RODO Rejestr czynności przetwarzania – rodzaje i zawartość rejestrów

13.05.2019 2019-05-13T00:00:00+02:00 https://www.frr.pl/news/745/rodo-rejestr-czynnosci-przetwarzania-rodzaje-i-zawartosc-rejestrow
Fundacja Rozwoju Rachunkowości
Prowadzenie rejestru czynności przetwarzania to jeden z obowiązków wynikających z RODO, który sprawia administratorom danych najwięcej problemów. Właściwe opisanie i pogrupowanie czynności przetwarzania powinno ułatwić administratorowi zarządzanie procesami przetwarzania i ochrony danych. Jest również konieczne na wypadek kontroli Prezesa UODO.
Obowiązek prowadzenia rejestru czynności przetwarzania wynika z art. 30 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO), który stanowi, że każdy administrator oraz - gdy ma to zastosowanie - przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają.

RODO określa dwa podstawowe cele prowadzenia rejestru:
•    zachowanie przez administratora i podmiot przetwarzający zgodności z RODO,
•    umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania.

Rejestr prowadzony przez administratora danych powinien zawierać:
•    imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współ-administratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych,
•    cele przetwarzania,
•    opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
•    kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
•    gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń,
•    jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
•    jeśli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Podmioty przetwarzające, tj. osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora, prowadzą rejestry wszystkich kategorii czynności przetwarzania wykonywanych w imieniu zlecających im je administratorów danych.

Ich rejestry powinny zawierać:
•    imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
•    kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
•    gdy ma to zastosowanie - przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń,
•    jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Art. 30 ust. 5 RODO stwierdza, że obowiązek rejestrowania czynności przetwarzania (zarówno przez administratorów, jak i podmioty przetwarzające) nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób.

Jednocześnie jednak przepisy RODO wskazują przesłanki, których zaistnienie przywraca obowiązek prowadzenia takiego rejestru.

Wskazane w tym przepisie wyłączenia powodują, że również przedsiębiorcy i pracodawcy zatrudniający mniej niż 250 osób zobowiązani są prowadzić taki rejestr, jeżeli przetwarzanie:
•    którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
•    nie ma charakteru sporadycznego lub
•    obejmuje szczególne kategorie danych osobowych, lub
•    obejmuje dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Najwięcej wątpliwości wśród przedsiębiorców budzi sformułowanie "sporadyczność przetwarzania danych osobowych". Sporadyczny oznacza w najdosłowniejszym tłumaczeniu - występujący rzadko, czyli nie w sposób ciągły.

W przypadku prowadzenia „normalnej” działalności gospodarczej czy też wykonywania innej funkcji przez podmiot np. zatrudniający pracowników, trudno mówić o sporadycznym przetwarzaniu danych osobowych, ponieważ większość procesów przetwarzania danych osobowych pracowników czy klientów, odbywa się w sposób ciągły.

Jesteś zainteresowany szkoleniami zamkniętymi
przygotowanymi zgodnie z potrzebami Twojej firmy?

Zadzwoń!
  • Warszawa zadzwoń 22 583 10 00
  • Katowice zadzwoń 32 353 09 26
zamknij
zamknij

zamknij
Proszę czekać...
proszę czekać