Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej: „RODO”) nałożyło na administratorów oraz podmioty przetwarzające nowe obowiązki. Jednym z takich obowiązków jest prowadzenie rejestru czynności przetwarzania. Poniżej wyjaśnimy, kiedy prowadzenie rejestru jest konieczne.
Obowiązki administratora danych osobowych
Do obowiązków administratora danych osobowych zgodnie z RODO należą m. in. wdrażanie odpowiednich środków technicznych i organizacyjnych w celu przetwarzania danych osobowych zgodnie z RODO, prowadzenie rejestru czynności przetwarzania danych osobowych czy przeprowadzenie analizy ryzyka naruszenia danych osobowych.
Obowiązki podmiotu przetwarzającego
Do obowiązków podmiotu przetwarzającego należy m. in. prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora.
Cel prowadzenia rejestrów
Zgodnie z motywami RODO prowadzenie obydwu rejestrów pełni następujące funkcje:
- zachowanie zgodności z RODO;
- umożliwienie Prezesowi Urzędu Ochrony Danych Osobowych sprawowania nadzoru nad przetwarzaniem danych osobowych.
Wymóg prowadzenia rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania
Co do zasady każdy administrator jest obowiązany do prowadzenia rejestru czynności przetwarzania (podmiot przetwarzający w zakresie rejestru kategorii czynności przetwarzania).
Obowiązek ten został jednak uchylony przepisami RODO wobec podmiotów zatrudniających mniej niż 250 osób.
Aczkolwiek w przypadku, gdy przetwarzanie danych osobowych:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
- nie ma charakteru sporadycznego;
- obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących
to prowadzenie rejestru czynności przetwarzania (rejestru kategorii czynności przetwarzania) jest wymagane.
Rejestr czynności przetwarzania
Rejestr czynności przetwarzania powinien zawierać co najmniej:
- dane dotyczące administratora (imię, nazwisko, nazwę, dane kontaktowe itp.);
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą;
- kategorie danych osobowych;
- kategorie odbiorców;
- przekazanie danych do państwa trzeciego;
- termin usunięcia danych;
- opis środków bezpieczeństwa.
Rejestr kategorii czynności przetwarzania
Z kolei rejestr kategorii czynności przetwarzania powinien obejmować co najmniej:
- dane dotyczące administratorów i podmiotu przetwarzającego (imię, nazwisko, nazwę, dane kontaktowe itp.);
- kategorie czynności przetwarzania dokonywanych w imieniu każdego z administratorów;
- przekazanie danych do państwa trzeciego;
- opis środków bezpieczeństwa.
Forma prowadzenia rejestrów
Oba rejestry, tj. rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania prowadzi się w formie pisemnej, przy czym można je prowadzić również w formie elektronicznej.
Podsumowanie
Podsumowując, należy wskazać, iż prowadzenie ww. rejestrów jest nowym obowiązkiem nałożonym na duże podmioty gospodarcze bądź takie, które przetwarzają szczególne kategorie danych. Celem prowadzenia rejestru jest możliwość monitorowania procesów przetwarzania danych osobowych w każdym z tych podmiotów. Zakres informacji objętych rejestrem czynności przetwarzania danych osobowych podany w RODO ma charakter otwarty, zatem administratorzy (podmioty przetwarzające) mogą wprowadzić elementy dodatkowe celem usprawnienia swojej działalności. Należy również pamiętać, iż nieprowadzenia rejestru, gdy jest to wymagane przepisami RODO, wiążę się z ryzykiem nałożenia wysokich kar administracyjnych przez organ nadzorczy.
Powrót do specjalizacji — Szkolenie RODO