LexDigital

Rejestr czynności przetwarzania i Rejestr kategorii czynności przetwarzania

Rejestr czynności przetwarzania i Rejestr kategorii czynności przetwarzania to podstawowe dokumenty, pozwalające usystematyzować wykonywane czynności przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi.

Rejestr czynności przetwarzania i Rejestr kategorii czynności przetwarzania

Z tego artykułu dowiesz się mi.in.:

Jakie podmioty powinny prowadzić rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania?

Jakie obowiązkowe elementy muszą zawierać rejestry?

Jakie podmioty zwolnione są z obowiązku prowadzenia rejestru?

Jakie są cele prowadzenia rejestrów?

Kto powinien prowadzić rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania?

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności lub rejestru kategorii czynności. Art. 30 RODO wskazuje ich obligatoryjne składniki.

rejestr kategorii czynności przetwarzania, rejestr przetwarzania, dokumenty

Jakie obowiązkowe elementy musi zawierać rejestr czynności przetwarzania?

Zgodnie z art. 30 ust. 1 rozporządzenia, każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora, ma obowiązek prowadzenia i aktualizowania rejestru czynności przetwarzania danych osobowych. W takim rejestrze zamieszcza się następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora, współadministratorów i inspektora danych osobowych,
  • cele przetwarzania danych osobowych osób fizycznych,
  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
  • kategorie odbiorców, którym zostały udostępnione dane osobowe (lub będą udostępnione w przyszłości), w tym odbiorców w państwach trzecich i w międzynarodowych organizacjach,
  • informacje na temat przekazania danych osobowych do państwa trzeciego (z podaniem nazwy państwa) lub organizacji międzynarodowej(z podaniem nazwy organizacji), a w przypadku przekazań — dokumentacja odpowiednich zabezpieczeń,
  • planowane terminy usunięcia poszczególnych kategorii danych osobowych,
  • opis technicznych i organizacyjnych środków bezpieczeństwa zastosowanych wobec przetwarzanych danych osobowych.

Wśród powyższych jako elementu wymaganego przy prowadzeniu rejestru nie wskazano podstawy prawnej przetwarzania danych.

documents, dokumenty, podpis

Jednak aby nie narazić się na zarzut nielegalnego przetwarzania danych warto taką podstawę wskazać przy każdej czynności przetwarzania. kierując się zapisami art. 6 RODO, t.j.:

  • zgoda osoby, której dane dotyczą, na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
    RODO, GDPR, ochrona danych osobowych

Jakie informacje należy ująć w rejestrze kategorii czynności przetwarzania?

Zgodnie z art. 30 ust. 2 RODO, każdy podmiot przetwarzający dane ma obowiązek prowadzenia rejestru kategorii czynności przetwarzania. Podmiot przetwarzający dane przetwarza je w imieniu administratora. W rejestrze należy zamieścić następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
  • informacje na temat przekazania danych osobowych do państwa trzeciego (z podaniem nazwy państwa) lub organizacji międzynarodowej (z podaniem nazwy organizacji), a w przypadku przekazań — dokumentacja odpowiednich zabezpieczeń, 
  • opis organizacyjnych i technicznych środków bezpieczeństwa zastosowanych wobec przetwarzanych danych osobowych.

Forma prowadzenia rejestrów została wskazana w art. 30 ust. 3 RODO - rejestry mogą przyjąć formę pisemną, w tym elektroniczną.

przetwarzanie danych osobowych, data processing, data

Kto jest zwolniony z obowiązku prowadzenia rejestru?

Przedsiębiorcy i podmioty zatrudniające mniej niż 250 osób nie mają obowiązku prowadzenia rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania, chyba, że:

  • przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • przetwarzanie nie ma charakteru sporadycznego,
  • przetwarzanie obejmuje szczególne kategorie danych osobowych (jak np.  pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, dane na temat zdrowia, seksualności, orientacji seksualnej, dane genetyczne lub biometryczne) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Sprawdź nasz artykuł: Rejestr czynności przetwarzania – przykład

Cele prowadzenia rejestrów

Cele prowadzenia rejestrów wskazano w motywie 82 rozporządzenia o ochronie danych osobowych i są to:

  • zachowanie przez administratora danych i podmiot przetwarzający zgodności z RODO;
  • umożliwienie organowi nadzorczemu monitorowania przetwarzania - każdy administrator danych i podmiot przetwarzający powinni móc udostępnić rejestry na żądanie organu nadzorczego.

Potrzebujesz pomocy z prowadzeniem rejestrów, masz wątpliwości czy robisz to prawidłowo?

Zapraszamy do kontaktu

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk