Rejestrowanie czynności przetwarzania – jak to robić zgodnie z RODO

Autor: Marcin Sierpień
Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) rejestr czynności przetwarzania powinien prowadzić każdy administrator oraz przedstawiciel tego administratora, który nie ma jednostki organizacyjnej na terenie Unii Europejskiej (chyba że zatrudnia mniej niż 250 osób, przetwarza dane sporadycznie lub nie przetwarza szczególnych kategorii danych lub przetwarzanie, które prowadzi, nie grozi naruszeniem praw i wolności osób fizycznych). Od rejestru czynności przetwarzania danych należy odróżnić rejestr kategorii czynności przetwarzania. Ten drugi rejestr ma prowadzić każdy podmiot przetwarzający (procesor) oraz jego przedstawiciel, jeśli nie ma jednostki organizacyjnej na terenie Unii Europejskiej – zwolnienia z obowiązku prowadzenia rejestru przez procesora są takie same jak w przypadku rejestru administratora.
Obowiązkowe elementy rejestrów 
Rejestr czynności przetwarzania (dla administratorów i ich przedstawicieli) Rejestr kategorii czynności przetwarzania (dla procesorów i ich przedstawicieli)
  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora (oraz ewentualnie przedstawiciela lub inspektora ochrony danych),
  • cele przetwarzania,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  • kategorie odbiorców, którym dane osobowe zostały (lub zostaną) ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
  • informacja o przekazaniu oraz nazwa państwa lub organizacji międzynarodowej – w przypadku przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi ogólnego rozporządzenia (tj. przekazań do państw trzecich dopuszczalnych przepisami), również dokumentacja odpowiednich zabezpieczeń,
  • planowane terminy usunięcia poszczególnych kategorii danych – jeżeli jest to możliwe,
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 ogólnego rozporządzenia (np. informacja o szyfrowaniu danych) – jeżeli jest to możliwe.
  • imię i nazwisko lub nazwa oraz dane kontaktowe:
    • procesora/procesorów,
    • każdego administratora, w imieniu którego procesor działa,
    • gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz
    • gdy ma to zastosowanie –  inspektora ochrony danych;
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  • informacja o przekazaniu oraz nazwa państwa lub organizacji międzynarodowej – w przypadku przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi ogólnego rozporządzenia (tj. przekazań do państw trzecich dopuszczalnych przepisami) –dokumentacja odpowiednich zabezpieczeń;
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 ogólnego rozporządzenia (np. informacja o szyfrowaniu danych) – jeżeli jest to możliwe.
Rejestr prowadzony przez administratora powinien być tak skonstruowane, aby:
  • informacje o nazwie administratora danych, jego danych kontaktowych, nazwie przedstawiciela i jego danych kontaktowych, a także nazwisku i danych kontaktowych inspektora ochrony danych były umieszczone jednorazowo, np. na stronie tytułowej rejestru (nie trzeba będzie ich wówczas powtarzać dla każdej czynności),
  • przy każdym wpisie w rejestrze czynności na pierwszej pozycji umieszczona była nazwa lub opis czynności przetwarzania, a dopiero następnie pozostałe informacje o danej czynności wymagane przepisami.
 
Z kolei w przypadku rejestru kategorii przetwarzania, obok wydzielenia strony z danymi procesora na podobnych zasadach jak opisane wcześniej, warto dla każdego wpisu w rejestrze na pierwszej pozycji umieścić nazwę danej „kategorii czynności przetwarzania” (rodzaj usługi) jako wartości pozwalającej pogrupować wszystkie wpisy, a następnie umieścić:
  • nazwę i dane kontaktowe administratora danych, dla którego dana usługa jest wykonywana,
  • nazwę i dane kontaktowe, przedstawiciela administratora – jeśli dotyczy oraz
  • nazwisko i dane kontaktowe wyznaczonego przez niego inspektora ochrony danych.
W kolejnych pozycjach należy zamieścić pozostałe informacje wymagane wskazanymi przepisami. 
Nie ma również przeszkód, aby w kolejnych pozycjach rejestru znalazły się inne informacje, które z przyczyn porządkowych uznamy za zasadne, takie jak np. wskazanie podstawy prawnej przetwarzania, dane kontaktowe procesorów czy też wskazanie źródła pozyskania danych.


Marcin Sierpień

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły


Polecamy