Trzeba mieć na uwadze, że tzw. czynności przetwarzania, które należy ująć w rejestrze czynności przetwarzania, nie są tożsame z pojęciem "przetwarzania" czy też "operacjami przetwarzania". Najogólniej przyjmuje się, że te czynności przetwarzania oznaczają zbiorcze oznaczenie wielu różnych operacji przetwarzania, które łączy realizacja tego samego celu.
Zakres informacji, jaki powinien znaleźć się w rejestrze czynności przetwarzania prowadzonym przez administratorów (art. 30 ust. 1 RODO) to:
• imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;
• cele przetwarzania;
Zgodnie z zasadą celowości (art. 5 ust. 1 lit. b) RODO) dane osobowe powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być przetwarzane dalej w sposób niezgodny z tymi celami. Dlatego prowadząc rejestr czynności przetwarzania administrator nie może tylko ogólnikowo nazwać tych celów, jak np. przetwarzanie danych osobowych w związku z wykonywaną działalnością, ale musi te cele uściślić i skonkretyzować.
• opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
Przykładem kategorii osób są dane pracowników, klientów, uczniów, natomiast przykładami kategorii danych osobowych będą: imię i nazwisko, adres, numer telefonu służbowego itp. Nie jest wymagane wpisywanie do rejestru konkretnych osób czy danych osobowych, a jedynie pogrupowania ich na podstawie wspólnych cech. Ponadto administrator danych musi kierować się zasadą minimalizacji danych, która wymaga, aby przetwarzane dane były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
Odbiorcą jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. W rejestrze należy podać kategorie tych odbiorców (nie zaś ich konkretne dane), przykładowo - podmioty świadczące usługi IT, podmioty świadczące usługi księgowo-kadrowe, przewoźnicy itp.
• gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
Informacje te należy zawrzeć w rejestrze tylko wtedy, gdy następują (ewentualnie mają nastąpić) transfery danych do państw trzecich lub organizacji międzynarodowych.
• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
Konieczność podania terminów planowanego usunięcia poszczególnych kategorii danych związana jest z tzw. zasadą ograniczenia przetwarzania (art. 5 ust. 1 lit. e) RODO). Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. RODO wymaga, aby zapobiegać przechowywaniu danych osobowych przez okres dłuższy niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub dokonywania okresowego przeglądu.
Termin planowanego usunięcia danych można podać w rejestrze tylko wtedy, gdy podmiot jest w stanie go ustalić. Taki termin można określić również w sposób opisowy, uzależniając go od wystąpienia jakiegoś zdarzenia, przykładowo od zakończenia trwania umowy, wycofania zgody.
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi:
1) pseudonimizację i szyfrowanie danych osobowych,
2) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
3) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
4) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Zawarcie tych informacji w rejestrze wymagane jest wtedy, gdy takie środki wdrożono i można je określić.
Menu
Menu
