Jednym z wymagań jakie na administratorów danych nakłada RODO jest konieczność prowadzenia rejestru czynności przetwarzania danych osobowych. Czym jest taki dokument? Jakie informacje musi zawierać. Czy każdy administrator musi prowadzić rejestr czynności przetwarzania?
Wyjaśniamy podstawowe zasady i obowiązki.

Do czego potrzebny jest rejestr przetwarzania danych osobowych?

Rejestr przetwarzania danych osobowych „zastępuje” nam rejestracje zbiorów w GIODO lub prowadzony przez ABI rejestr zbiorów. Nie oznacza to jednak jedynie zmiany nazwy dokumentów. Zauważ, że do tej pory przepisy nakładały na nas konieczność zajmowania się „zbiorami danych osobowych”, a RODO mówi o „czynnościach przetwarzania”. Nie da się więc istniejących dokumentów adaptować wprost do nowych wymagań. Pomogą jednak zidentyfikować procesy przetwarzania.
Mimo istotnej zmiany czyli zmiany „zbiorów” na „czynności przetwarzania”, nie zmienia się cel. Chodzi o możliwość nadzoru i monitorowania procesów przetwarzania danych osobowych. To przede wszystkim ważne dla Ciebie.

Czy każdy administrator będzie musiał prowadzić rejestr przetwarzania danych?

Kto musi prowadzić rejestr czynności przetwarzania danych osobowych

Rejestr czynności przetwarzania danych osobowych (fot. Pixabay)

Nie każdy administrator będzie musiał prowadzić rejestr czynności przetwarzania danych osobowych. RODO definiuje, kto ma taki obowiązek. Rejestr musi być prowadzony  w następujących sytuacjach:

  • administrator zatrudnia powyżej 250 osób
  • administrator przetwarza dane w sposób powodujący ryzyko naruszenia praw i wolności osób, których dane dotyczą,
  • przetwarzanie nie jest sporadyczne,
  • administrator przetwarza tzw. Szczególne kategorie danych (potocznie nazywane danymi wrażliwymi).

Uwaga – warunki te nie muszą zaistnieć jednocześnie. Traktuj je rozłącznie.

Co musi zawierać rejestr czynności przetwarzania?

Zawartość rejestru czynności przetwarzania jest szczegółowo opisana w RODO. W rejestrze powinny znaleźć się następujące rubryki:

  • imię i nazwisko/nazwa i dane kontaktowe administratora i współadministratorów, przedstawiciela administratora, a jeśli został powołany inspektor ochrony danych (IOD), to również jego dane kontaktowe
  • cele przetwarzania danych;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych
    osobowych;
  • kategorie odbiorców, którym udostępniłeś lub zamierzasz udostępnić dane osobowe (także odbiory w Państwach trzecich)
  •  informacja o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej 9 oraz informacja o zabezpieczeniach zastosowanych w związku z tym przekazaniem)
  • planowany terminy usunięcia poszczególnych kategorii danych;
  • ogólny opis zastosowanych organizacyjnych i technicznych zabezpieczeń.

Podsumowanie

Celem prowadzenie rejestru czynności przetwarzania danych jest wewnętrzny nadzór nad tym procesem oraz możliwość sprawowania nadzoru przez powołany do tego organ. Kryteria jakie RODO określa, sprawiają, że nie każdy administrator będzie zmuszony taki rejestr prowadzić. Wymaganie to ma dotyczyć większy podmiotów lub tych, u których proces przetwarzania danych osobowych jest skomplikowany. tyle teorii. W praktyce bowiem niektóre kryteria są bardzo mgliste i przyszłość (orzecznictwo, decyzje organów) pokaże, kto rzeczywiście będzie musiał prowadzić taki rejestr. Może się okazać, że będzie to dotyczyć np. wszystkich sklepów internetowych, czy wszystkich pracodawców. Może brzmieć przerażająco, ale nie taki diabeł straszny. Podobnie jak zgłoszenie zbiorów do rejestracji GIODO nie było czynnością przerastającą przeciętnego śmiertelnika, tak i poprowadzeni rejestru czynności przetwarzania  nie powinno przerażać.