Rejestrowanie czynności przetwarzania – jak to robić zgodnie z RODO
Autor: Marcin Sierpień
Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) rejestr czynności przetwarzania powinien prowadzić każdy administrator oraz przedstawiciel tego administratora, który nie ma jednostki organizacyjnej na terenie Unii Europejskiej (chyba że zatrudnia mniej niż 250 osób, przetwarza dane sporadycznie lub nie przetwarza szczególnych kategorii danych lub przetwarzanie, które prowadzi, nie grozi naruszeniem praw i wolności osób fizycznych). Od rejestru czynności przetwarzania danych należy odróżnić rejestr kategorii czynności przetwarzania. Ten drugi rejestr ma prowadzić każdy podmiot przetwarzający (procesor) oraz jego przedstawiciel, jeśli nie ma jednostki organizacyjnej na terenie Unii Europejskiej – zwolnienia z obowiązku prowadzenia rejestru przez procesora są takie same jak w przypadku rejestru administratora.
Obowiązkowe elementy rejestrów
Rejestr czynności przetwarzania (dla administratorów i ich przedstawicieli) | Rejestr kategorii czynności przetwarzania (dla procesorów i ich przedstawicieli) |
|
|
Rejestr prowadzony przez administratora powinien być tak skonstruowane, aby:
- informacje o nazwie administratora danych, jego danych kontaktowych, nazwie przedstawiciela i jego danych kontaktowych, a także nazwisku i danych kontaktowych inspektora ochrony danych były umieszczone jednorazowo, np. na stronie tytułowej rejestru (nie trzeba będzie ich wówczas powtarzać dla każdej czynności),
- przy każdym wpisie w rejestrze czynności na pierwszej pozycji umieszczona była nazwa lub opis czynności przetwarzania, a dopiero następnie pozostałe informacje o danej czynności wymagane przepisami.
Z kolei w przypadku rejestru kategorii przetwarzania, obok wydzielenia strony z danymi procesora na podobnych zasadach jak opisane wcześniej, warto dla każdego wpisu w rejestrze na pierwszej pozycji umieścić nazwę danej „kategorii czynności przetwarzania” (rodzaj usługi) jako wartości pozwalającej pogrupować wszystkie wpisy, a następnie umieścić:
- nazwę i dane kontaktowe administratora danych, dla którego dana usługa jest wykonywana,
- nazwę i dane kontaktowe, przedstawiciela administratora – jeśli dotyczy oraz
- nazwisko i dane kontaktowe wyznaczonego przez niego inspektora ochrony danych.
W kolejnych pozycjach należy zamieścić pozostałe informacje wymagane wskazanymi przepisami.
Nie ma również przeszkód, aby w kolejnych pozycjach rejestru znalazły się inne informacje, które z przyczyn porządkowych uznamy za zasadne, takie jak np. wskazanie podstawy prawnej przetwarzania, dane kontaktowe procesorów czy też wskazanie źródła pozyskania danych.
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »