ProperAd.pl

  • Traffic_WatchDog

Opublikowane:

13.04.2018

Rejestr Czynności Przetwarzania Danych - w jakiej formie go prowadzić i co powinno się w nim znaleźć?

5 min - średni czas potrzebny na przeczytanie artykułu

Ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych nakłada na wszystkich administratorów prowadzenie rejestru czynności przetwarzania danych. W jakiej formie prowadzić ów dokument i co powinno zostać w nim zawarte?

  

W jakiej formie rejestr powinien być prowadzony?

 

Ustawodawca nie narzuca jednoznacznie jak rejestry mają wyglądać, ani jaki układ informacji ma w nich zostać zachowany, powinny jednak być one prowadzone w formie pisemnej (może to być zarówno postać papierowa, jak też elektroniczna).  Brak dokładnego określenia kształtu tego dokumentu oznacza, że administrator danych może przyjąć format najlepiej odpowiadający jego potrzebom i działalności. Jednak aby ułatwić administratorom realizacje tego obowiązku GIODO zamieściło szablon rejestru oraz przykładowe uzupełnienie rejestru w przypadku szkoły. Taki wzór pobrać można tutaj - https://www.giodo.gov.pl/pl/1520281/10449.  Generalny Inspektor Ochrony Danych Osobowych zaznacza jednak, że opublikowane szablony traktować należy jedynie jako wskazówki, nie zaś jako jedyny wzór dokumentu. W praktyce powinien on bowiem stanowić odzwierciedlenie potrzeb danego podmiotu w zakresie koordynowania działań prowadzonych na danych osobowych i może występować w wielu różnych modelach. Najważniejsze aby znalazły się w nim obowiązkowe informacje oraz aby forma była prosta i czytelna.

 

Co powinno znajdować się w rejestrze ?

 

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. określa poszczególne elementy, które powinny znaleźć się w rejestrze:

a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych; 

b) cele przetwarzania; 

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; 

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w określonych przypadkach również dokumentacja odpowiednich zabezpieczeń; 

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; 

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

 

Kilka ogólnych wskazówek

 

Choć forma nie jest tutaj sprecyzowana, podczas tworzenia rejestru czynności przetwarzania danych należy pamiętać o kilku zasadach:

1. Koniecznie muszą się w nim znaleźć informacje o nazwie administratora danych, jego danych kontaktowych, nazwie przedstawiciela i jego danych kontaktowych, a także nazwisku i danych kontaktowych inspektora ochrony danych – zalecamy zrobić to np. na stronie tytułowej rejestru.

2. Każdy wpis powinien zawierać nazwę lub opis czynności przetwarzania, a następnie pozostałe wymienione przez RODO informacje o danej czynności (cel przetwarzania, kategorie osób, kategorie danych, planowany termin usunięcia, nazwę współadministratorów i podmiotów przetwarzających, kategorie odbiorcóa, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa oraz informacje odnośnie transferu do kraju trzeciego) .

3. Poszczególne rekordy należy uporządkować według celu przetwarzania,  gdyż to one stanowią wartość pozwalającą pogrupować wszystkie wpisy.

4. Administrator powinien uwzględniać w rejestrze dodatkowe informacje, które są istotne ze względu na prowadzone przez niego operacje na danych osobowych. Rejestr może bowiem znacznie usprawnić zarządzanie tymi procesami w ramach danej organizacji.

 

Informacje na temat tego czym jest rejestr czynnośći przetwarzania danych oraz dlaczego będzie on obowiązkowo prowadzony przez administratowrów znaleźć można w pierwszej części tego tekstu - https://properad.pl/artykul/28/Rejestr-Czynnosci-Przetwarzania-Danych-czym-jest-i-dlaczego-admi. 

Oprócz obowiązku prowadzenia przez administratorów danych osobowych rejestru czynności przetwarzania, RODO nakłada też podobny wymóg na podmioty przetwarzające dane osobowe. W tym przypadku jest to rejestr kategorii czynności przetwarzania, a więcej o nim napiszemy niebawem. W praktyce oznacza to, że znaczna ilość podmiotów przetwarzających będzie zobowiązana do prowadzenia zarówno rejestru czynności przetwarzania danych, jak też rejestru kategorii czynności przetwarzania. 

 

Źródła:

https://www.giodo.gov.pl/pl/1520281/10449

https://odo24.pl/blog-post.rejestr-czynnosci-przetwarzania-nowosc-rodo

https://poradnikprzedsiebiorcy.pl/-prawnie-usprawiedliwiony-cel-przetwarzania-danych-osobowych

https://poradnikprzedsiebiorcy.pl/-rodo-rozporzadzenie-o-ochronie-danych-osobowych-a-wplyw-na-male-firmy

http://www.tomaszpalak.pl/prawo/

http://webinary.comarch.pl/przygotuj-firme-na-rodo/