Opublikowane:
13.04.2018
Rejestr Czynności Przetwarzania Danych - w jakiej formie go prowadzić i co powinno się w nim znaleźć?
5 min - średni czas potrzebny na przeczytanie artykułu
Ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych nakłada na wszystkich administratorów prowadzenie rejestru czynności przetwarzania danych. W jakiej formie prowadzić ów dokument i co powinno zostać w nim zawarte?
W jakiej formie rejestr powinien być prowadzony?
Ustawodawca nie narzuca jednoznacznie jak rejestry mają wyglądać, ani jaki układ informacji ma w nich zostać zachowany, powinny jednak być one prowadzone w formie pisemnej (może to być zarówno postać papierowa, jak też elektroniczna). Brak dokładnego określenia kształtu tego dokumentu oznacza, że administrator danych może przyjąć format najlepiej odpowiadający jego potrzebom i działalności. Jednak aby ułatwić administratorom realizacje tego obowiązku GIODO zamieściło szablon rejestru oraz przykładowe uzupełnienie rejestru w przypadku szkoły. Taki wzór pobrać można tutaj - https://www.giodo.gov.pl/pl/1520281/10449. Generalny Inspektor Ochrony Danych Osobowych zaznacza jednak, że opublikowane szablony traktować należy jedynie jako wskazówki, nie zaś jako jedyny wzór dokumentu. W praktyce powinien on bowiem stanowić odzwierciedlenie potrzeb danego podmiotu w zakresie koordynowania działań prowadzonych na danych osobowych i może występować w wielu różnych modelach. Najważniejsze aby znalazły się w nim obowiązkowe informacje oraz aby forma była prosta i czytelna.
Co powinno znajdować się w rejestrze ?
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. określa poszczególne elementy, które powinny znaleźć się w rejestrze:
a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w określonych przypadkach również dokumentacja odpowiednich zabezpieczeń;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Kilka ogólnych wskazówek
Choć forma nie jest tutaj sprecyzowana, podczas tworzenia rejestru czynności przetwarzania danych należy pamiętać o kilku zasadach:
1. Koniecznie muszą się w nim znaleźć informacje o nazwie administratora danych, jego danych kontaktowych, nazwie przedstawiciela i jego danych kontaktowych, a także nazwisku i danych kontaktowych inspektora ochrony danych – zalecamy zrobić to np. na stronie tytułowej rejestru.
2. Każdy wpis powinien zawierać nazwę lub opis czynności przetwarzania, a następnie pozostałe wymienione przez RODO informacje o danej czynności (cel przetwarzania, kategorie osób, kategorie danych, planowany termin usunięcia, nazwę współadministratorów i podmiotów przetwarzających, kategorie odbiorcóa, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa oraz informacje odnośnie transferu do kraju trzeciego) .
3. Poszczególne rekordy należy uporządkować według celu przetwarzania, gdyż to one stanowią wartość pozwalającą pogrupować wszystkie wpisy.
4. Administrator powinien uwzględniać w rejestrze dodatkowe informacje, które są istotne ze względu na prowadzone przez niego operacje na danych osobowych. Rejestr może bowiem znacznie usprawnić zarządzanie tymi procesami w ramach danej organizacji.
Informacje na temat tego czym jest rejestr czynnośći przetwarzania danych oraz dlaczego będzie on obowiązkowo prowadzony przez administratowrów znaleźć można w pierwszej części tego tekstu - https://properad.pl/artykul/28/Rejestr-Czynnosci-Przetwarzania-Danych-czym-jest-i-dlaczego-admi.
Oprócz obowiązku prowadzenia przez administratorów danych osobowych rejestru czynności przetwarzania, RODO nakłada też podobny wymóg na podmioty przetwarzające dane osobowe. W tym przypadku jest to rejestr kategorii czynności przetwarzania, a więcej o nim napiszemy niebawem. W praktyce oznacza to, że znaczna ilość podmiotów przetwarzających będzie zobowiązana do prowadzenia zarówno rejestru czynności przetwarzania danych, jak też rejestru kategorii czynności przetwarzania.
Źródła:
https://www.giodo.gov.pl/pl/1520281/10449
https://odo24.pl/blog-post.rejestr-czynnosci-przetwarzania-nowosc-rodo
https://poradnikprzedsiebiorcy.pl/-prawnie-usprawiedliwiony-cel-przetwarzania-danych-osobowych
http://www.tomaszpalak.pl/prawo/
http://webinary.comarch.pl/przygotuj-firme-na-rodo/
