LexDigital

Rejestr czynności przetwarzania - przykład

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO spoczywa na administratorze danych oraz podmiocie przetwarzającym dane. RODO nie narzuca układu informacji wymaganych w rejestrach. Stanowi jedynie, że rejestry powinny być prowadzone w formie pisemnej. Sprawdź jak przygotować odpowiednio RCP i RKCP.

Rejestr czynności przetwarzania - przykład

Kto musi prowadzić rejestr czynności przetwarzania danych osobowych?

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO spoczywa na administratorze danych oraz podmiocie przetwarzającym dane (lub, jeżeli ma to zastosowanie, na przedstawicielach tych podmiotów).  Obowiązek wyznaczenia przedstawiciela, zgodnie z art. 27 w związku z art. 3 ust. 2 RODO, mają administrator i podmiot przetwarzający nieposiadający jednostek organizacyjnych w Unii wówczas, jeżeli prowadzone przez nich czynności przetwarzania wiążą się z oferowaniem towarów lub usług osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności lub rejestru kategorii czynności przetwarzania. Podmioty przetwarzające, a więc osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora w większości przypadków będą zobowiązane do prowadzenia zarówno rejestru kategorii czynności przetwarzania, jak i rejestru czynności przetwarzania danych, za które odpowiadają jako administratorzy (np. danych osób zatrudnionych).

Rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych, przy czym niektóre z tych procesów występujących w typowych organizacjach mogą być zwolnione z prowadzenia rejestru.

Obowiązek prowadzenia rejestru trzeba realizować, gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Obowiązek zachodzi już wtedy, gdy którakolwiek z tych sytuacji występuje samodzielnie. 

Cel obowiązku prowadzenia rejestru

82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru: 

1. Zachowanie przez administratora i podmiot przetwarzający zgodności z RODO – możliwość stałej weryfikacji swojej działalności w zakresie przetwarzania danych osobowych oraz poddawania ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie 

2. Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania - na żądanie organu nadzorczego informacje o prowadzonym przez administratora i podmiot przetwarzający przetwarzaniu będą udostępniane organowi w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji. Prowadzone przez administratorów i przetwarzających rejestry pozwalają im usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Dzięki zebranym w tych rejestrach informacjom, administratorzy i podmioty przetwarzające mogą również ocenić, w jakim zakresie dotyczą ich inne obowiązki wynikające z rozporządzenia ogólnego, np. obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych, która jest na gruncie rozporządzenia przewidziana m.in. w sytuacji przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO. 

Co powinien zawierać rejestr czynności przetwarzania danych osobowych?

  1. Rejestr prowadzony przez administratora – rejestr czynności przetwarzania powinien zawierać:

a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych; 

b) cele przetwarzania; 

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; 

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; 

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; 

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; 

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust.

2. Rejestr prowadzony przez podmiot przetwarzający – rejestr kategorii przetwarzania powinien zawierać:

a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych; 

b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów; 

c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; 

d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. 

Przytoczone powyżej składniki rejestrów stanowią ich część obligatoryjną. Jednak wątpliwości może budzić znaczenie poszczególnych pojęć użytych w powołanych przepisach, a także stopień szczegółowości rejestrów i sposób ich prowadzenia. 

W celu ułatwienia realizacji tego zadania Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), przygotował szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami ich uzupełnienia oraz wyjaśnienia dotyczące sposobu realizacji tego obowiązku. Informacje, które wg UPDO powinny być zawarte w rejestrach przedstawiono w końcowej części artykułu.

Przedstawionych szablonów rejestrów nie należy traktować jako jedynych prawidłowych wzorów. Ze względu na różnorodność administratorów, sektorów, w których działają i procesów przetwarzania danych, które prowadzą oraz innych czynników, w praktyce może występować wiele różnych modeli (struktur) rejestru czynności. Ważne, żeby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić wymagane w art. 30 ust. 1 i 2 RODO elementy w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych, w sposób czytelny i przejrzysty.

W rejestrze czynności przetwarzania i rejestrze kategorii przetwarzania mogą zatem znaleźć inne elementy, które administrator uzna za zasadne, uwzględniając wiele specyficznych dla niego czynników, takich jak np.: 

·wskazanie podstawy prawnej przetwarzania, 

·wskazanie źródła pozyskania danych, 

·wskazanie użytego do przetwarzania systemu informatycznego, 

·informacje dotyczące przeprowadzonej oceny skutków dla ochrony danych itp. 

W niektórych przypadkach uzasadnione może okazać się odnotowanie w rejestrze dodatkowo takich informacji, jak np.: 

·określenie tzw. właścicieli procesów, czyli osób odpowiedzialnych u administratora za konkretne czynności przetwarzania (np. kierownik określonej komórki w organizacji, wydzielone stanowisko itp.), oraz 

·dane kontaktowe podmiotu przetwarzającego oraz podmiotów, którym podpowierzono wykonywanie określonych czynności przetwarzania danych lub określonych operacji w ramach tych czynności (art. 28 ust. 4 RODO). 

Formy prowadzenia rejestrów

RODO nie narzuca układu informacji wymaganych w rejestrach. Stanowi jedynie, że rejestry powinny być prowadzone w formie pisemnej (art. 30 ust. 3). RODO nie narzuca również wymagań dotyczących postaci, w jakiej rejestry powinny być prowadzone, wskazując, że może to być postać zarówno papierowa, jak i elektroniczna. 

Szablony rejestru czynności przetwarzania i rejestru kategorii czynności przygotowane przez Prezesa UODO

REJESTR CZYNNOŚCI PRZETWARZANIA: 

I. STRONA TYTUŁOWA: 

1. Nazwa i dane kontaktowe administratora: 

a) nazwa administratora 

b) adres 

c) email 

d) nr telefonu/faksu 

2. Inspektor Ochrony Danych (gdy ma to zastosowanie): 

a) nazwa inspektora 

b) adres 

c) email 

d) nr telefonu/faksu 

3. Przedstawiciel (gdy ma to zastosowanie): 

a) nazwa przedstawiciela 

b) adres 

c) email 

d) nr telefonu/faksu 

II. INFORMACJE O POSZCZEGÓLNYCH CZYNNOŚCIACH PRZETWARZANIA: 

a) Nazwa czynności przetwarzania 

b) Jednostka organizacyjna 

c) Cel przetwarzania 

d) Kategorie osób 

e) Kategorie danych 

f) Podstawa prawna 

g) Źródło danych 

h) Planowany termin usunięcia kategorii danych 

i) Nazwa współadministratora i dane kontaktowe 

j) Nazwa podmiotu przetwarzającego i dane kontaktowe 

k) Kategorie odbiorców 

l) Nazwa systemu lub oprogramowania 

m) Ogólny opis techniczny i organizacyjny środków bezpieczeństwa

n) DPIA 

o) Transfer do kraju trzeciego lub organizacji międzynarodowej: 

·Transfer do kraju trzeciego lub organizacji międzynarodowej 

·Dokumentacja odpowiednich zabezpieczeń w przypadku transferu 

REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA: 

I. STRONA TYTUŁOWA: 

1. Nazwa i dane kontaktowe przetwarzającego: 

a) nazwa administratora 

b) adres 

c) email 

d) nr telefonu/faksu 

2. Inspektor ochrony danych (gdy ma to zastosowanie): 

a) nazwa inspektora 

b) adres 

c) email 

d) nr telefonu/faksu 

3. Przedstawiciel (gdy ma to zastosowanie): 

a) nazwa przedstawiciela 

b) adres 

c) email 

d) nr telefonu/faksu 

II. INFORMACJE O POSZCZEGÓLNYCH KATEGORIACH CZYNNOŚCI PRZETWARZANIA: 

a) Kategorie przetwarzania 

b) Ogólny opis techniczny i organizacyjny środków bezpieczeństwa 

c) Administrator: 

·Nazwa i dane kontaktowe administratora 

·Nazwa i dane kontaktowe współadministratora (gdy ma to zastosowanie) 

·Nazwa i dane kontaktowe przedstawiciela administratora (gdy ma to zastosowanie) 

·Inspektor ochrony danych administratora (gdy ma to zastosowanie) 

d) Czas trwania przetwarzania 

e) Nazwy państw trzecich lub organizacji międzynarodowych, do których dane są przekazywane 

f) Dokumentacja odpowiednich zabezpieczeń danych osobowych 

g) Podprzetwarzający:

·Nazwa i dane kontaktowe podprzetwarzającego 

·Kategorie podpowierzonych przetwarzań 


Sprawdź wzór RCP i RKCP rekomendowany przez Urząd Ochrony Danych Osobowych:

Rejestr czynności przetwarzania (przykłady dla szkoły)

Rejestr kategorii czynności przetwarzania

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.