Każdy administrator oraz jego przedstawiciel (jeżeli istnieje) prowadzi i jest odpowiedzialny za rejestr czynności przetwarzania danych osobowych. Obowiązek ten spoczywa również na procesorze.

Jakie informacje powinny znaleźć się w rejestrze?

W rejestrze czynności przetwarzania danych osobowych zamieszcza się następujące informacje:

1)imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

2)cele przetwarzania;

reklama

3)opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

4)kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

5)gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej;

6)jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

7)jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa tj.: pseudonimizacja i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularność testowania i oceniania skuteczności ww. środków.

Rejestr kategorii czynności przetwarzania dokonywanych w imieniu administratora

Każdy podmiot przetwarzający oraz jego przedstawiciel (jeżeli istnieje) prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

reklama

W rejestrze kategorii czynności przetwarzania dokonywanych w imieniu administratora zamieszcza się następujące informacje:

1) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

2) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

3) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;

4) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa tj.: pseudonimizacja i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularność testowania i oceniania skuteczności ww. środków.

Forma rejestrów

Obydwa typy rejestrów (czynności i kategorii czynności przetwarzania dokonywanych w imieniu administratora) mogą być prowadzone w formie pisemnej bądź elektronicznej.

Obowiązek udostępnienia rejestru

Administrator lub podmiot przetwarzający oraz przedstawiciel administratora lub podmiotu przetwarzającego (jeżeli istnieje) mają obowiązek udostępnić rejestr na każde żądanie organu nadzorczego. Organ nadzorczy dokonuje kontroli tych rejestrów w celu monitorowania operacji przetwarzania.

Wyłączenia obowiązków prowadzenia rejestru

Wyłączone z obowiązku prowadzenia rejestru są podmioty zatrudniające mniej niż 250 osób. Wyłączenie to nie ma zastosowania jeżeli przetwarzanie, którego dokonują:

reklama

1) może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego;

2) obejmuje szczególne dane wrażliwe, genetyczne lub biometryczne; lub

3) obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Porównanie przepisów UODO/GDPR

Uodo

GDPR

Rejestracja zbiorów d.o., tj. art. 40 – 46a

Artykuł 30 Rejestrowanie czynności przetwarzania

1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

b) cele przetwarzania;

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

2. Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

c) gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

3. Rejestry, o których mowa w ust. 1 i 2, mają formę pisemną, w tym formę elektroniczną.

4. Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego.

5. Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.