GDPR wymaga od przedsiębiorców prowadzenia rejestru czynności przetwarzania (art. 30 GDPR). W tej pierwszej części na VVT dowiesz się, kto musi prowadzić taki rejestr i jakie są konsekwencje w przypadku naruszenia.
Czytaj tutaj Część 2 serii o zawartości VVT.
Po co w ogóle VVT?
Obowiązek prowadzenia VVT jest określony w art. 30 GDPR. Rejestr stanowi rdzeń każdego systemu zarządzania ochroną danych (DMS).
Katalog zapewnia przegląd wszystkich operacji przetwarzania odbywających się w firmie. Z pomocą tego przeglądu można łatwiej kontrolować te operacje. Ułatwia on również ocenę ryzyka i określenie konieczności podjęcia działań.
Za regulacją dotyczącą VVT stoi nie tylko zasada rozliczalności (art. 5 II GDPR). Zwiększa ona również kontrolę i przejrzystość.
Kiedy VVT jest obowiązkowy?
Zgodnie z art. 30 GDPR każdy administrator i podmiot przetwarzający ma obowiązek prowadzenia VVT. Zawartość katalogów różni się w zależności od tego, czy prowadzący katalog jest administratorem danych, czy procesorem. Wykaz z art. 30 I GDPR dotyczy administratora danych, natomiast wykaz z art. 30 II GDPR dotyczy podmiotu przetwarzającego.
Dowiedz się więcej o zawartości VVT tutaj.
Definicje administratora i podmiotu przetwarzającego znajdują się w art. 4 nr 7 i nr 8 GDPR. Więcej na temat rozróżnienia między administratorem a przetwarzającym można znaleźć na stronie tutaj.
Kiedy jestem zwolniony z obowiązku prowadzenia VVT?
Jeżeli podmiot odpowiedzialny zatrudnia mniej niż 250 pracowników, może być w zasadzie zwolniony z prowadzenia VVT. Istnieją jednak trzy wyjątki wsteczne od tego zwolnienia: VVT jest obowiązkowe ponownie, jeśli ma miejsce przetwarzanie, które albo stanowi zagrożenie dla praw i wolności osób, których dane dotyczą (np. środki nadzoru), nie jest tylko sporadyczne lub dotyczy specjalnych kategorii danych (art. 9 lub 10 GDPR). Szczególnie drugi ponowny wyjątek (regularne przetwarzanie) obejmuje prawie wszystkie przedsiębiorstwa, tak że w zdecydowanej większości przypadków istnieje obowiązek prowadzenia VVT nawet w przypadku firm zatrudniających mniej niż 250 pracowników.
Co się dzieje w przypadku naruszenia prawa?
Jeżeli osoba zobowiązana do prowadzenia VVT nie prowadzi VVT lub prowadzi je w sposób niekompletny, stanowi to wykroczenie administracyjne zgodnie z art. 84 IV lit. a GDPR.
Właściwy organ nadzorczy może wówczas nałożyć grzywnę.
Potrzebujesz wsparcia w sprawach VVT i ochrony danych? Oferujemy się jako zewnętrzni inspektorzy ochrony danych. Zapraszamy do kontaktu z nami aby uzyskać więcej informacji o naszych usługach!
Przejdź do części 2 o VVT tutaj.
Polski 
Deutsch 
English 
Español 
Français