Nowe obowiązki dokumentacyjne - rejestr czynności przetwarzania danych osobowych

Autor: Łukasz Onysyk
Nowością, jaką wprowadzi ogólne rozporządzenie w sprawie ochrony danych osobowych (rodo), jest rejestrowanie czynności przetwarzania danych osobowych. Obowiązek ten będzie spoczywał na administratorze danych. Zgodnie z ogólnym rozporządzeniem podmiot, który przetwarza dane osobowe, będzie musiał prowadzić rejestr czynności przetwarzania danych osobowych, których jest administratorem.

Te informacje musisz wpisać do rejestru

Zgodnie z rodo rejestr czynności przetwarzania danych osobowych prowadzony przez administratora danych będzie składał się z siedmiu elementów:
  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
  • cele przetwarzania – czy jest to np. cel kontaktowy, marketingowy, realizacja zawartych umów, czy prowadzenie korespondencji przychodzącej i wychodzącej,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych – za odbiorców danych nie uznaje się organów publicznych, które występują w ramach konkretnego postępowania,
  • przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  • planowane terminy usunięcia poszczególnych kategorii danych (jeżeli będzie to możliwe),
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, które mają zapewnić odpowiedni stopień bezpieczeństwa przetwarzanych danych, środki te mają uwzględniać m.in. stan wiedzy technicznej, koszty wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia (jeżeli będzie to możliwe).

Te podmioty nie będą musiały prowadzić rejestru

Jeżeli podmiot, który przetwarza dane osobowe, zatrudnia mniej niż 250 pracowników, nie będzie musiał prowadzić rejestru czynności przetwarzania danych (jeśli jest administratorem danych) lub rejestru kategorii czynności przetwarzania (jeśli jest procesorem). Wyjątkiem będą sytuacje, gdy przetwarzanie:
  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
 
  • jest realizowane na dużą skalę (np. w przypadku instytucji finansowych, banków, danych medycznych, przy działalności marketingowej),
  • obejmuje dane, które dotyczą wyroków skazujących i naruszeń prawa.


Łukasz Onysyk, ekspert ds. ochrony danych osobowych, zajmuje się usługami konsultingowymi z zakresu ochrony danych osobowych, doradzał ponad 200 podmiotom z sektora prywatnego i administracji publicznej

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 49828 )

Array ( [docId] => 49828 )
Array ( [docId] => 49828 )