Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Rejestry czynności – przydatny instrument rozliczalności

25-09-2017 Autor: Monika Młotkiewicz

Właściwe prowadzenie rejestrów czynności i kategorii czynności przetwarzania danych ułatwia osiągnięcie zgodności przetwarzania z przepisami rodo i udowodnienie tego faktu.

 

Jednym z podstawowych celów rodo jest zagwarantowanie skutecznego przestrzegania zasad ochrony danych w praktyce. Osiągnięcie tego celu ma nastąpić poprzez nadanie szczególnego znaczenia zasadzie rozliczalności oraz wyposażenie administratorów i podmiotów przetwarzających w określone narzędzia, które będą im pomocne w zachowaniu i wykazywaniu zgodności prowadzonego przetwarzania danych osobowych z przepisami prawa (patrz: Rejestry i ich podstawowe funkcje).

 

Uwzględnienie nowych zasad i definicji


Określona w art. 30 ust. 1 rodo zawartość rejestru czynności przetwarzania wskazuje, że wykonanie tego obowiązku pozwoli administratorom na przeprowadzenie szczegółowej analizy prowadzonego przetwarzania pod kątem wymogów wynikających z nowej regulacji, co może mieć szczególne znaczenie zwłaszcza w okresie przygotowawczym do stosowania rodo. Konieczne będzie uwzględnienie nowych definicji, uprawnień i wymagań, w tym wymagań dotyczących statusu podmiotów, takich jak:

  • administrator,
  • współadministrator,
  • podmiot przetwarzający,
  • przedstawiciel administratora oraz
  • inspektor ochrony danych (dalej: IOD).

Rewizja zasobów i procesów będzie musiała być dokonana pod kątem m.in. nowej, szerokiej definicji „danych osobowych” oraz definicji „danych dotyczących zdrowia”, „danych biometrycznych”, „danych genetycznych”. Konieczność określenia celów przetwarzania wymusi natomiast gruntowną weryfikację podstaw przetwarzania danych osobowych w kontekście wszystkich zmian, jakie w tym zakresie wprowadza rodo zarówno w odniesieniu do danych zwykłych, jak i danych wrażliwych. Z pewnością trzeba będzie wnikliwie przeanalizować regulacje w zakresie doprecyzowanych warunków udzielania zgody na przetwarzanie danych osobowych.

 

Należy też pamiętać, że katalog szczególnych kategorii danych osobowych uległ rozszerzeniu (m.in. o dane biometryczne), co bezpośrednio przekłada się na dopuszczalność przetwarzania danych należących do tej kategorii.

Ustalenie informacji, których zamieszczenia w rejestrze wymaga art. 30 ust. 1 rodo, wiąże się również z dokonywaniem oceny każdej czynności przetwarzania danych w kontekście wszystkich zasad wyrażonych w art. 5 (tj. zasady zgodności z prawem, rzetelności, przejrzystości, ograniczenia celem, minimalizacji, prawidłowości, ograniczenia przechowywania, integralności i poufności), a w przypadku przekazywania danych osobowych do państw trzecich również w kontekście zasad określonych dla tego przekazywania (art. 44 i n.).

Z kolei, będący składnikiem rejestru, opis środków technicznych i organizacyjnych, o których mowa w art. 32 ust. 1 rodo, będzie możliwy po dokonaniu przez każdego z administratorów weryfikacji istniejących środków lub ich nowego doboru według kryteriów wskazanych w tym przepisie i z uwzględnieniem wyrażonej w nim zasady podejścia opartego na ryzyku.

Z uwzględnieniem wszystkich wspomnianych definicji i zasad będą tworzone również rejestry kategorii czynności przetwarzania, których zawartość została określona w art. 30 ust. 2 rodo. W przypadku tych rejestrów celem jest inwentaryzacja wszystkich kategorii czynności przetwarzania danych dokonywanych na rzecz poszczególnych administratorów na podstawie umów powierzenia danych.

Należy zauważyć, że większość podmiotów przetwarzających będzie zobowiązana do prowadzenia zarówno rejestru kategorii czynności przetwarzania, jak i rejestru czynności przetwarzania danych, za które odpowiadają jako administratorzy (np. danych osób zatrudnionych).

 

Pomoc w ustalaniu innych obowiązków


Nowe rejestry – opracowane według zasad określonych w rodo – będą następnie punktem wyjścia dla bieżącej oceny, w jakim zakresie administratora danych i podmiotu przetwarzającego dotyczą inne obowiązki wynikające z rodo, np. obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych, która jest na gruncie rodo przewidziana w sytuacji przetwarzania na dużą skalę szczególnych kategorii danych osobowych (art. 9 ust. 1 rodo) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 10 rodo).

Dzięki wykonywaniu obowiązku określonego w art. 30 rodo („wykonywaniu”, a nie „wykonaniu”, bo prowadzenie rejestru z pewnością nie jest czynnością jednorazową, lecz ma charakter działania ciągłego) administrator danych może stale dokonywać rewizji swojej działalności w zakresie przetwarzania danych osobowych oraz poddawać ocenie zgodności z przepisami prawa każdy nowo wprowadzany proces przetwarzania danych już na jego najwcześ­niejszym etapie.

 

Punkt wyjścia do tworzenia rejestrów


Niewątpliwie dla większości podmiotów bazą do realizacji obowiązku określonego w art. 30 ust. 1 i 2 rodo będą ewidencje danych osobowych oraz systemów służących do ich przetwarzania prowadzone na podstawie aktualnie obowiązujących przepisów, w tym przede wszystkim wykazy, będące elementami polityki bezpieczeństwa i lokalne rejestry zbiorów prowadzone przez ABI na podstawie uodo i przepisów wykonawczych do niej. Przy tworzeniu nowych rejestrów pomocne mogą być również doświadczenia wynikające ze stosowania przepisów innych aktów prawnych, takich jak np. rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Istniejące obecnie ewidencje niewątpliwie ułatwią zidentyfikowanie wszystkich zasobów i procesów, tak aby rejestry, o których mowa w rodo, były kompletne i prawidłowe.

[...]

Autorka jest radcą prawnym, zastępcą dyrektora Departamentu Rejestracji ABI i Zbiorów Danych Osobowych w Biurze GIODO.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.