LexDigital

Rejestr czynności przetwarzania i Rejestr kategorii czynności przetwarzania

Rejestr czynności przetwarzania i Rejestr kategorii czynności przetwarzania to podstawowe dokumenty, pozwalające usystematyzować wykonywane czynności przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi.

Rejestr czynności przetwarzania i Rejestr kategorii czynności przetwarzania

Z tego artykułu dowiesz się mi.in.:

Jakie podmioty powinny prowadzić rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania?

Jakie obowiązkowe elementy muszą zawierać rejestry?

Jakie podmioty zwolnione są z obowiązku prowadzenia rejestru?

Jakie są cele prowadzenia rejestrów?

Kto powinien prowadzić rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania?

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności lub rejestru kategorii czynności. Art. 30 RODO wskazuje ich obligatoryjne składniki.

documents, files, irat

Jakie obowiązkowe elementy musi zawierać rejestr czynności przetwarzania?

Zgodnie z art. 30 ust. 1 rozporządzenia, każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora, ma obowiązek prowadzenia i aktualizowania rejestru czynności przetwarzania danych osobowych. W takim rejestrze zamieszcza się następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora, współadministratorów i inspektora danych osobowych,
  • cele przetwarzania danych osobowych osób fizycznych,
  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
  • kategorie odbiorców, którym zostały udostępnione dane osobowe (lub będą udostępnione w przyszłości), w tym odbiorców w państwach trzecich i w międzynarodowych organizacjach,
  • informacje na temat przekazania danych osobowych do państwa trzeciego (z podaniem nazwy państwa) lub organizacji międzynarodowej(z podaniem nazwy organizacji), a w przypadku przekazań — dokumentacja odpowiednich zabezpieczeń,
  • planowane terminy usunięcia poszczególnych kategorii danych osobowych,
  • opis technicznych i organizacyjnych środków bezpieczeństwa zastosowanych wobec przetwarzanych danych osobowych.

Wśród powyższych jako elementu wymaganego przy prowadzeniu rejestru nie wskazano podstawy prawnej przetwarzania danych.

laptop, office, hand

Jednak aby nie narazić się na zarzut nielegalnego przetwarzania danych warto taką podstawę wskazać przy każdej czynności przetwarzania. kierując się zapisami art. 6 RODO, t.j.:

  • zgoda osoby, której dane dotyczą, na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
control, writing, work

Jakie informacje należy ująć w rejestrze kategorii czynności przetwarzania?

Zgodnie z art. 30 ust. 2 RODO, każdy podmiot przetwarzający dane ma obowiązek prowadzenia rejestru kategorii czynności przetwarzania. Podmiot przetwarzający dane przetwarza je w imieniu administratora. W rejestrze należy zamieścić następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
  • informacje na temat przekazania danych osobowych do państwa trzeciego (z podaniem nazwy państwa) lub organizacji międzynarodowej (z podaniem nazwy organizacji), a w przypadku przekazań — dokumentacja odpowiednich zabezpieczeń, 
  • opis organizacyjnych i technicznych środków bezpieczeństwa zastosowanych wobec przetwarzanych danych osobowych.

Forma prowadzenia rejestrów została wskazana w art. 30 ust. 3 RODO - rejestry mogą przyjąć formę pisemną, w tym elektroniczną.

book, literature, reading

Kto jest zwolniony z obowiązku prowadzenia rejestru?

Przedsiębiorcy i podmioty zatrudniające mniej niż 250 osób nie mają obowiązku prowadzenia rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania, chyba, że:

  • przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • przetwarzanie nie ma charakteru sporadycznego,
  • przetwarzanie obejmuje szczególne kategorie danych osobowych (jak np.  pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, dane na temat zdrowia, seksualności, orientacji seksualnej, dane genetyczne lub biometryczne) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Cele prowadzenia rejestrów

Cele prowadzenia rejestrów wskazano w motywie 82 rozporządzenia o ochronie danych osobowych i są to:

  • zachowanie przez administratora danych i podmiot przetwarzający zgodności z RODO;
  • umożliwienie organowi nadzorczemu monitorowania przetwarzania - każdy administrator danych i podmiot przetwarzający powinni móc udostępnić rejestry na żądanie organu nadzorczego.

Potrzebujesz pomocy z prowadzeniem rejestrów, masz wątpliwości czy robisz to prawidłowo?

Zapraszamy do kontaktu

Polecane

Upoważnienie do przetwarzania danych osobowych

Upoważnienie do przetwarzania danych osobowych

Jest jednym z wymagań, które stawia przed nami RODO w art. 29 — Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego: "Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora danych, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego."

Cookiesy, zgody i RODO oraz nowy projekt raportu od EDPB

Cookiesy, zgody i RODO oraz nowy projekt raportu od EDPB

Kwestie regulacji dotyczących plików cookie oraz zgody na ich używanie od dawna intrygują osoby zajmujące się ochroną danych osobowych. Jak obecnie wygląda ta kwestia? Jakie akty prawne dotyczą zasady używania ciasteczek w Polsce oraz jak ewoluuje ten temat w Unii Europejskiej?

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk