Co to jest rejestr czynności przetwarzania i dlaczego powinieneś go prowadzić?

Od rozpoczęcia obowiązywania RODO administratorzy i podmioty przetwarzające, a także gdy ma to zastosowanie – przedstawiciele tych podmiotów powinni prowadzić w formie pisemnej rejestry czynności przetwarzania.

Czy każdy podmiot musi prowadzić rejestr ?

Nie każdy podmiot ma obowiązek prowadzenia rejestru. Pojawia się on dopiero wtedy, gdy:

  • przedsiębiorca lub podmiot zatrudniający zatrudnia więcej, niż 250 osób 
  • przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą i przetwarzanie to:

    • nie ma charakteru sporadycznego lub

    •  obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Jednak prowadzenie rejestru zalecane jest wszystkim podmiotom przetwarzającym dane. Przede wszystkim dlatego, że znacznie ułatwia weryfikację działalności w zakresie
zgodności z przepisami dotyczącymi ochrony danych osobowych, a także umożliwia
ocenę wynikających z RODO obowiązków. Ponadto w sytuacji kontroli organu
nadzorczego , rejestr stanowi prosty i czytelny sposób na dokonanie wstępnej analizy zgodności przetwarzania z prawem oraz organizacji ochrony danych osobowych.

Ponadto rejestr jest również przydatnym narzędziem w pracy Inspektora Ochrony Danych ze względu na przejrzystość zgodności działań administratora z prawem, a także w zakresie
doradztwa IOD i wykorzystywaniu zawartych w rejestrze informacji w jego codziennej pracy.

Czym jest rejestr czynności przetwarzania ?

Zgodnie z interpretacją dr inż. Andrzeja Kaczmarka rejestr czynności przetwarzania stanowi „wykaz przetwarzanych zbiorów danych, na które dzieli się wszystkie przetwarzane u danego administratora danych informacje ze względu na: zakres przetwarzanych danych, cele przetwarzania oraz kategorie odbiorców, którym dane zostają udostępnione.” Rejestr powinien spełniać funkcję szybkiego i prostego dostępu do najważniejszych informacji dotyczących przetwarzania. Powinien on być prowadzony odrębnie dla każdego procesu przetwarzania danych i powinien być udostępniony organowi nadzorczemu na każde jego wezwanie. Do jego prowadzenia zobowiązany jest administrator, procesor oraz ich przedstawiciel, jeżeli taki występuje. RODO wprost nie definiuje pojęcia czynności przetwarzania, jednak wiele razy się nim posługuje.

PUODO natomiast określił czynności przetwarzania jako zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane. Przykładem takich czynności może być rekrutacja, prowadzenie ewidencji pracowników czy prowadzenie rozliczeń w zakresie wypłaty wynagrodzeń pracownikom, naliczania obciążeń oraz naliczania i odprowadzania składek do ZUS. Takie rozumienie pojęcia „czynność przetwarzania” przyjmują również inne organy nadzorcze w Europie, między innymi organy ochrony danych w Niemczech, Belgii i Wielkiej Brytanii.

Czym jest rejestr kategorii czynności przetwarzania ?

Prowadzenie rejestru kategorii czynności przetwarzania odnosi się tylko do podmiotów przetwarzających dane i gdy ma to zastosowanie – ich przedstawicieli, a więc stanowi on rejestr danych procesora odnośnie danych mu powierzonych. W żadnym wypadku nie zastępuje on rejestru czynności. Podobnie jak przy definicji czynności przetwarzania, kategorie czynności przetwarzania również nie zostały przez RODO zdefiniowane, jednak zgodnie ze stanowiskiem PUODO kategorie czynności przetwarzania są rodzajem usługi realizowanej przez podmiot przetwarzający na zlecenie administratora związanej ze zleconymi czynnościami przetwarzania i będą nimi, np. prowadzenie dokumentacji
podatkowej, księgowej, kadrowej, niszczenie nośników informacji czy przechowywanie
danych klienta (administratora) rozumiane jako udostępnienie zamawiającemu określonej przestrzeni dyskowej w infrastrukturze przetwarzającego na przechowywanie danych, którymi zlecający (administrator) sam zarządza i decyduje o tym, jakie dane tam przechowuje – np. wykonuje kopie zapasowe danych elektronicznych.

Jakie informacje zamieszcza się w rejestrze czynności ?

  • Imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych

  • Cele przetwarzania

  • Opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych

  • Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych

  • Gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń

  • Jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych

  • Jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1

 Jakie informacje zamieszcza się w rejestrze kategorii czynności ?

  • Imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych

  • Kategorie przetwarzań dokonywanych w imieniu każdego z administratorów

  • Gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń

  • Jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1

 

Czy w rejestrach można zawrzeć więcej informacji niż zostało to wymienione w art. 30 RODO ?

W rejestrach należy wskazywać wszystkie elementy, których zawarcie uznane zostanie za potrzebne i uzasadnione, a więc katalog czynności wymieniony w art. 30 RODO nie jest
katalogiem zamkniętym i dopuszcza jego rozszerzenie przez administratorów i podmioty przetwarzające.

 

Forma prowadzenia rejestrów

RODO nie wprowadza wielu wytycznych, jeżeli chodzi o układ informacji czy postać w jakiej mają być prowadzone rejestry. Stanowi jedynie, że powinny być sporządzane w formie pisemnej, z tym że może to być zarówno forma papierowa jak i elektroniczna. Ze względu na dowolność układu informacji w rejestrze, podczas jego tworzenia należy zwrócić uwagę na zachowanie przejrzystości.

 Szablony rejestrów PUODO

Na swojej stronie PUODO zamieścił przykładowe wzory omawianych rejestrów, zaznaczając jednocześnie, że nie należy traktować ich jako jedynych prawidłowych z uwagi na różnorodność administratorów i sektorów w których działają, a także procesów przetwarzania, które prowadzą oraz innych czynników. Podstawową zasadą jest zamieszczenie informacji wymaganych w art. 30 ust. 1 i 2 RODO w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych, w sposób czytelny i przejrzysty.

Zdjęcie: https://universe.jumpstory.com/

Reklama

Poprzedni artykułKim jest Inspektor Ochrony Danych?
Następny artykułRekrutacja zgodna z RODO (+ niezbędne klauzule)
Jesteśmy firmą wspierającą małych i średnich przedsiębiorców w bezpiecznym i legalnym przetwarzaniu przez nich danych osobowych. Na eRODO.pl dzielimy się swoją wiedzą i doświadczeniem.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

The reCAPTCHA verification period has expired. Please reload the page.