konto usunięte
Temat: Obowiązkowy (?) rejestr czynności przetwarzania
Ostatnio po raz kolejny zastanawiałem się nad art. 30 ust. 5 RODO i po raz kolejny dochodzę do wniosku, że ten przepis RODO uzgadniano do ostatniej chwili i nie do końca im wyszło.Zgodnie z art. 30 ust. 5 RODO:
Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują (...) nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 (...).
Jeżeli spojrzeć na to z jednej strony, to każdy administrator, który zatrudnia pracowników/zleceniobiorców, musi prowadzić rejestr czynności przetwarzania, o którym mowa w art. 30 ust. 1 RODO, choćby tylko dla procesów kadrowych, ponieważ:
- przetwarzanie tych danych nie ma charakteru sporadycznego;
- dotyczy przetwarzania m.in. danych o zdrowiu, a więc danych, o których mowa w art. 9 ust. 1 RODO.
Z drugiej strony, po co świadomy prawodawca (wiedząc że przetwarzanie danych kadrowych nie ma charakteru sporadycznego) wprowadza zwolnienie formułując je w taki sposób: "Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób (...)"? Przecież takie sformułowanie prowadzi do wniosku, że samo zatrudnianie mniej niż 250 osób zwalnia z obowiązku prowadzenia rejestru czynności przetwarzania dla procesów kadrowych. Wystarczyłoby napisać, że zwolnienie dotyczy innych procesów niż związane z zatrudnieniem ;-)
Co o tym sądzicie? :-)