Autor Inspirowane: Glowpol.pl – szkolenia BHP Warszawa
GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych, to organ powołany do spraw ochrony danych osobowych, funkcjonujących w latach 1997 –2018 a działający na podstawie ustawy o ochronie danych osobowych z 1997 r. Z dniem 10 maja 2018 GIODO został zastąpiony przez urząd Prezesa Urzędu Ochrony Danych Osobowych, w skrócie PUODO. Nowy urząd jest m.in. organem nadzorczym dla obowiązującego rozporządzenia o ochronie danych RODO.
Dokładnie od dnia 10 maja 2018 znika dotychczasowy obowiązek obciążający administratorów rejestracji zbiorów danych w GIODO na rzecz rejestrowania czynności przetwarzania danych osobowych, w tym danych wrażliwych. Przepis ten uległ zmianie w związku z wdrażaniem unijnego Rozporządzenia RODO. Procedura rejestracji oraz stałej aktualizacji zbiorów była oceniana przez administratorów danych jako uciążliwa, a jednocześnie nikomu nie gwarantowała prawidłowości przetwarzania tychże danych oraz ich właściwego zabezpieczenia. Zatem w nowych przepisach zrezygnowano z tego obowiązku i nie trzeba już dłużej rejestrować zbiorów w GIODO.
Nowe przepisy zobowiązują administratora danych do prowadzenia rejestru czynności przetwarzania danych osobowych. Rejestr będący pod opieką administratora musi zawierać imię i nazwisko lub nazwę danego administratora, kontakt do niego oraz wszelkich innych współadministratorów. W przypadku, gdy administrator powołuje inspektora danych, ten również, z imienia i nazwiska, musi znaleźć się w tym zbiorze.
Za każdym razem, gdy administrator przetwarza jakiekolwiek dane z podległego mu zbioru, musi wskazać cel przetworzenia tych danych. Jest zobowiązany również do określenia kategorii przetwarzanych przez siebie danych oraz opisu kategorii, z której dane przetwarza. W przypadku gdy administrator ujawnił dane osób odbiorcom lub ma taki zamiar, musi w rejestrze zamieścić informację o kategorii odbiorców. Dotyczy to wszystkich odbiorców, również tych pochodzących z innych państw czy organizacji międzynarodowych. Nazwa odbiorcy danych musi być zawsze podana w czytelny sposób i zawierać podstawowe dane niezbędne do ich identyfikacji.
Jednocześnie administrator danych jest zobowiązany do załączenia dokumentacji opisujących formę zabezpieczenia danych w momencie ich przekazywania, termin przekazania oraz ewentualny termin usunięcia określonej kategorii. Administrator musi również zamieścić w rejestrze opis wdrażanych przez siebie środków technicznych zabezpieczających zbiory adekwatnych do ryzyka związanego z przetwarzaniem danych.
Obowiązek prowadzenia rejestru czynności przetwarzania nie dotyczy administratorów zatrudniających mniej niż 250 osób, chyba że, pomimo niskiego zatrudnienia, przetwarzanie danych może spowodować:
Oznacza to, że tak naprawdę większość administratorów będzie musiała prowadzić rejestr przetwarzania danych osobowych.
Jeżeli dany administrator nie prowadzi rejestru a powinien z tytułu ilości zatrudnianych osób lub w związku z ww ograniczeniami grozi mu kara pieniężna do wysokości 10 mln euro, a w przypadku przedsiębiorstwa jeszcze więcej, bo do 2% całkowitego rocznego obrotu z poprzedniego roku obrotowego.
Przestrzeganie przepisów związanych z ochroną danych osobowych w przedsiębiorstwie to problematyczne zadanie. Nie dziwi więc, że coraz więcej osób decyduje się na nawiązanie współpracy z firmami świadczącymi outsourcing w tym zakresie.
Inspirowane: Glowpol.pl – szkolenia BHP Warszawa