GoldenLine
Zaloguj się

konto usunięte

Temat: Obowiązkowy (?) rejestr czynności przetwarzania

Ostatnio po raz kolejny zastanawiałem się nad art. 30 ust. 5 RODO i po raz kolejny dochodzę do wniosku, że ten przepis RODO uzgadniano do ostatniej chwili i nie do końca im wyszło.

Zgodnie z art. 30 ust. 5 RODO:
Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują (...) nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 (...).

Jeżeli spojrzeć na to z jednej strony, to każdy administrator, który zatrudnia pracowników/zleceniobiorców, musi prowadzić rejestr czynności przetwarzania, o którym mowa w art. 30 ust. 1 RODO, choćby tylko dla procesów kadrowych, ponieważ:
- przetwarzanie tych danych nie ma charakteru sporadycznego;
- dotyczy przetwarzania m.in. danych o zdrowiu, a więc danych, o których mowa w art. 9 ust. 1 RODO.

Z drugiej strony, po co świadomy prawodawca (wiedząc że przetwarzanie danych kadrowych nie ma charakteru sporadycznego) wprowadza zwolnienie formułując je w taki sposób: "Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób (...)"? Przecież takie sformułowanie prowadzi do wniosku, że samo zatrudnianie mniej niż 250 osób zwalnia z obowiązku prowadzenia rejestru czynności przetwarzania dla procesów kadrowych. Wystarczyłoby napisać, że zwolnienie dotyczy innych procesów niż związane z zatrudnieniem ;-)

Co o tym sądzicie? :-)
Link do wypowiedziLink

konto usunięte

Temat: Obowiązkowy (?) rejestr czynności przetwarzania

Już o tym był wątek z tego co kojarzę. Opinie były różne i taka najbardziej racjonalna mówiła o tym, że samo przetwarzanie dotyczy głównej działalności. A główną działalnością ADO nie jest zatrudnianie pracowników.
Link do wypowiedziLink

konto usunięte

Temat: Obowiązkowy (?) rejestr czynności przetwarzania

Karolina K.:
Już o tym był wątek z tego co kojarzę. Opinie były różne i taka najbardziej racjonalna mówiła o tym, że samo przetwarzanie dotyczy głównej działalności. A główną działalnością ADO nie jest zatrudnianie pracowników.

Hmm. W mojej opinii odwołanie się do pojęcia "działalność główna" ma znaczenie, ale przy analizie obowiązku powołania IOD (art. 37 ust. 1 lit. b RODO).
Link do wypowiedziLink

konto usunięte

Temat: Obowiązkowy (?) rejestr czynności przetwarzania

W innej sytuacji, ten zapis nie ma sensu, bo każdy pracodawca zatrudniający na umowę o pracę dokonuje stałego przetwarzania danych osobowych swoich pracowników.
Link do wypowiedziLink

konto usunięte

Temat: Obowiązkowy (?) rejestr czynności przetwarzania

Zgadzam się z Tobą, że to nie do końca ma sens. Chyba nie o to chodziło "twórcom" art. 30 ust. 5 RODO.

Niestety, stanowisko GR29 w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust. 5 RODO" (https://www.giodo.gov.pl/pl/1520281/10493) jest następujące:
W związku z tym, mimo zatrudniania mniej niż 250 pracowników, administratorzy danych (...) którzy znajdują się w sytuacji przetwarzania, które (...) które nie ma charakteru sporadycznego, albo przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, (...) są zobowiązani do prowadzenia rejestru czynności przetwarzania.
Jednak takie organizacje muszą jedynie prowadzić rejestr czynności przetwarzania dla rodzajów przetwarzania wskazanych w artykule 30 ust. 5.
Przykładem tego może być mała organizacja, która najprawdopodobniej systematycznie przetwarza dane dotyczące swoich pracowników. W rezultacie takie przetwarzanie nie może być uznane za „sporadyczne” i musi w związku z tym być zawarte w rejestrze czynności przetwarzania.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Obowiązkowy (?) rejestr czynności przetwarzania

Mam wrażenie, że jeśli prawodawca tworzy zapis o ZATRUDNIAJĄCYCH, i wyklucza w tych ZATRUDNIAJĄCYCH przedsiębiorstwa poniżej 250 osób, to chyba wiedział że każde takie przedsiębiorstwo będzie "stale" przetwarzać dane osobowe?
Link do wypowiedziLink

konto usunięte

Temat: Obowiązkowy (?) rejestr czynności przetwarzania

Grzegorz K.:
Mam wrażenie, że jeśli prawodawca tworzy zapis o ZATRUDNIAJĄCYCH, i wyklucza w tych ZATRUDNIAJĄCYCH przedsiębiorstwa poniżej 250 osób, to chyba wiedział że każde takie przedsiębiorstwo będzie "stale" przetwarzać dane osobowe?

Takie jest również moje zdanie. Nawet biorąc pod uwagę, że przetwarzanie danych osobowych 249 osó dotyczy również danych o stanie zdrowia np. co do absencji chorobowych.
Link do wypowiedziLink

konto usunięte

Temat: Obowiązkowy (?) rejestr czynności przetwarzania

Zadałem powyższe pytanie wykładowcy z GIODO - po co ustawodawca określił limit 250 pracowników ??
Na moją logikę - po to żeby możliwe było zwolnienie mniejszych przedsiębiorców z tego nużącego obowiązku - odpowiedź wykładowcy niestety zgodna z wytycznymi grupy art.29 w mojej opinii bezsensowna. Idę o zakład że taki włoch czy grek nie zamierza i nawet nie pomyśli że powinien prowadzić taki rejestr, ale nasze instytucje zawsze patrzą z wygodnego dla siebie poziomu - jak dowalić przedsiębiorcy i jakiego bata na nich skręcić.

Polska jest mistrzem Polski.

pozdr.
zzz

P.S. Nie zdziwię się jak za 2-3 lata Unia wyda stosowną interpretację tego przepisu lub go zmieni bo w obecnej formie nie ma on nic wspólnego z logiką - nie można zatrudniać pracowników i jednocześnie przetwarzać ich dane "sporadycznie".
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Obowiązkowy (?) rejestr czynności przetwarzania

Wytyczne gr.r. art.29 stoją (wg. mnie) w sprzeczności z zapisem 30.5. pod względem celowościowym jak i językowym.
Będzie potrzebna wykładnia TSUE w tej sprawie. A do tej pory ...
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj