Ogólne rozporządzenie o ochronie danych (RODO) nakłada na Administratora Danych obowiązek prowadzenia rejestru czynności przetwarzania, za które jest on odpowiedzialny. Obligatoryjne elementy rejestru oraz warunki jego prowadzenia, w tym przewidywane zwolnienia z tego obowiązku, określa art. 30 RODO.
Tak jak to ma miejsce w innych przypadkach, tak i ten przepis RODO może budzić wątpliwości, co do znaczenia użytych w jego treści pojęć. To z kolei może wpłynąć na prawidłowość wykonania nałożonego przez RODO obowiązku. Bazując na naszych dotychczasowych doświadczeniach, w naszym artykule postaramy się jasno wskazać co konkretnie powinno się w tym rejestrze znaleźć i jakie są najpraktyczniejsze sposoby jego prowadzenia.
Czynność przetwarzania danych
Rejestr czynności przetwarzania stanowi podstawową dokumentację związaną z przetwarzaniem danych osobowych. Zastąpił on obowiązek zgłaszania zbiorów danych do organu nadzorczego oraz jawny rejestr Administratora Bezpieczeństwa Informacji, które przewidywała Ustawa o ochronie danych osobowych z 1997 r.
Rejestr ma charakter wewnętrzny, tj. Administrator nie musi go nigdzie ujawniać (np. na stronie internetowej). Jeśli Administrator Danych prowadzi Rejestr Czynności Przetwarzania w sposób prawidłowy, pozwoli mu to ,,rozliczyć się” przed organem nadzorczym w przypadku kontroli.
W rejestrze należy wskazać wszelkie czynności związane z przetwarzaniem danych osobowych. Nie utożsamiajmy pojęcia czynności przetwarzania z operacjami przetwarzania. Operacje przetwarzania zdefiniował art. 4 pkt 2 RODO i są to m.in. zbieranie, porządkowanie, usuwanie danych osobowych. Z kolei na czynności przetwarzania należy patrzeć przez pryzmat celu, dla którego dane osobowe są przetwarzane.
W tym zakresie, zbliżamy się więc do pojęcia zbioru danych osobowych. W praktyce bowiem, wyodrębnianie zbiorów przez Administratora Danych następowało właśnie w oparciu o kryterium celu. Postawienie znaku równości pomiędzy tymi dwoma pojęciami byłoby jednak zbyt daleko idące. W każdym bowiem zbiorze, czyli uporządkowanym zestawie danych osobowych, jesteśmy w stanie zdefiniować kilka czynności (nazywanych również procesami) przetwarzania.
Przykład
| Zbiór | Czynność przetwarzania |
|---|---|
| Kadry |
|
| Klienci |
|
Więcej informacji o tym, jak prawidłowo zmapować czynności przetwarzania zachodzące w strukturze Administratora Danych, znajduje się w naszym wcześniejszym artykule: https://blog-daneosobowe.pl/rejestr-czynnosci-przetwarzania-mapowanie-procesow/
Elementy obligatoryjne Rejestru Czynności Przetwarzania
Obok wskazania czynności przetwarzania danych, Administrator Danych zobowiązany jest do zamieszczenia w swoim rejestrze szeregu innych informacji, które zostały określne w artykule 30 ust. 1 RODO.
1. Imię i nazwisko lub nazwa oraz dane kontaktowe administratora, współadministratorów, przedstawiciela administratora oraz inspektora ochrony danych
IOD i AD
Określenie podmiotu prowadzącego rejestr, czyli Administratora Danych, nie powinno stanowić problemu. To samo dotyczy wskazania Inspektora Ochrony Danych. Oczywiście, o ile został on powołany w organizacji. Należy przy tym wskazać, że w rejestrze oprócz danych kontaktowych IOD, wskazujemy również jego imię oraz nazwisko (inaczej niż np. w klauzulach informacyjnych kierowanych do osób, których dane dotyczą, gdzie wystarczy sam kontakt).
Przedstawiciel
Wyznaczenie i wskazanie w rejestrze przedstawiciela jest obowiązkowe dla Administratorów Danych niemających jednostek organizacyjnych w Unii, którzy przetwarzają dane osobowe osób przebywających w Unii, a prowadzone przez nich czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom lub monitorowaniem ich zachowania, o ile dochodzi do niego w Unii. Jest to o tyle istotne, że często zdarza się błędna interpretacja pojęcia przedstawiciela. Niektórzy Administratorzy Danych jako przedstawicieli wskazują osoby uprawnione do ich reprezentowania. Należy zdecydowanie podkreślić, że z przedstawicielem mamy do czynienia jedynie wówczas, gdy Administratorem Danych jest podmiot spoza terytorium Unii Europejskiej.
Współadministratorzy
To co może budzić większe wątpliwości, to wskazanie współadministratorów. Dla przypomnienia, za współadministratorów uznaje się co najmniej dwóch administratorów, wspólnie ustalających cele i sposoby przetwarzania danych (art. 26 RODO). Współadministrowanie może dotyczyć wszystkich, bądź tylko wybranych czynności przetwarzania (np. wspólne akcje marketingowe). O ile zatem określenie Administratora Danych, IOD czy też przedstawiciela ma charakter całościowy, to wskazanie współadministratorów powinno odbywać się w ramach konkretnej czynności przetwarzania ujawnionej w rejestrze.
Co interesujące, prawodawca unijny użył liczby mnogiej przy wskazywaniu danych kontaktowych (ang. contact details). Może to sugerować, że wymagane jest wskazanie co najmniej kilku kanałów komunikacji z Administratorem Danych, jego przedstawicielem, współadministratorami lub Inspektorem Ochrony Danych. Za niewystarczające uznaje się m.in. podanie jedynie adresu strony internetowej lub adresu email. Ma to m.in. związek z obowiązkiem udostępniania rejestru organowi nadzorczemu. Dokładne wskazanie dróg kontaktu z podmiotami odpowiedzialnymi za procesy przetwarzania danych osobowych zdecydowanie ułatwi organowi prowadzenie konsultacji w tym zakresie.
2. Cele przetwarzania
Cele przetwarzania danych osobowych powinny zostać wskazane w rejestrze w sposób precyzyjny w oparciu o istniejący w tym zakresie stan faktyczny. Tak jak zostało to wskazane na wstępie, cele przetwarzania ściśle związane są z dokonywanymi czynnościami przetwarzania danych. Administrator Danych określa cel oraz legitymizuje prowadzone przez siebie przetwarzanie, zgodnie z odpowiednią podstawą prawną wskazaną w art. 6 ust. 1 RODO lub art. 9 ust. 2 RODO.
3. Opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych
Wskazanie w rejestrze kategorii osób, których dane dotyczą nastąpić powinno poprzez określenie grup podmiotów danych, np. pracownicy, klienci, kontrahenci, subskrybenci Newslettera, itp. Określając je, Administrator Danych powinien uwzględnić cechy oraz wspólne powiązania tych osób.
Przykład
| Kategoria osób | Powiązania |
|---|---|
| Pracownicy | Osoby współpracujące z Administratorem Danych (AD) na podstawie umowy o pracę |
| Współpracownicy
| Współpracujący z AD na podstawie umów cywilnoprawnych |
| Klienci | Podmioty, z którymi Administratora Danych łączą umowy na oferowane usługi |
| Przedstawiciele klientów | Osoby kontaktowe z ramienia Klientów uczestniczące w realizacji zawartych umów na oferowane usługi |
Określenie kategorii przetwarzanych danych osobowych może nastąpić dwojako, albo poprzez wskazanie typów i rodzajów danych (np. dane identyfikacyjne, dane kontaktowe) albo poprzez wskazanie zakresu informacji (np. imię, nazwisko, email, adres). Biorąc pod uwagę zasadę rozliczalności, zasadnym będzie przyjęcie przez Administratora Danych drugiego ze wskazanych rozwiązań. Warto również określić, czy mamy do czynienia z danymi zwykłymi, czy też ze szczególnymi kategoriami danych osobowych (art. 9 ust. 1 RODO), bądź z danymi podlegającymi szczególnym warunkom przetwarzania (art. 10 RODO).
4. Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych
Pod pojęciem odbiorcy danych rozumiemy wszelkie podmioty, którym ujawnia się dane osobowe, czyli zarówno podmioty, którym dane osobowe są udostępniane, jak i podmioty, którym Administrator Danych powierzył przetwarzanie danych osobowych.
Pomimo tego, że RODO nie wymaga podania pełnych danych odbiorców, dopuszczając wymienianie tylko ich kategorii, to punktem wyjścia, w ramach realizacji powoływanej już zasady rozliczalności, powinna być jednak próba konkretnego zdefiniowania tych podmiotów. Tym bardziej, że ich tożsamość powinna być znana Administratorowi Danych. Istnieje bowiem, albo konieczność zwarcia umowy powierzenia z takim podmiotem, bądź też wskazania podstawy prawnej udostępnienia mu danych osobowych.
Należy określić odbiorów danych dla każdej czynności przetwarzania oddzielnie. Warto również zdefiniować jaki charakter ma ujawnienie danych, tj. czy mamy do czynienia z powierzeniem przetwarzania danych, czy też udostępnieniem. Administrator Danych powinien znać również cel takiego ujawnienia, który dla gwarancji rozliczalności również warto wskazać w rejestrze.
5. Przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń
Jeżeli przekazanie danych osobowych następuje do państwa trzeciego lub organizacji międzynarodowej, Administrator Danych jest obowiązany ujawnić te informacje w prowadzonym przez siebie rejestrze czynności przetwarzania.
W szczególnych sytuacjach, tj. kiedy przekazanie następuje ze względu na ważne, prawnie uzasadnione interesy realizowane przez Administratora Danych (art. 49 ust. 1 akapit drugi RODO) rejestr powinien określać zabezpieczenia, które zostały zastosowane przy takim przetwarzaniu. Najbardziej praktycznym rozwiązaniem w takim przypadku, jest jednak zastosowanie w rejestrze odesłania do konkretnej dokumentacji określającej te zabezpieczenia.
6. Planowane terminy usunięcia poszczególnych kategorii danych
Obowiązek wskazania planowanych terminów usunięcia danych osobowych związany jest z realizacją zasady ograniczenia przetwarzania (art. 5 ust. 1 lit. e) RODO), zgodnie z którą m.in. przechowywanie danych ma następować przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Przy czym, wskazuje się, że ujawnienie w rejestrze terminów usunięcia danych następuje jedynie wówczas, gdy jest to możliwe. Biorąc, jednakże pod uwagę zasadę, o której mowa powyżej oraz zestawiając ją z zasadą rozliczalności, Administrator Danych zawsze powinien być w stanie wskazać okresy przez które zamierza przetwarzać zgromadzone dane osobowe. Tym bardziej, że o tych okresach musi poinformować osoby, których dane dotyczą w stosowanych przez siebie klauzulach informacyjnych.
Administrator Danych, określając terminy usunięcia przetwarzanych przez siebie danych, może posłużyć się albo przedziałami czasowymi (np. przez okres 6 lat, przez okres obowiązywania zawartej umowy, etc.) lub konkretnymi sytuacjami (np. do momentu wycofania zgody, do momentu wniesienia skutecznego sprzeciwu, etc.). Tam, gdzie jest to możliwe, Administrator Danych powinien stosować terminy jakie przewidują odpowiednie przepisy prawa, np. w przypadku akt osobowych pracowników ich usunięcie będzie mogło nastąpić po upływie 50 lat od ustania zatrudnienia. Warto wziąć również pod uwagę przepisy prawa podatkowego, bądź okresy związane z przedawnieniami roszczeń.
7. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa
W tym miejscu rejestru, Administrator Danych powinien wskazać rzeczywiste środki jakie wdrożył dla ochrony przetwarzanych przez siebie danych osobowych. Zdecydowanie częstszym rozwiązaniem jest określanie tych środków w innej dokumentacji przetwarzania, np. Polityce ochrony danych bądź dokumentacji IT (jeżeli chodzi o zabezpieczenia techniczne). Dlatego też nic nie stoi na przeszkodzie, aby w tym miejscu rejestru odwołać się do istniejących już dokumentów, które w sposób szczegółowy opisują stosowane środki bezpieczeństwa.
Elementy dodatkowe Rejestru Czynności Przetwarzania RCP
Mimo, że celem rejestru czynności przetwarzania nie jest zapewnienie przejrzystości przetwarzania względem podmiotów danych (nie jest on im przekazywany ani w inny sposób udostępniany publicznie) to nie da się ukryć, że jego zawartość merytoryczna koresponduje w istotnej części m.in. z zakresem obowiązków informacyjnych (art. 13 i 14 RODO), jak również prawem dostępu do danych (art. 15 RODO).
Tym samym, warto, aby oprócz elementów obligatoryjnych wskazanych przez przepisy RODO znalazły się tam również dodatkowe informacje związane z dokonywanymi czynnościami przetwarzania. Pozwoli to Administratorowi Danych na zebranie, w jednym miejscu, wiedzy na temat przetwarzanych przez siebie danych. Zdecydowane ułatwi to również realizację innych obowiązków wskazanych w RODO, m.in. w zakresie wskazanych już wyżej obowiązków informacyjnych, czy też działań związanych z realizacją praw osób, których dane dotyczą.
Wykaz elementów dodatkowych
- Podstawa prawna przetwarzania która ze wskazanych w art. 6 lub 9 RODO przesłanek legalizujących przetwarzanie jest stosowana – informacja ta ułatwi wykazanie zgodności z zasadą zgodności przetwarzania z prawem, jak również ułatwi tworzenie klauzul informacyjnych,
- Źródło danych czy dane osobowe gromadzone są przez Administratora Danych od osoby, której dane dotyczą, czy też od innego podmiotu (jeżeli tak, warto dodatkowo wskazać jaki to podmiot) – informacja ta będzie stanowiła wskazówkę, który z obowiązków informacyjnych powinien zostać zrealizowany (obowiązek z art. 13 czy też 14 RODO),
- Profilowanie czy dane osobowe podlegają profilowaniu, a jeżeli tak czy mamy do czynienia z profilowaniem zwykłym czy może z profilowaniem kwalifikowanym (związanym z automatycznym podejmowaniem decyzji) – informacja ta będzie pomocna przy weryfikacji prawidłowości stosowanych podstaw prawnych przetwarzania (art. 22 RODO ogranicza przesłanki legalizujące profilowanie kwalifikowane do trzech enumeratywnie w nim wskazanych), jak również będzie miała wpływ na treść stosowanego obowiązku informacyjnego,
- Systemy informatyczne czy dane przetwarzane są z wykorzystaniem systemów informatycznych (jeżeli tak, to jakich), czy też przetwarza się je jedynie w formie papierowej – taka informacja pomaga w zlokalizowaniu miejsc gromadzenia danych, jak również może być pomocna przy określaniu odbiorców danych (np. podmiotów świadczących usługi wsparcia dla konkretnych systemów informatycznych),
- Daty wpisu i ostatniej aktualizacji informacje, kiedy czynność została wpisana do rejestru oraz kiedy miała miejsce ostatnia aktualizacja informacji dotyczących tej czynności – ta adnotacja będzie stanowić podstawę dla rozliczalności informacji ujawnianych w rejestrze.
Forma prowadzenia Rejestru Czynności Przetwarzania RCP
RODO wprowadza pełną dowolność, jeżeli chodzi o formę rejestru czynności przetwarzania. Rejestr może być bowiem prowadzony w formie pisemnej, w tym elektronicznej. Istotne jest to, aby rejestr czynności był na bieżąco aktualizowany, a jego zawartość odpowiednio chroniona przed nieuprawnionymi osobami.
Najpraktyczniejszą formą prowadzenia rejestru jest forma elektroniczna, zwłaszcza w przypadku Administratorów Danych z wieloma, ciągle zmieniającymi się czynnościami przetwarzania. Niekoniecznie musi być to dedykowany system informatyczny. Prowadzenie rejestru w pliku Excel sprawdza się bardzo dobrze. Zwłaszcza wówczas, gdy Administrator zadbał o to, żeby prowadzić rejestr sumiennie, i odnotowuje każdą zmianę np. w oddzielnym arkuszu.
Z uwagi na obowiązek udostępnienia rejestru na żądanie organu nadzorczego, ważne jest, aby rejestr prowadzony w formie elektronicznej mógł zostać np. wydrukowany. Innym rozwiązaniem może być również nadanie czasowego dostępu upoważnionemu pracownikowi organu. Niemniej, mając ma uwadze nasze doświadczenia związane z kontrolami UODO, pierwsze rozwiązanie zdecydowanie bardziej zda egzamin.
Osoba odpowiedzialna za prowadzenie RCP
Prowadzenie rejestru czynności przetwarzania jest obowiązkiem Administratora Danych. Oczywistym jest jednak to, że w swojej strukturze Administrator powinien wyznaczyć osobę, której zadaniem będzie czuwanie nad jego aktualnością, jak również wprowadzanie stosownych zmian.
W przypadkach, kiedy Administrator Danych powołał Inspektora Ochrony Danych, naturalnym wydaje się, aby powierzyć mu prowadzenie rejestru czynności przetwarzania. Obowiązek taki nie jest wprawdzie wymieniony w zadaniach IOD w art. 39 ust. 1 RODO, jednakże katalog ten nie jest katalogiem zamkniętym. Zadanie to nie będzie wpływać na niezależność Inspektora ani też powodować powstania konfliktu interesów, a jest wręcz ściśle związane z jego podstawowymi obowiązkami.
W sytuacji, kiedy w strukturze Administratora Danych brak jest IOD, wówczas prowadzenie rejestru należy powierzyć innej osobie, nadzorującej zachodzące procesy przetwarzania danych osobowych. Mniej praktycznym, ale również możliwym rozwiązaniem, jest podział rejestru i wskazanie osób odpowiedzialnych za aktualizację jego konkretnych części np. dyrektor działu HR odpowiadałby za czynności przetwarzane związane z kadrami, a dyrektor działu marketingu za czynności związane z wysyłką informacji handlowych czy też organizacją konkursów.
Zwolnienia z obowiązku prowadzenia Rejestru Czynności Przetwarzania RCP
Z obowiązku prowadzenia rejestru czynności przetwarzania zwolnieni są Administratorzy Danych, którzy zatrudniają mniej niż 250 osób.
Zwolnienie to będzie miało zastosowanie przede wszystkim w przypadku jednoosobowych działalności gospodarczych, bądź mniejszych przedsiębiorstw produkcyjnych. Niemniej, ze zwolnienia mogą skorzystać wszystkie mniejsze podmioty, bez względu na formę prawną prowadzonej działalności, jej cel oraz prywatnoprawny lub publicznoprawny charakter. O ile oczywiście spełniają jego warunki.
Poprzez zatrudnienie, należy rozumieć nie tylko zatrudnienie sensu stricte, ale również współpracę na podstawie umów cywilnoprawnych. Chodzi tu oczywiście o przypadki stałej współpracy, która swoim charakterem zbliżona jest do relacji pracowniczej.
Wskazany wyżej wyjątek od prowadzenia rejestru czynności przetwarzania, nie ma jednak charakteru bezwzględnego. Istnieją bowiem trzy rodzaje przetwarzania, do których nie znajdzie on zastosowania.
Kiedy zwolnienie z obowiązku prowadzenia RCP nie znajdzie zastosowania
- Może powodować ryzyko (nie tylko wysokie) naruszenia praw lub wolności osób, których dane dotyczą,
- Nie ma charakteru sporadycznego,
- Obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
Wymienione rodzaje przetwarzania danych osobowych, do których wyjątek nie ma zastosowania, mają charakter alternatywny i wystąpienie któregokolwiek z nich samodzielnie wywołuje obowiązek prowadzenia rejestru czynności przetwarzania. Rejestr trzeba jednak prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania. Pomimo tego częściowego zwolnienia, zalecamy jednak prowadzenie rejestru dla wszystkich dokonywanych czynności przetwarzania. Należy bowiem wziąć pod uwagę kluczową z punktu widzenia zgodności z RODO zasadę rozliczalności, a także status rejestru w przepisach rozporządzenia (jest to jedyny dokument, na którego obowiązek wdrożenia i zawartość wskazuje się wprost).
Przykład praktyczny
Dwudziestoosobowa firma zajmująca się montażem i konserwacją klimatyzatorów w biurach. Większość przetwarzanych informacji o klientach stanowią dane kontaktowe dużych spółek, które zleciły montaż lub konserwację klimatyzatora. Firma jednak systematycznie przetwarza dane dotyczące swoich pracowników. W rezultacie takie przetwarzanie nie może być uznane za sporadyczne i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. Jednak nie ma konieczności zawierania w Rejestrze Czynności Przetwarzania innych czynności przetwarzania, jeśli w rzeczywistości będą miały charakter sporadyczny.
Sankcje
Naruszenie przez Administratora Danych obowiązku w zakresie prowadzenia rejestru czynności przetwarzania, stanowi przesłankę do nałożenia administracyjnej kary pieniężnej. Zastosowanie znajdzie kara niższa, tj. ta o której mowa w art. 83 ust. 4 lit. a RODO (w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).
Rejestr czynności przetwarzania (RCP) i RKCP
Chcesz spełnić wymóg RODO i prowadzić Rejestr Czynności Przetwarzania oraz Rejestr Kategorii Czynności Przetwarzania, ale nie wiesz od czego zacząć?
Działaj na sprawdzonym szablonie, którego autorem są eksperci Lex Artist – lidera na rynku ochrony danych osobowych w Polsce.
Podsumowanie
Rejestr czynności przetwarzania jest podstawowym dokumentem, który powinien opracować niemal każdy Administrator Danych. Celem prowadzenia rejestru jest przede wszystkim usystematyzowanie dokonywanych na danych czynności przetwarzania. Prawidłowo skonstruowany rejestr, pozwala w sposób całościowy spojrzeć na wykonywane procesy przetwarzania danych osobowych pod względem zgodności z wymogami prawnymi. Prowadząc rejestr zdecydowanie łatwiej jest Administratorowi Danych zrealizować jedną z podstawowych zasad RODO, jaką jest zasada rozliczalności.
Źródła:
- Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Stanowisko Grupy Roboczej Art. 29 ds. ochrony danych w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust. 5 RODO z dnia 14 maja 2018 r.
- Ogólne rozporządzenie o ochronie danych. Komentarz, Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.)
- Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Litwiński Paweł (red.), Barta Paweł, Kawecki Maciej
Powiązane artykuły
4 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
czy każda zmiana w rejestrze musi być zatwierdzona przez dyrektora?
Pytanie jest zbyt ogólne. Zmiany powinien wprowadzać administrator danych/jego przedstawiciel/inspektor ochrony danych lub inna osoba odpowiedzialna za ochronę danych. Powinny one mieć odzwierciedlenie w stanie faktycznym. Pozdrawiamy!
Witam. Dziękuję za bardzo dobry materiał. Mam jedną wątpliwość, odnośnie „sporadyczności”. Prowadzę jednoosobową działalność w której przetwarzanie danych osobowych sprowadza się do podpisania umowy z klientem (osoba fizyczna prowadząca działalność gospodarczą) i co miesięcznego wystawienia jemu faktury. Innego przetwarzania nie ma. Zastanawia mnie czy wystawianie co miesiąc rachunku to przetwarzanie sporadyczne czy nie i czy nie powinienem zrobić rejestru dla tej jednej czynności? Z góry dziękuję za odpowiedź!
Dzień dobry 🙂 Wskazana przez Pana czynność kwalifikuje się jako czynność cykliczna i powinna być ujęta w Rejestrze np jako czynność związana z realizacją umowy pozdrawiam