GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych
10 lutego 2022

Rejestr czynności przetwarzania danych

Rejestr czynności przetwarzania danych

RODO nakłada na administratora danych szereg obowiązków, w obszarze dokumentowania operacji przetwarzania danych osobowych.

Jednym z nich, o którym mówi art. 30 RODO jest obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Rozporządzenie wskazuje jakie informacje powinien zawierać rejestr i kto dokładnie jest zobowiązany do jego prowadzenia. Dzięki zestawieniu czynności w rejestrze administrator może określić inne obowiązki wynikające z RODO w odniesieniu do poszczególnych czynności w nim wskazanych.

Cel prowadzenia rejestru jest określony w motywie 82 RODO, który wskazuje dwie jego podstawowe funkcje:

  • Zachowanie przez administratora zgodności z RODO oraz
  • Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania

– czyli z wskazanymi w RODO zasadami i warunkami przetwarzania danych osobowych.

Co to jest przetwarzanie danych osobowych?

Prowadzony rejestr ma pozwolić usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych pod względem zgodności z celami biznesowymi, jak i wymaganiami prawnymi.

Z perspektywy organu nadzorczego, prowadzenie rejestru czynności przetwarzania ma ułatwić organowi kontrolę wszystkich czynności dotyczących danych osobowych prowadzonych przez organizację. Organ nadzorczy może wezwać do przedstawienia rejestru zarówno w ramach prowadzonej kontroli w organizacji, jak i w innych prowadzonych przez organ postępowaniach.

Zgodnie z ustępem 1 art. 30 RODO w rejestrze muszą się znaleźć takie informacje jak:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą;
  • opis kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a także opis odpowiednich zabezpieczeń;
  • planowane terminy usunięcia poszczególnych kategorii danych, jeżeli jest to możliwe;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Katalog informacji jaki musi znaleźć się w rejestrze czynności przetwarzania nie jest zamknięty i może zostać poszerzony o inne elementy, których dodanie administrator uzna za zasadne. Gdy mowa o kategorii odbiorców danych w rejestrze czynności przetwarzania chodzi o podmioty przetwarzające. Nie będą nimi np. pracownicy administratora, którzy działają z upoważnienia administratora, w jego imieniu i na jego polecenia, ale są wewnątrz jego struktury organizacyjnej.

Należy pamiętać, że obowiązek odnotowania w rejestrze odpowiednich zabezpieczeń jest przewidziany w sytuacji, kiedy przekazanie danych do państwa trzeciego lub organizacji międzynarodowej nie następuje na podstawie wydanej przez Komisję Europejską decyzji stwierdzającej adekwatny stopień ochrony w państwie trzecim lub organizacji międzynarodowej, ani z wykorzystaniem odpowiednich mechanizmów ochrony.

W rejestrze czynności przetwarzania zamieszcza się – jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Opis może mieć charakter ogólny i wskazywać najważniejsze założenia czy elementy przyjętych systemów lub koncepcji w zakresie bezpieczeństwa danych osobowych. Jest to uzasadnione zwłaszcza w przypadkach, gdy koncepcje te obejmują wiele elementów i rozwiązań, które uszczegółowione są w innym miejscu, np. konkretnej dokumentacji, polityce lub procedurach.

Prowadzenie rejestru czynności przetwarzania jest zobowiązaniem administratora danych. Rejestr czynności przetwarzania danych musi być prowadzony przez administratora zatrudniającego od 250 osób.

Podmioty, które są administratorami danych, ale które zatrudniają mnie niż 250 są zobowiązane do prowadzenia rejestru gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Belgijski organ w sprawie rejestru czynności przetwarzania

Stwierdzenie w organizacji, którejkolwiek z wymienionych sytuacji spowoduje konieczność prowadzenia rejestru czynności przez administratora. W takim przypadku prowadzony rejestr czynności przetwarzania należy prowadzić jedynie dla tych wskazanych powyżej rodzajów przetwarzania.

Zgodnie z art. 30 ust. 3 RODO rejestr powinien być prowadzony w formie pisemnej. Przy czym może być on prowadzony zarówno w postaci papierowej jak i elektronicznej.

Udostępnij publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies