RODO Rejestr czynności przetwarzania w biurze rachunkowym

Może zdarzyć się, że jeden podmiot powinien prowadzić oba rejestry tj.:
        •    rejestr czynności przetwarzania we własnym imieniu, jako administrator danych oraz
        •    rejestr wszystkich kategorii czynności przetwarzania, których dokonuje w imieniu administratora danych.

Zasadniczo z obowiązku prowadzenia obu tych rejestrów RODO zwalnia przedsiębiorców lub podmioty zatrudniające mniej niż 250 osób. Jednocześnie jednak stanowi o tym, kiedy podmioty zatrudniające mniej niż 250 pracowników muszą takie rejestry prowadzić.

Obowiązek taki obciąża przedsiębiorcę lub inny podmiot, jeżeli czynności przetwarzania, które wykonują:
        •    mogą powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
        •    nie mają charakteru sporadycznego,
        •    obejmują szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Rejestr prowadzony przez biuro rachunkowe przetwarzające dane osobowe w imieniu administratora, zgodnie z art. 30 ust. 2 RODO, powinien zawierać następujące informacje:
        •    imię i nazwisko lub nazwę oraz
        •    dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz
        •    każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych (jeżeli został powołany),
        •    kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
        •    gdy ma to zastosowanie - informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentację odpowiednich zabezpieczeń,
        •    jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Oba rejestry powinny mieć formę pisemną.

Administrator lub podmiot przetwarzający udostępniają rejestr na żądanie organu nadzorczego.

Tworząc rejestr podmiot przetwarzający powinien w odniesieniu do każdego z administratorów określić rodzaj poszczególnych powierzeń (zleceń), czyli rodzaj usług, jakie podmiot przetwarzający na podstawie zawartych umów wykonuje na rzecz poszczególnych administratorów.

Przykładowy Rejestr wszystkich kategorii czynności przetwarzania w imieniu administratora