LexDigital

Rejestr czynności przetwarzania

Jednym z obowiązków nałożonych na administratorów danych osobowych jest konieczność prowadzenia rejestru czynności przetwarzania. To podstawowy dokument, dotyczący ochrony danych osobowych w organizacji. Powinien być sporządzony przez zdecydowaną większość podmiotów, które przetwarzają dane osobowe.

Rejestr czynności przetwarzania

Kto musi sporządzać rejestr czynności przetwarzania?

Zgodnie z przepisami rozporządzenia ogólnego o ochronie danych, Administratorzy Danych Osobowych (ADO) są zobowiązani do prowadzenia rejestru czynności przetwarzania. Stanowi on bazowy dokument dotyczący ochrony danych osobowych. Jednakże nie wszystkie podmioty są obowiązane do jego tworzenia. Rejestru nie muszą posiadać ci administratorzy danych, którzy zatrudniają mniej niż 250 osób. Nie dotyczy to jednak sytuacji, gdy przetwarzanie danych osobowych nie ma charakteru sporadycznego, a więc jest prowadzone regularnie lub systematycznie, a same czynności przetwarzania danych są na tyle istotne dla organizacji, że operacje na danych wykonywane są stosunkowo często. Ponadto wyłączenie to nie może być zastosowane przez podmioty, które przetwarzają dane osobowe w sposób powodujący możliwość naruszenia praw i wolności osób fizycznych. Co więcej, Administrator zawsze musi sporządzić rejestr czynności przetwarzania w sytuacji gdy przetwarza dane osobowe szczególnej kategorii, takie jak dane o stanie zdrowia, poglądach politycznych, wyznaniu, orientacji seksualnej czy dane biometryczne. Jego sporządzenie jest również konieczne w przypadku przetwarzania danych w postaci wyroków skazujących i naruszeń prawa.

W praktyce zwolnienie spod obowiązku sporządzania rejestru czynności przetwarzania dotyczyło będzie bardzo małej ilości przedsiębiorców w Polsce. O ile wiele podmiotów posiada mniej niż 250 pracowników, to zdecydowana większość musi przetwarzać dane osobowe częściej niż sporadycznie, chociażby w związku z zatrudnianiem pracowników lub kontaktowaniem się z klientami. Ponadto z reguły przetwarzanie danych osobowych łączy się z chociaż potencjalnym ryzykiem naruszenia praw i wolności osób fizycznych. Co więcej, bardzo wiele podmiotów przetwarza dane osobowe szczególnej kategorii, np. dotyczące stanu zdrowia pracowników. Oznacza to, że w praktyce jedynie niektórzy mikroprzedsiębiorcy nie będą musieli tworzyć rejestru czynności przetwarzania.

Jakie elementy powinien zawierać rejestr czynności przetwarzania?

RODO wskazuje na szereg elementów, które muszą znaleźć się w rejestrze czynności przetwarzania. Pierwszym z nich jest konieczność wskazania tożsamość Administratora Danych Osobowych oraz jego dane kontaktowe. Administratorem danych jest podmiot, który decyduje o celu i sposobach przetwarzania danych osobowych. Oznacza to, że jeżeli dana organizacja decyduje się na przetwarzanie danych osobowych, określa cel w jakim to robi i ustala sposoby prowadzenia operacji na danych osobowych, to jest administratorem danych osobowych. Właśnie taki podmiot powinien w treści rejestru wskazać określone informacje, dotyczące prowadzonych przez siebie czynności przetwarzania danych.

W sytuacji gdy Administratorem Danych Osobowych jest osoba fizyczna, konieczne jest podanie jej imienia, nazwiska oraz danych kontaktowych, takich jak adres do korespondencji, adres zamieszkania lub adres prowadzenia działalności gospodarczej. Prawidłowe będzie podanie również innych informacji kontaktowych, takich jak adres poczty elektronicznej lub numer telefonu. W przypadku gdy administratorem danych jest np. spółka prawa handlowego, konieczne jest podanie firmy (nazwy) tej spółki, jej siedziby, adresu oraz innych danych kontaktowych, takich jak wspomniany adres poczty elektronicznej lub numer telefonu do przedstawiciela spółki.

Drugim wymaganym przez prawo elementem rejestru jest konieczność wskazania celów przetwarzania. Należy przy tym pamiętać, że niezbędne jest określenie celu odrębnie w stosunku do każdej z czynności przetwarzania. Inny cel bowiem dotyczy przetwarzania danych osobowych kandydatów do pracy, przy czym czynnością przetwarzania może być tu np. gromadzenie CV potencjalnych pracowników, a inny dotyczy przetwarzania danych klientów przedsiębiorcy, może być bowiem związany np. z wykonaniem zawartej pomiędzy stronami umowy czy też spełnieniem obowiązków wynikających z przepisów podatkowych.

W treści rejestru czynności przetwarzania powinien się również opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych. Nawiązując do powyższego przykładu, kategorią osób, których dane dotyczą mogą być np. potencjalni pracownicy, którzy przysłali administratorowi swoje CV, a kategoriami danych będą informacje zawarte w treści zgłoszeń rekrutacyjnych. Należy pamiętać, że wystarczające jest określenie kategorii danych i osób, a więc określonych zbiorów podmiotów danych i informacji o nich. Nie oznacza to konieczności wskazywania listy wszystkich osób, których dane przetwarza administrator.

Kolejnym elementem rejestru czynności przetwarzania jest wskazanie kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych. Odbiorcą danych będą przede wszystkim podmioty przetwarzające dane w imieniu administratora. Może to być np. przedsiębiorca świadczący na rzecz administratora usługi księgowe lub polegające na hostingu poczty elektronicznej administratora. Odbiorcami danych będą także inni administratorzy danych, którzy otrzymują je od tworzącego rejestr czynności przetwarzania. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, konieczne jest zawarcie tej informacji w rejestrze wraz z nazwą tego państwa trzeciego lub organizacji międzynarodowej. Państwem trzecim w rozumieniu RODO jest państwo poza terenem Unii Europejskiej.

W treści rejestru należy również wskazać planowane terminy usunięcia poszczególnych kategorii danych. Mogą one być określone poprzez wskazanie dni, miesięcy lub lat przez które przetwarzane będą dane osobowe. W przypadku gdy nie jest to możliwe wystarczające będzie wskazanie kryteriów, w oparciu o jakie ustalony zostanie czas przetwarzania danych osobowych. Dodatkowo, w rozporządzeniu wskazano, że administrator powinien zawrzeć w treści rejestru ogólny opis środków technicznych i organizacyjnych służących zabezpieczeniu danych osobowych, o ile jest to możliwe.

Rejestr kategorii czynności przetwarzania a ochrona danych osobowych

Podmioty przetwarzające dane osobowe w imieniu innego administratora zobowiązane są do prowadzenia rejestru kategorii czynności przetwarzania, czyli rejestr prowadzony przez procesora. Dokument ten zawiera informacje podobne do tych wymaganych w rejestrze czynności przetwarzania, obejmujących zwłaszcza:

  • Wskazanie imienia i nazwiska lub nazwy oraz danych kontaktowych podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,
  • Opis kategorii przetwarzań dokonywanych w imieniu każdego z administratorów,
  • Informacje o ewentualnym przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

W praktyce zdecydowana większość procesorów będzie prowadziła dwa rejestry – rejestr czynności przetwarzania jako administrator oraz rejestr kategorii czynności przetwarzania jako podmiot przetwarzający.

Prowadzenie rejestru czynności przetwarzania

Rozporządzenie wymaga, aby rejestr czynności przetwarzania prowadzony był w formie pisemnej lub elektronicznej. Umożliwia to szybsze reagowanie na zmieniającą się sytuację gospodarczą, która wymusza nagłe edytowanie rejestru i dodawanie do niego lub usuwanie określonych czynności przetwarzania danych. Warto przy tym podkreślić, że nie jest konieczne informowanie o prowadzeniu rejestru czynności przetwarzania organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych).


Sprawdź również:


Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.