Czy wszyscy administratorzy muszą prowadzić rejestr czynności przetwarzania danych osobowych?

Obowiązek prowadzenia rejestru czynności lub kategorii przetwarzania danych osobowych nie dotyczy wszystkich administratorów. Z obowiązku tego są zwolnieni administratorzy zatrudniający mniej niż 250 pracowników.

Motyw 13 RODO:

Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników.

Powyższe zwolnienie nie zawsze może być stosowane przez administratorów i nie dotyczy ono administratorów i przetwarzających, gdy przetwarzanie danych:

  • niesie za sobą ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO,
  • dotyczy wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Powyższe zapisy skutecznie ograniczają liczbę podmiotów, które mogłyby być zwolnione z obowiązku prowadzenia rejestru czynności.

 

Artykuł 29 wskazuje na konieczność prowadzenia rejestru czynności przetwarzania przez wszystkich administratorów danych, których głównym przedmiotem działalności jest przetwarzanie danych w ramach:

  • prowadzenia call center,
  • rozsyłania newsletterów,
  • prowadzenia (jednoosobowej) praktyki lekarskiej.