Rejestr czynności przetwarzania jest podstawowym dokumentem dotyczącym ochrony danych osobowych w organizacji. Do prowadzenia rejestru zobowiązany jest szereg podmiotów, zarówno Administratorów Danych Osobowych, jak i procesorów, przetwarzających dane na zlecenie Administratora. W praktyce jeden podmiot może być zobowiązany do prowadzenia dwóch rejestrów – jako Administrator Danych Osobowych oraz procesor.
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych posiadają Administratorzy Danych Osobowych, którzy:
- Zatrudniają więcej niż 250 pracowników.
- Zatrudniają mniej niż 250 pracowników, ale przetwarzanie danych nie ma charakteru sporadycznego, jest prowadzone regularnie i systematycznie, a operacje danych są prowadzone często i mają istotne znaczenia dla organizacji.
- Zatrudniają mniej niż 250 pracowników, ale przetwarzanie danych może powodować naruszenie praw i wolności osób fizycznych.
- Zatrudniają mniej niż 250 pracowników, ale przetwarzają tzw. dane wrażliwe.
- Przetwarzają dane osobowe w zakresie wyroków i naruszeń prawa, bez względu na liczbę zatrudnianych osób.
Sprawdź Audyt i wdrożenie RODO Grant Thornton
Struktura rejestru przetwarzania danych osobowych
- Tożsamość Administratora Danych Osobowych oraz dane kontaktowe. W przypadku osób fizycznych będzie to imię, nazwisko, dane adresowe, informacje kontaktowe. W przypadku spółek prawa handlowego – nazwa firmy, siedziba, dane kontaktowe.
- Cele przetwarzania wskazane odrębnie dla każdej czynności przetwarzania.
- Opis kategorii osób, których dane są przetwarzane.
- Opis kategorii przetwarzanych danych.
- Kategorie odbiorców przetwarzanych danych.
- Planowane terminy usunięcia poszczególnych kategorii i danych z bazy lub wskazanie kryteriów określających czas usunięcia danych.
- Opis środków technicznych i organizacyjnych zastosowanych w celu zabezpieczenia danych osobowych.
Podmioty przetwarzające dane osobowe na zlecenie Administratora Danych Osobowych zobowiązane są również do sporządzenia rejestru prowadzonego przez procesora. Rejestr powinien zawierać:
- Imię i nazwisko lub nazwa podmiotu, dane kontaktowe, nazwa administratora, w imieniu którego przetwarzane są dane.
- Opis kategorii przetwarzanych danych w imieniu każdego z administratorów.
- Informacje o ewentualnym przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej.
- Opis środków technicznych i organizacyjnych zastosowanych w celu zabezpieczenia danych osobowych.
Szczegółowy opis wymienionych obszarów znajduje się w artykule napisanym przez ekspertów LexDigital, którzy wraz z Grant Thornton prowadzą audyty i wdrożenia RODO w firmach Klientów. Czytaj dalej w artykule „Rejestr czynności przetwarzania”
AUTOR: Marzena Wypych, Zespół Doradztwa
