Rejestr czynności przetwarzania

Rejestr czynności przetwarzania

 

CZYM JEST REJESTR CZYNNOŚCI PRZETWARZANIA

Rejestr czynności przetwarzania stanowi formę dokumentowania czynności przetwarzania danych, a także jest jednym z istotnych elementów, który umożliwia realizację zasady rozliczalności. Pełni on także funkcję informacyjną.

Zgodnie z art. 30 ust. 1 RODO w rejestrze czynności przetwarzania danych powinny znaleźć się poniższe informacje:

  1. imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  2. cele przetwarzania;
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

KTO MUSI PROWADZIĆ REJESTR CZYNNOŚCI PRZETWARZANIA?

Prowadzenie rejestru czynności przetwarzania należy do obowiązków administratora danych osobowych, czyli osobie fizycznej lub prawnej, organie publicznym, jednostce lub innym podmiocie, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Nie każda organizacja jest obowiązana do prowadzenia rejestru. Przepisy stanowią, ze rejestr ten należy prowadzić:

  1. administrator zatrudnia 250 osób lub więcej - obowiązkowo,
  2. administrator dokonuje przetwarzania danych rodzące ryzyko naruszenia praw lub wolności osób, których dane dotyczą, a przetwarzanie to nie ma charakteru sporadycznego (wydaje się zdecydowana większość sytuacji przetwarzania danych osobowych) lub
  3. dokonuje także sporadycznie przetwarzania danych rodzące ryzyko naruszenia praw lub wolności osób, których dane dotyczą, a przetwarzanie dotyczy danych szczególnej kategorii lub danych dotyczących wyroków skazujących i naruszeń prawa.

Warto wspomnieć, iż art. 30 ust. 5 RODO teoretycznie pozwala przedsiębiorcom na nieprowadzenie rejestru. Otóż obowiązek prowadzenia rejestru nie dotyczy przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób – i tu uwaga – chyba że przetwarzanie, które dokonują może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych. Biorąc pod uwagę tego typu szerokie wyłączenia należy uznać, że w praktyce niemal każdy przedsiębiorca jest zobowiązany do prowadzenia rejestru RODO.

PO CO REJESTR CZYNNOŚCI PRZETWARZANIA?

Odnosząc się do motywu 82 preambuły RODO, wskazuje on na dwie najważniejsze funkcje prowadzenia rejestru a mianowicie:

 

Dzięki prowadzeniu rejestru administrator zachowuje zgodność z RODO

Prowadzenie rejestru zapewnia możliwość usystematyzowania wykonywanych czynności. Dużą zaletą rejestru jest także możliwość całościowego spojrzenia na czynności przetwarzania danych pod kątem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi.

 

Organ nadzorczy ma możliwość kontroli na prowadzonym przetwarzaniem

W przypadku kontroli przeprowadzanej przez organ nadzorczy, zapoznanie się z rejestrem może być pierwszą czynnością, którą organ nadzorczy wykona w ramach sprawowania kontroli przestrzegania przepisów RODO. Taki rejestr ma za zadanie ułatwić to zadanie organowi nadzorczemu. Wszystkie informacje powinny być udostępnione organowi nadzorczemu w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji.

CZY REJESTR CZYNNOŚCI MUSI BYĆ W FORMIE ELEKTRONICZNEJ?

RODO wymaga od nas tego, aby rejestr czynności przetwarzania danych był prowadzony w formie pisemnej. Wydaje się, że postać w jakiej rejestr powinien być prowadzony może przyjąć formę zarówno papierową, jak i elektroniczną. Zważając na funkcję rejestru należy podejść na poważnie do jego opracowania a następnie do systematycznych aktualizacji.

Zakładam, że jesteś tu po to, bo szukasz informacji na konkretny temat. Jeśli powyższy post nie rozwiązał Twojego problemu, zachęcam Cię do konsultacji online.

Kategorie

Ostatnie posty

Dane wrażliwe (art. 9 RODO)
Dane wrażliwe (art. 9 RODO)

Czym są dane wrażliwe? Czy danymi wrażliwymi są wszystkie dane osobowe czy tylko wybrana część?

Analiza ryzyka
Analiza ryzyka

Jednym z obowiązków Administratora, który nakładają na niego przepisy RODO jest wykonanie oceny skutków dla ochrony danych osobowych. W artykule kilka ważnych informacji dla osób dokonujących słynnego DPiA.

Zawiadomienie osoby fizycznej o naruszeniu ochrony danych osobowych
Zawiadomienie osoby fizycznej o naruszeniu ochrony danych osobowych

W przepisach RODO wskazano na zawiadomienie osoby fizycznej o naruszeniu jej danych osobowych jako jeden z możliwych obowiązków administratora. Jednakże czy każde naruszenie będzie wymagało zawiadomienia osoby, której dane dotyczą?

RODO-Advisor

▪️nie wdrożyłeś RODO w firmie▪️szukasz bieżącego wsparcia▪️szukasz Inspektora Ochrony Danych▪️odnotowałeś wyciek danych▪️masz problem i chcesz go przedyskutować▪️chcesz przeszkolić personel▪️ 

ROZWIĄŻEMY PROBLEM

▪️chcesz korzystać z przysługujących RODO-uprawnień▪️czujesz, że Twoje prawa nie są przestrzegane▪️chcesz mądrze zarządzać swoimi danymi osobowymi, ale nie wiesz jak▪️ myślisz o założeniu firmy i chcesz poznać RODO-procesy▪️ 

Kontakt

787 799 843
kontakt@rodo-advisor.pl
Plac Hallera 5 lok. 14A
03-464 Warszawa

CREATED BY REVEO

Dokumentacja RODO - Polityka Prywatności oraz Ogólna klauzula informacyjna