GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Artykuł 24 – Wykazy czynności przetwarzania

1. Państwa członkowskie zapewniają, by administratorzy prowadzili wykaz wszystkich kategorii czynności przetwarzania, za które odpowiadają. W wykazie tym zamieszcza się wszystkie następujące informacje:

a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora i, w razie potrzeby, współadministratora oraz inspektora ochrony danych;
b) cele przetwarzania;
c) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych;
d) opis kategorii osób, których dane osobowe dotyczą, oraz kategorii danych osobowych;
e) w stosownym przypadku informacje o stosowaniu profilowania;
f) w stosownym przypadku kategorie przekazań danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
g) wskazanie podstawy prawnej operacji przetwarzania, w tym przekazań, do których dane osobowe są przeznaczone;
h) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
i) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 29 ust. 1.

2. Państwa członkowskie zapewniają, by podmioty przetwarzające prowadziły wykaz wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, w którym znajdują się:

a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających, każdego administratora, w imieniu którego działa podmiot przetwarzający, oraz, w razie potrzeby, inspektora ochrony danych;
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
c) w stosownym przypadku przypadki przekazania danych osobowych do państw trzecich lub organizacji międzynarodowej, w razie jednoznacznego polecenia administratora, łącznie z nazwą tego państwa trzeciego lub organizacji międzynarodowej;
d) w miarę możliwości ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 29 ust. 1.

3. Wykazy, o których mowa w ust. 1 i 2, mają formę pisemną, w tym formę elektroniczną.

Administrator i podmiot przetwarzający udostępniają wskazane wykazy organowi nadzorczemu na jego żądanie.

(56) Dla zachowania zgodności z niniejszą dyrektywą administrator lub podmiot przetwarzający powinni prowadzić wykazy wszystkich kategorii czynności przetwarzania danych osobowych, za które są odpowiedzialni. Każdy administrator i każdy podmiot przetwarzający powinien mieć obowiązek współpracy z organem nadzorczym i na jego żądanie udostępniać wskazane wykazy w celu monitorowania tych operacji przetwarzania. Administrator lub podmiot przetwarzający dane osobowe w niezautomatyzowanych systemach przetwarzania powinien dysponować skutecznymi metodami, które pozwolą mu wykazać zgodność przetwarzania danych z prawem, monitorować własną działalność i zapewnić integralność i bezpieczeństwo danych, takimi jak ewidencja lub inne formy zapisu.

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter