Rejestr czynności przetwarzania danych osobowych

Roz­po­rzą­dze­nie Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679 (dalej: „RODO”) nało­ży­ło na admi­ni­stra­to­rów oraz pod­mio­ty prze­twa­rza­ją­ce nowe obo­wiąz­ki. Jed­nym z takich obo­wiąz­ków jest pro­wa­dze­nie reje­stru czyn­no­ści prze­twa­rza­nia. Poni­żej wyja­śni­my, kie­dy pro­wa­dze­nie reje­stru jest konieczne.

Obowiązki administratora danych osobowych

Do obo­wiąz­ków admi­ni­stra­to­ra danych oso­bo­wych zgod­nie z RODO nale­żą m. in. wdra­ża­nie odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych w celu prze­twa­rza­nia danych oso­bo­wych zgod­nie z RODO, pro­wa­dze­nie reje­stru czyn­no­ści prze­twa­rza­nia danych oso­bo­wych czy prze­pro­wa­dze­nie ana­li­zy ryzy­ka naru­sze­nia danych osobowych.

Obowiązki podmiotu przetwarzającego

Do obo­wiąz­ków pod­mio­tu prze­twa­rza­ją­ce­go nale­ży m. in. pro­wa­dze­nie reje­stru kate­go­rii czyn­no­ści prze­twa­rza­nia doko­ny­wa­nych w imie­niu administratora.

Cel prowadzenia rejestrów

Zgod­nie z moty­wa­mi RODO pro­wa­dze­nie oby­dwu reje­strów peł­ni nastę­pu­ją­ce funkcje:

1. zacho­wa­nie zgod­no­ści z RODO;
2. umoż­li­wie­nie Pre­ze­so­wi Urzę­du Ochro­ny Danych Oso­bo­wych spra­wo­wa­nia nad­zo­ru nad prze­twa­rza­niem danych osobowych.

Wymóg prowadzenia rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania

Co do zasa­dy każ­dy admi­ni­stra­tor jest obo­wią­za­ny do pro­wa­dze­nia reje­stru czyn­no­ści prze­twa­rza­nia (pod­miot prze­twa­rza­ją­cy w zakre­sie reje­stru kate­go­rii czyn­no­ści przetwarzania).

Obo­wią­zek ten został jed­nak uchy­lo­ny prze­pi­sa­mi RODO wobec pod­mio­tów zatrud­nia­ją­cych mniej niż 250 osób.

Acz­kol­wiek w przy­pad­ku, gdy prze­twa­rza­nie danych osobowych:

1. może powo­do­wać ryzy­ko naru­sze­nia praw lub wol­no­ści osób, któ­rych dane dotyczą;
2. nie ma cha­rak­te­ru sporadycznego;
3. obej­mu­je szcze­gól­ne kate­go­rie danych oso­bo­wych lub dane oso­bo­we doty­czą­ce wyro­ków skazujących 

to pro­wa­dze­nie reje­stru czyn­no­ści prze­twa­rza­nia (reje­stru kate­go­rii czyn­no­ści prze­twa­rza­nia) jest wymagane.

Rejestr czynności przetwarzania

Rejestr czyn­no­ści prze­twa­rza­nia powi­nien zawie­rać co najmniej:

1. dane doty­czą­ce admi­ni­stra­to­ra (imię, nazwi­sko, nazwę, dane kon­tak­to­we itp.);
2. cele prze­twa­rza­nia;
3. opis kate­go­rii osób, któ­rych dane dotyczą;
4. kate­go­rie danych osobowych;
5. kate­go­rie odbiorców;
6. prze­ka­za­nie danych do pań­stwa trzeciego;
7. ter­min usu­nię­cia danych;
8. opis środ­ków bezpieczeństwa.

Rejestr kategorii czynności przetwarzania

Z kolei rejestr kate­go­rii czyn­no­ści prze­twa­rza­nia powi­nien obej­mo­wać co najmniej:

1. dane doty­czą­ce admi­ni­stra­to­rów i pod­mio­tu prze­twa­rza­ją­ce­go (imię, nazwi­sko, nazwę, dane kon­tak­to­we itp.);
2. kate­go­rie czyn­no­ści prze­twa­rza­nia doko­ny­wa­nych w imie­niu każ­de­go z administratorów;
3. prze­ka­za­nie danych do pań­stwa trzeciego;
4. opis środ­ków bezpieczeństwa.

Forma prowadzenia rejestrów

Oba reje­stry, tj. rejestr czyn­no­ści prze­twa­rza­nia oraz rejestr kate­go­rii czyn­no­ści prze­twa­rza­nia pro­wa­dzi się w for­mie pisem­nej, przy czym moż­na je pro­wa­dzić rów­nież w for­mie elektronicznej.

Podsumowanie

Pod­su­mo­wu­jąc, nale­ży wska­zać, iż pro­wa­dze­nie ww. reje­strów jest nowym obo­wiąz­kiem nało­żo­nym na duże pod­mio­ty gospo­dar­cze bądź takie, któ­re prze­twa­rza­ją szcze­gól­ne kate­go­rie danych. Celem pro­wa­dze­nia reje­stru jest moż­li­wość moni­to­ro­wa­nia pro­ce­sów prze­twa­rza­nia danych oso­bo­wych w każ­dym z tych pod­mio­tów. Zakres infor­ma­cji obję­tych reje­strem czyn­no­ści prze­twa­rza­nia danych oso­bo­wych poda­ny w RODO ma cha­rak­ter otwar­ty, zatem admi­ni­stra­to­rzy (pod­mio­ty prze­twa­rza­ją­ce) mogą wpro­wa­dzić ele­men­ty dodat­ko­we celem uspraw­nie­nia swo­jej dzia­łal­no­ści. Nale­ży rów­nież pamię­tać, iż nie­pro­wa­dze­nia reje­stru, gdy jest to wyma­ga­ne prze­pi­sa­mi RODO, wią­żę się z ryzy­kiem nało­że­nia wyso­kich kar admi­ni­stra­cyj­nych przez organ nadzorczy.

Powrót do spe­cja­li­za­cji — Szko­le­nie RODO