 6 ust. 1 lit. f RODO będzie zaprzestane w każdym przypadku wniesienia sprzeciwu – obecnie taki mechanizm jest obligatoryjny dla przetwarzania danych w celach marketingowych), powinno się zapewnić, że ten wybór jest szanowany, bez potrzeby podejmowania dalszych kroków lub oceny.

 

Skontaktuj się z nami, jeżeli potrzebujesz pomocy w analizie prawnej procesów przetwarzania danych osobowych w Twojej Firmie.

 

 

 

 

 

Bardzo wielu przedsiębiorców zadaje sobie w kontekście RODO pytanie:  czy mnie to dotyczy? Niestety wielu z nich zakłada, że nowa regulacja ich nie dotyczy, gdyż nie przetwarzają danych osobowych. Wiele osób nadal błędnie utożsamia dane osobowe wyłącznie z takimi danymi jak imię i nazwisko, adres zamieszkania czy PESEL. Tymczasem definicja danych osobowych jest dużo szersza.

Zgodnie z RODO "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Pod rządami poprzedniej regulacji orzecznictwo wielokrotnie wypowiadało się na temat pojęcia danych osobowych. Wyroki te zachowują aktualność także obecnie, po wejściu w życie RODO, gdyż sama istota danych osobowych pozostała niezmieniona. Warto wskazać na kilka przykładów takich orzeczeń:

·         System monitoringu wizyjnego, pozwalając na identyfikację osób, jest zbiorem danych osobowych i podlega przepisom ustawy o ochronie danych (Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9.07.2014 r., II SA/Wa 2393/13).

·         Podanie numeru telefonu i adresu poczty internetowej stanowi podanie danych osobowych w rozumieniu art. 6 ust. 1-3 u.o.d.o., ponieważ te dane pozwalają na szybkie zidentyfikowanie konkretnej osoby (Wyrok Wojewódzkiego Sądu Administracyjnego w Krakowie z dnia 11 października 2013 r., II SA/Kr 682/13).

·         Przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników są ich danymi osobowymi (Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 listopada 2008 r., II SA/Wa 903/08).

·         Wizerunek i rysopis mieszczą się w definicji danych osobowych (art. 6 ustawy o ochronie danych osobowych), a imiona rodziców będą obok innych danych identyfikowały nie ich, lecz stronę zawieranej umowy (Wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 7 listopada 2003 r., II SA 1432/02).

·         Adres danej osoby jako sfera prywatności człowieka należy do danych osobowych (Wyrok Sądu Apelacyjnego w Poznaniu z dnia 13 listopada 2001 r., I ACa 1140/01).

Z motywów RODO wynika, że zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować.

Uznanie za daną osobową wymaga analizy kontekstu, w jakim dane te występują, tzn. określenia:

       Kto przetwarza dane osobowe

       Jakie inne dane osobowe posiada ten podmiot

       Jakimi narządzaniu dysponuje ten podmiot, aby zidentyfikować osobę, której dane dotyczą

Ta sama informacja może być daną osobową dla jednego podmiotu, a dla innego podmiotu już nie musi mieć takiego charakteru. Nie ma uniwersalnego katalogu danych osobowych.

Niektóre dane osobowe mają szczególny charakter i określa się je mianem danych wrażliwych (pojęcie „dane wrażliwe” jest zatem węższe od terminu „dane osobowe”, choć potocznie często używa się ich zamiennie). Są to  dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej (art. 9 ust. 1 RODO).

Pamiętać należy o tym, że dane osobowe to także dane osobowe osób fizycznych prowadzących działalność gospodarczą. Z zakresu zastosowania RODO wyłączone są tylko osoby prawne, tj. przede wszystkim spółki.

Jeżeli zatem przedsiębiorca zawiera umowy z klientami i kontrahentami, którzy są osobami fizycznymi (w tym prowadzącymi działalność gospodarczą) lub zatrudnia pracowników albo współpracowników na zasadzie b2b, to z pewnością przetwarza dane osobowe i ma obowiązek wdrożenia RODO w swojej działalności.

 

 

 

 

W dniu 25.05.2018 r. weszła w życie nowa ustawa o ochronie danych osobowych (ustawa z dnia 10.05.2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), która stanowi krajowy element wdrożenia reformy przepisów o ochronie danych osobowych związanej z wejściem w życie RODO. W nowej ustawie o ochronie danych osobowych znowelizowano m.in. przepisy kodeksu pracy w zakresie stosowania monitoringu wizyjnego (dodano przepisy art. 22(2) – 22(3) kodeksu pracy).  

Cel, zakres i sposób zastosowania monitoringu wizyjnego

Zgodnie z nową regulacją, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring), jeżeli jest to niezbędne do:

·         zapewnienia bezpieczeństwa pracowników,

·          ochrony mienia,

·         kontroli produkcji,

·         zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Monitoring nie może obejmować pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego powyżej i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób.

Cele, zakres oraz sposób zastosowania monitoringu pracodawca musi określić się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem. Z kolei wobec nowozatrudnionych pracowników, pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie informacje o monitoringu.

W przypadku   wprowadzenia   monitoringu   pracodawca ma obowiązek oznaczyć   pomieszczenia   i teren   monitorowany w sposób widoczny  i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

Okres przechowywania danych z monitoringu

Ustawa wprowadziła maksymalny okres przechowywania danych z monitoringu, który wynosi 3 miesiące od daty nagrania. W przypadku,  w którym  nagrania  obrazu stanowią dowód  w postępowaniu prowadzonym na podstawie prawa  lub  pracodawca  powziął  wiadomość,    mogą  one  stanowić  dowód  w postępowaniu,  termin ten ulega przedłużeniu do czasu prawomocnego zakończenia postępowania. Po upływie wskazanych okresów uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.

Inne formy monitoringu pracowników

Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.

Pracodawca może również zastosować wobec pracownika (o ile będzie to uzasadnione celami wskazanymi powyżej) inne formy monitoringu, np. lokalizatory GPS w samochodach służbowych. Należy pamiętać, że dane o lokalizacji zostały wymienione wprost w RODO jako kategoria danych osobowych (art. 4 pkt 1 RODO).

Zgoda na monitoring?

Podstawą prawną stosowania monitoringu wobec pracowników są przepisy RODO, tj. art. 6 ust. 1 lit f RODO – prawnie uzasadniony interes pracodawcy. Interes ten został określony w przepisach kodeksu pracy, tj. art. 22(2)  i 22(3) k.p. Wobec tego pracodawca nie musi (i nie może) pozyskiwać od pracowników zgód na stosowanie monitoringu.

Pracownikowi przysługuje jednak prawo wniesienia sprzeciwu wobec stosowania monitoringu, jeżeli jest to uzasadnione jego szczególną sytuacją. Pomimo takiego sprzeciwu pracodawca nadal będzie mógł stosować monitoring, jeżeli wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń (zob. art. 21 RODO).

 

 

Przepisy RODO wprowadzają w miejsce dotychczasowego Administratora Bezpieczeństwa Informacji (ABI) nowy podmiot, tj. Inspektora Ochrony Danych (IOD). Funkcje tych podmiotów są zbliżone. Obecnie powołanie ABI jest jednak  fakultatywne niezależnie od charakteru i rozmiaru przetwarzania danych osobowych, podczas gdy zgodnie z RODO powołanie IOD będzie obligatoryjne m.in. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności (motywy RODO – pkt 97). Dla przykładu działalnością główną szpitali będzie zapewnianie opieki medycznej, co nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania IOD.  

Kolejnym przykładem może być spółka świadcząca usługi ochrony mienia, prowadząca monitoring w szeregu prywatnych centrów handlowych i przestrzeni publicznej. Jej działalnością główną jest ochrona, natomiast związane z tym bezpośrednio jest przetwarzanie danych osobowych, co oznacza, że takie spółki również muszą powołać IOD.

Przetwarzanie danych osobowych musi odbywać się na „dużą skalę”. Nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Nie wyklucza to sytuacji, w której, wraz z rozwojem praktyki ukształtują się standardy, które umożliwiałyby kwantytatywne określenie „dużej skali” w odniesieniu do określonych rodzajów przetwarzania. Zaleca uwzględnianie następujących czynników przy określaniu, czy przetwarzanie następuje na „dużą skalę”:

       Liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;

       Zakres przetwarzanych danych osobowych;

       Okres, przez jaki dane są przetwarzane;

       Zakres geograficzny przetwarzania danych osobowych;

Zgodnie z motywami do RODO (pkt 91) operacje na dużą skalę służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko, na przykład (ze względu na swój szczególny charakter) gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia - oraz do innych operacji przetwarzania powodujących wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają osobom, których dane dotyczą, wykonywanie przysługujących im praw.

Kolejną przesłanką powołania IOD jest „regularne i systematyczne monitorowania osób”. Do „monitorowania osób” odnosi się motyw 24 do RODO: Aby stwierdzić, czy czynność przetwarzania można uznać za "monitorowanie zachowania" osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.

 

Chcesz wiedzieć czy będziesz mieć obowiązek powołania Inspektora Ochrony Danych? Skontaktuj się z nami.

 

 

Zupełnie nowym obowiązkiem wprowadzonym przez RODO jest obowiązek rejestrowania czynności przetwarzania. Obowiązek ten spoczywa na administratorze danych lub podmiocie przetwarzającym, a jego celem jest zachowanie zgodności przetwarzania z przepisami RODO (zob. motyw 83 preambuły do RODO oraz art. 30 RODO). Obowiązek ten zastępuje dotychczasowy obowiązek rejestrowania zbiorów danych w GIODO.

 

Realizacja obowiązku rejestrowania czynności przetwarzania następuje poprzez prowadzenie jednego z dwóch rejestrów, tj.:

1) rejestru czynności przetwarzania  przez administratora danych lub

2) rejestru kategorii czynności przetwarzania przez podmiot przetwarzający (czyli podmiot, który przetwarza dane w imieniu administratora na podstawie umowy powierzenia)

 

RODO określa szczegółowo, jakie elementy muszą zawierać oba rejestry.

 

Rejestr czynności przetwarzania musi zawierać:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;

b) cele przetwarzania;

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

 

Z kolei rejestr kategorii czynności przetwarzania musi zawierać:

a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

c) gdy ma to zastosowanie -przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

 

Rejestry te mają mieć formę pisemną, przy czym może to być również forma elektroniczna (plik zawierający rejestr powinien jednak nadawać się do wydruku w formie papierowej). Administrator lub podmiot przetwarzający oraz - gdy ma to zastosowanie - przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego. Rejestr taki będzie musiał być zatem udostępniony na żądanie GIODO.

 

Obowiązek prowadzenia ww. rejestrów nie jest bezwzględny i nie obejmuje przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób. Z założenia więc rejestry mają prowadzić tylko podmioty prowadzące działalność na większą skalę. Zwolnienie to nie ma jednak zastosowania, gdy: (1) przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, (2) nie ma charakteru sporadycznego lub (3) obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

 

Na uwagę zasługuje zwłaszcza przesłanka wskazana w pkt 2. Przedsiębiorca, który nie przetwarza danych jedynie sporadycznie, będzie musiał prowadzić rejestr nawet wówczas, gdy zatrudnia mniej niż 250 osób. Należy przyjąć, że prowadzenie sklepu internetowego czy innej działalności, z którą wiąże się stałe pozyskiwanie danych od klientów w celu realizacji zamówień czy wysyłki newslettera nie jest sporadycznym przetwarzaniem danych osobowych. Pozyskiwanie takich danych jest bowiem niezbędne w bieżącej działalności i odbywa się nieustannie, każdego dnia. Takie podmioty mogą więc zostać uznane za podmioty zobowiązane do prowadzenia rejestrów, a ich brak może skutkować nałożeniem kary finansowej do 10 mln euro lub 2% rocznego obrotu.

 

 

Chcesz otrzymać profesjonalne wzory rejestrów? Skontaktuj się z nami.