LexDigital

Rejestr czynności przetwarzania - przykład

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO spoczywa na administratorze danych oraz podmiocie przetwarzającym dane. RODO nie narzuca układu informacji wymaganych w rejestrach. Stanowi jedynie, że rejestry powinny być prowadzone w formie pisemnej. Sprawdź jak przygotować odpowiednio RCP i RKCP.

Rejestr czynności przetwarzania - przykład

Kto musi prowadzić rejestr czynności przetwarzania danych osobowych?

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO spoczywa na administratorze danych oraz podmiocie przetwarzającym dane (lub, jeżeli ma to zastosowanie, na przedstawicielach tych podmiotów).  Obowiązek wyznaczenia przedstawiciela, zgodnie z art. 27 w związku z art. 3 ust. 2 RODO, mają administrator i podmiot przetwarzający nieposiadający jednostek organizacyjnych w Unii wówczas, jeżeli prowadzone przez nich czynności przetwarzania wiążą się z oferowaniem towarów lub usług osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności lub rejestru kategorii czynności przetwarzania. Podmioty przetwarzające, a więc osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora w większości przypadków będą zobowiązane do prowadzenia zarówno rejestru kategorii czynności przetwarzania, jak i rejestru czynności przetwarzania danych, za które odpowiadają jako administratorzy (np. danych osób zatrudnionych).

Rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych, przy czym niektóre z tych procesów występujących w typowych organizacjach mogą być zwolnione z prowadzenia rejestru.

Obowiązek prowadzenia rejestru trzeba realizować, gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Obowiązek zachodzi już wtedy, gdy którakolwiek z tych sytuacji występuje samodzielnie. 

Cel obowiązku prowadzenia rejestru

82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru: 

1. Zachowanie przez administratora i podmiot przetwarzający zgodności z RODO – możliwość stałej weryfikacji swojej działalności w zakresie przetwarzania danych osobowych oraz poddawania ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie 

2. Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania - na żądanie organu nadzorczego informacje o prowadzonym przez administratora i podmiot przetwarzający przetwarzaniu będą udostępniane organowi w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji. Prowadzone przez administratorów i przetwarzających rejestry pozwalają im usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Dzięki zebranym w tych rejestrach informacjom, administratorzy i podmioty przetwarzające mogą również ocenić, w jakim zakresie dotyczą ich inne obowiązki wynikające z rozporządzenia ogólnego, np. obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych, która jest na gruncie rozporządzenia przewidziana m.in. w sytuacji przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO. 

Co powinien zawierać rejestr czynności przetwarzania danych osobowych?

  1. Rejestr prowadzony przez administratora – rejestr czynności przetwarzania powinien zawierać:

a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych; 

b) cele przetwarzania; 

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; 

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; 

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; 

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; 

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust.

2. Rejestr prowadzony przez podmiot przetwarzający – rejestr kategorii przetwarzania powinien zawierać:

a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych; 

b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów; 

c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; 

d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. 

Przytoczone powyżej składniki rejestrów stanowią ich część obligatoryjną. Jednak wątpliwości może budzić znaczenie poszczególnych pojęć użytych w powołanych przepisach, a także stopień szczegółowości rejestrów i sposób ich prowadzenia. 

W celu ułatwienia realizacji tego zadania Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), przygotował szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami ich uzupełnienia oraz wyjaśnienia dotyczące sposobu realizacji tego obowiązku. Informacje, które wg UPDO powinny być zawarte w rejestrach przedstawiono w końcowej części artykułu.

Przedstawionych szablonów rejestrów nie należy traktować jako jedynych prawidłowych wzorów. Ze względu na różnorodność administratorów, sektorów, w których działają i procesów przetwarzania danych, które prowadzą oraz innych czynników, w praktyce może występować wiele różnych modeli (struktur) rejestru czynności. Ważne, żeby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić wymagane w art. 30 ust. 1 i 2 RODO elementy w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych, w sposób czytelny i przejrzysty.

W rejestrze czynności przetwarzania i rejestrze kategorii przetwarzania mogą zatem znaleźć inne elementy, które administrator uzna za zasadne, uwzględniając wiele specyficznych dla niego czynników, takich jak np.: 

·wskazanie podstawy prawnej przetwarzania, 

·wskazanie źródła pozyskania danych, 

·wskazanie użytego do przetwarzania systemu informatycznego, 

·informacje dotyczące przeprowadzonej oceny skutków dla ochrony danych itp. 

W niektórych przypadkach uzasadnione może okazać się odnotowanie w rejestrze dodatkowo takich informacji, jak np.: 

·określenie tzw. właścicieli procesów, czyli osób odpowiedzialnych u administratora za konkretne czynności przetwarzania (np. kierownik określonej komórki w organizacji, wydzielone stanowisko itp.), oraz 

·dane kontaktowe podmiotu przetwarzającego oraz podmiotów, którym podpowierzono wykonywanie określonych czynności przetwarzania danych lub określonych operacji w ramach tych czynności (art. 28 ust. 4 RODO). 

Formy prowadzenia rejestrów

RODO nie narzuca układu informacji wymaganych w rejestrach. Stanowi jedynie, że rejestry powinny być prowadzone w formie pisemnej (art. 30 ust. 3). RODO nie narzuca również wymagań dotyczących postaci, w jakiej rejestry powinny być prowadzone, wskazując, że może to być postać zarówno papierowa, jak i elektroniczna. 

Szablony rejestru czynności przetwarzania i rejestru kategorii czynności przygotowane przez Prezesa UODO

REJESTR CZYNNOŚCI PRZETWARZANIA: 

I. STRONA TYTUŁOWA: 

1. Nazwa i dane kontaktowe administratora: 

a) nazwa administratora 

b) adres 

c) email 

d) nr telefonu/faksu 

2. Inspektor Ochrony Danych (gdy ma to zastosowanie): 

a) nazwa inspektora 

b) adres 

c) email 

d) nr telefonu/faksu 

3. Przedstawiciel (gdy ma to zastosowanie): 

a) nazwa przedstawiciela 

b) adres 

c) email 

d) nr telefonu/faksu 

II. INFORMACJE O POSZCZEGÓLNYCH CZYNNOŚCIACH PRZETWARZANIA: 

a) Nazwa czynności przetwarzania 

b) Jednostka organizacyjna 

c) Cel przetwarzania 

d) Kategorie osób 

e) Kategorie danych 

f) Podstawa prawna 

g) Źródło danych 

h) Planowany termin usunięcia kategorii danych 

i) Nazwa współadministratora i dane kontaktowe 

j) Nazwa podmiotu przetwarzającego i dane kontaktowe 

k) Kategorie odbiorców 

l) Nazwa systemu lub oprogramowania 

m) Ogólny opis techniczny i organizacyjny środków bezpieczeństwa

n) DPIA 

o) Transfer do kraju trzeciego lub organizacji międzynarodowej: 

·Transfer do kraju trzeciego lub organizacji międzynarodowej 

·Dokumentacja odpowiednich zabezpieczeń w przypadku transferu 

REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA: 

I. STRONA TYTUŁOWA: 

1. Nazwa i dane kontaktowe przetwarzającego: 

a) nazwa administratora 

b) adres 

c) email 

d) nr telefonu/faksu 

2. Inspektor ochrony danych (gdy ma to zastosowanie): 

a) nazwa inspektora 

b) adres 

c) email 

d) nr telefonu/faksu 

3. Przedstawiciel (gdy ma to zastosowanie): 

a) nazwa przedstawiciela 

b) adres 

c) email 

d) nr telefonu/faksu 

II. INFORMACJE O POSZCZEGÓLNYCH KATEGORIACH CZYNNOŚCI PRZETWARZANIA: 

a) Kategorie przetwarzania 

b) Ogólny opis techniczny i organizacyjny środków bezpieczeństwa 

c) Administrator: 

·Nazwa i dane kontaktowe administratora 

·Nazwa i dane kontaktowe współadministratora (gdy ma to zastosowanie) 

·Nazwa i dane kontaktowe przedstawiciela administratora (gdy ma to zastosowanie) 

·Inspektor ochrony danych administratora (gdy ma to zastosowanie) 

d) Czas trwania przetwarzania 

e) Nazwy państw trzecich lub organizacji międzynarodowych, do których dane są przekazywane 

f) Dokumentacja odpowiednich zabezpieczeń danych osobowych 

g) Podprzetwarzający:

·Nazwa i dane kontaktowe podprzetwarzającego 

·Kategorie podpowierzonych przetwarzań 


Sprawdź wzór RCP i RKCP rekomendowany przez Urząd Ochrony Danych Osobowych:

Rejestr czynności przetwarzania (przykłady dla szkoły)

Rejestr kategorii czynności przetwarzania

Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.