Zmiany w ustawie o ochronie danych osobowych w artykule 30 wprowadzają szczególne wymagane środki bezpieczeństwa. Charakter tych zmian dotyczy głównie organizacji. Chodzi przede wszystkim o prowadzenie rejestru czynności przetwarzania danych osobowych, który to rejestr musi być prowadzony przez administratorów danych oraz podmioty przetwarzające dane na zlecenie innych administratorów. RODO wymaga prowadzenia rejestru czynności i ma on być formą dokładnej ewidencji wszystkich działań na danych osobowych. Nadrzędnym zadaniem rejestru czynności jest ochrona danych osobowych.
Co zmienia wprowadzenie rejestru czynności?
Nowe przepisy o ochronie danych osobowych, wprowadzając rejestr czynności przetwarzania danych osobowych, sprawią, że zastąpi on dotychczasowe rejestry zbiorów danych oraz jawny rejestr zbiorów danych prowadzonych dotychczas przez Administratorów Bezpieczeństwa Informacji – ten pierwszy, oraz Generalnego Inspektora Ochrony Danych Osobowych – rejestr drugi. Zatem dotychczasowe dwa rejestry zostaną połączone w jeden. Na mocy RODO dla każego z administratorów danych, jak i podmiotów przetwarzających dane zaistnieje obowiązek prowadzenia rejestru czynności w jednostce gdzie przetwarzane są dane osobowe. Ochrona tych informacji ma być zapewniona właśnie między innymi poprzez prowadzenie tego typu dokumentacji.
W jaki sposób rejestr ma być prowadzony?
Zapisy RODO, a konkretnie artykuł 30 ust. 3, mówią, że rejestr czynności przetwarzania danych osobowych musi przybrać formę pisemną, ale może być także prowadzony w formie elektronicznej. Nowy rejestr jest dokumentem wewnętrznym, tajnym, podlegającym udostępnianiu jedynie na żądanie organu nadzorczego.
RODO nakłada obowiązek prowadzenia rejestru przez administratorów danych, za który są oni odpowiedzialni. Na rejestr składa się cały zestaw ważnych danych. Musi on zawierać dane administratora oraz współadministratorów danych, jeżeli tacy istnieją. W rejestrze znajdują się określone cele przetwarzania danych osobowych oraz informacje na temat osób, których dane dotyczą i są przetwarzane (opisy kategorii osób, opisy kategorii danych osobowych), jak i odbiorców (kategorie odbiorców, którym dane są lub będą ujawnione). Rejestr zawiera również informacje na temat przekazania danych do państw trzecich i organizacji międzynarodowych z uwzględnieniem dokumentacji odpowiednich zabezpieczeń (w przypadku przekazań danych opisanych w artykule 49 ust. 1 akapit drugi RODO). W miarę możliwości w rejestrze zamieszczane są informacje o planowanych terminach usunięcia danych osobowych poszczególnych kategorii wraz z opisem stosowanych środków bezpieczeństwa oraz środków technicznych (wymagania artykułu 32 ust. 1 RODO).
Rejestr czynności musi prowadzić również podmiot przetwarzający dane na zlecenie administratora. W tym rejestrze znaleźć się muszą: dane kontaktowe podmiotu przetwarzającego dane oraz administratora, w imieniu którego działa dany podmiot przetwarzający dane osobowe; informacje na temat kategorii przetwarzanych danych z przypisaniem do administratora; informacje na temat przekazania danych do państw trzecich i organizacji międzynarodowych z uwzględnieniem dokumentacji odpowiednich zabezpieczeń (w przypadku przekazań danych opisanych w artykule 49 ust. 1 akapit drugi RODO) oraz, w miarę możliwości, w rejestrze zamieszczane są informacje o planowanych terminach usunięcia danych osobowych poszczególnych kategorii wraz opisem stosowanych środków bezpieczeństwa oraz środków technicznych (wymagania artykułu 32 ust. 1 RODO).
Wyjątki od prowadzenia rejestru czynności
Zmiana ustawy o ochronie danych osobowych wprowadzająca obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, posiada również swoje wyjątki. Zwolnieni z prowadzenia rejestru są: administratorzy danych oraz podmioty przetwarzających dane w jednostkach, gdzie zatrudnionych jest mniej niż 250 osób. Natomiast rejestr musi być prowadzony, bez względu na ilość zatrudnionych pracowników, w jednostkach, gdzie przetwarzanie danych osobowych powoduje ryzyko naruszenia praw lub wolności podmiotów, których dane dotyczą lub obejmujących dane wrażliwe. Te szczególne kategorie zostały ujęte w artykule 9 ust. 1 RODO. Dotyczy to również danych osób skazanych lub tych, które naruszyły prawo (artykuł 10 RODO). Wyjątki te są jednak nie do końca klarowne, gdyż każde zbieranie danych oraz przetwarzanie danych osobowych może wiązać się z niebezpieczeństwem naruszenia prawa osoby, której przetwarzane dane dotyczą.