Rejestr przetwarzania dla małych i średnich firm

Zgodnie z RODO firmy zatrudniające mniej niż 250 osób zwolnione są z prowadzenia rejestru przetwarzania danych osobowych, za które odpowiadają. Jednakże od tej ogólnej zasady RODO przewiduje wyjątki.

Zwolnienie z obowiązku prowadzenia rejestru przetwarzania zgodnie z RODO nie będzie miało zastosowania gdy:

  • przetwarzanie może powodować ryzyko naruszenia praw i wolności
  • przetwarzanie nie ma charakteru sporadycznego
  • przetwarzanie obejmuje szczególne kategorie danych osobowych lub dane dotyczące wyroków skazujących i czynów zabronionych.

Przepis na tyle niejasny, że Grupa Rrobocza art. 29, na skutek zgłaszanych wątpliwości, przeanalizowała obowiązek prowadzenia rejestru przetwarzania oraz wyjątki od niego i wydała  stosowne wytyczne.

W wytyczych GR Art. 29 podkreśla, że zgodnie z RODO trzy rodzaje przetwarzania, do których wyjątek nie ma zastosowania, mają charakter alternatywny („lub”) i wystąpienie któregokolwiek z nich samodzielnie wywołuje obowiązek prowadzenia rejestru czynności przetwarzania.

Oznacza to, że przetwarzanie danych o stanie zdrowia na przykład w ramach indywidualnej praktyki lekarskiej przez jednego lekarza podlegać będzie obowiązkowi prowadzenia rejestru przetwarzania.

Zgodnie z RODO dane o stanie zdrowia należą do szczególnych kategorii danych osobowych, których przetwarzanie będzie implikowało obowiązek rejestrowania czynności przetwarzania.

I tak przetwarzanie danych o stanie zdrowia przez małe podmioty lecznicze, ale również przez na przykład salony kosmetyczne, odnowy biologicznej, rehabilitacji i inne podobne będzie objęte obowiązkiem prowadzenia rejestru przetwarzania.

Kolejnym przykładem będzie mała organizacja, która najprawdopodobniej systematycznie przetwarza dane dotyczące swoich pracowników. W rezultacie, jak mówią wytyczne, takie przetwarzanie nie może być uznane za „sporadyczne” i musi w związku z tym być zawarte w rejestrze czynności przetwarzania.

Generalnie zgodnie z wytycznymi grupy roboczej co do zasady małe firmy  dla wykazania zgodności z RODO, powinny prowadzić rejestr czynności przetwarzania.

Według grupy roboczej, realizacja  obowiązku rejestrowania czynności przetwarzania, nawet w przypadku małych firm nie powinna stanowić poważnego obciążenia. A organ nadzorczy powinien udostępnić uproszczony wzór rejestru dedykowanego dla małych i średnich firm.

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Poprzedni wpis:

Następny wpis: