fbpx

Treść artykułu

Zarówno na administratorze danych osobowych, jak i na podmiocie przetwarzającym dane (a gdy ma to zastosowanie – także na przedstawicielach tych podmiotów), spoczywa obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, co wynika z art. 30 Ogólnego rozporządzenia o ochronie danych (tzw. RODO). Rozporządzenie wyróżnia także rejestr kategorii czynności przetwarzania. Wymaga się, by oba rejestry miały formę pisemną. Sprawdź jak właściwie przygotować zarówno rejestr czynności przetwarzania (RCP), jak i rejestr kategorii czynności przetwarzania (RKCP).

Kto jest zobowiązany do prowadzenia rejestru czynności przetwarzania danych osobowych?

Taki obowiązek spoczywa na administratorze danych osobowych (ADO) oraz na podmiocie przetwarzającym dane (bądź –  jeżeli ma to zastosowanie – na przedstawicielach tych podmiotów).  W kwestii wyznaczenia przedstawiciela – taki obowiązek wynikający z art. 27 w związku z art. 3 ust. 2 RODO, mają administrator i podmiot przetwarzający nieposiadający jednostek organizacyjnych w Unii  Europejskiej, gdy prowadzone przez nich czynności przetwarzania są powiązane z oferowaniem towarów lub usług osobom (których dane dotyczą) w Unii, bez wzgledu na to, czy wymaga się od tych osób zapłaty; lub z monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Ważny fragment

RODO wskazuje, iż administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia rejestru czynności przetwarzania lub rejestru kategorii czynności przetwarzania.

Podmioty przetwarzające (to jest: osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora) będą zobowiązane do prowadzenia obu rejestrów w większości przypadków. Każdy proces powinien być prowadzony odrębnie w rejestrze. Niektóre z procesów, jakie występują w typowych organizacjach, mogą być z kolei zwolnione z bycia uwzględnionym w rejestrze.

Konieczność prowadzenia rejestru dotyczy sytuacji, gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
  • nie ma charakteru sporadycznego;
  • obejmuje szczególne kategorie danych osobowych (o których mowa w art. 9 ust. 1 RODO) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Obowiązek prowadzenia rejestru powstaje już wówczas, gdy wystąpi odrębnie którakolwiek z powyższych sytuacji.

Sprawdź Ochrona danych osobowych (RODO) Grant Thornton

Cel prowadzenia rejestru przetwarzania danych

Art. 82 RODO wskazuje na dwie podstawowe funkcje w zakresie obowiązku prowadzenia rejestru:

  1. Zachowanie przez ADO i podmiot przetwarzający zgodności z RODO – stanowi to o możliwości stałej weryfikacji swojej działalności w odniesieniu do przetwarzania danych osobowych oraz poddawania ocenie każdego procesu (nowo wprowadzanego lub modyfikowanego) już na początkowym etapie.
  2. Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania – informacje o przetwarzaniu prowadzonym przez ADO i podmiot przetwarzający będą udostępniane na żądanie organu nadzorczego w sposób jednolity, czytelny i uproszczony, umożliwiając dokonanie ich szybkiego przeglądu, jak i wstępnej weryfikacji. Rejestry pozwalają na usystematyzowanie wykonywanych czynności oraz pozwalają spojrzeć na wykonywane operacje przetwarzania danych osobowych pod kątem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Zebrane w rejestrach informacje pozwalają ocenić ADO i podmiotom przetwarzającym, w jakim zakresie dotyczą ich inne obowiązki, jakie wynikają z RODO. Chodzi m.in. o obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych osobowych (która na gruncie RODO przewidziana jest m.in. w sytuacji przetwarzania szczególnych kategorii danych osobowych na dużą skalę w odniesieniu do art. 9 ust. 1 RODO lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których traktuje art. 10 RODO).

Newsletter "Alerty RODO" - nie daj się zaskoczyć!

Rejestr czynności przetwarzania danych osobowych – co powinien zawierać?

  1. Rejestr prowadzony przez ADO jako rejestr czynności przetwarzania danych osobowych, powinien zawierać:
  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – gdy ma to zastosowanie – przedstawiciela ADO oraz inspektora ochrony danych (IDO);
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, a także kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie – przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 RODO, dokumentację odpowiednich zabezpieczeń;
  • planowane terminy usunięcia poszczególnych kategorii danych (gdy jest to możliwe);
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 (gdy jest to możliwe)
  1. Rejestr prowadzony przez podmiot przetwarzający – rejestr kategorii przetwarzania danych osobowych powinien zawierać:
  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  • kategorie przetwarzań, jakie są dokonywane w imieniu każdego z administratorów;
  • gdy ma to zastosowanie – przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 RODO, dokumentację odpowiednich zabezpieczeń;
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 (gdy jest to możliwe).

Powyższe elementy rejestrów stanowią ich część obowiązkową. Wątpliwość może budzić znaczenie poszczególnych pojęć wywodzących się z przytoczonych przepisów, a także szczegółowość rejestrów i sposób prowadzenia.

Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), przygotował jednak szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami ich uzupełnienia oraz wyjaśnienia, które to dotyczą sposobu realizacji obowiązku prowadzenia rejestrów.

Szablony rejestru czynności przetwarzania i rejestru kategorii czynności przygotowane przez Prezesa UODO

REJESTR CZYNNOŚCI PRZETWARZANIA

I Strona tytułowa:

  1. Nazwa i dane kontaktowe administratora:
    a) nazwa administratora,
    b) adres,
    c) email,
    d) nr telefonu/faksu.
  2. Inspektor Ochrony Danych (gdy ma to zastosowanie):
    a) nazwa inspektora,
    b) adres,
    c) email,
    d) nr telefonu/faksu
  3. przedstawiciel (gdy ma to zastosowanie):
    a) nazwa przedstawiciela.
    b) adres.
    c) email.
    d) nr telefonu/faksu.

II Informacje o poszczególnych czynnościach przetwarzania:

a) nazwa czynności przetwarzania,
b) jednostka organizacyjna,
c) cel przetwarzania,
d) kategorie osób,
e) kategorie danych,
f) podstawa prawna,
g) źródło danych,
h) planowany termin usunięcia kategorii danych,
i) nazwa współadministratora i dane kontaktowe,
j) nazwa podmiotu przetwarzającego i dane kontaktowe,
k) kategorie odbiorców,
l) nazwa systemu lub oprogramowania,
m) ogólny opis techniczny i organizacyjny środków bezpieczeństwa,
n) DPIA,
o) transfer do kraju trzeciego lub organizacji międzynarodowej:

  • transfer do kraju trzeciego lub organizacji międzynarodowej,
  • dokumentacja odpowiednich zabezpieczeń w przypadku transferu.

Sprawdź Audyt i wdrożenie RODO Grant Thornton

REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA

I Strona tytułowa:

    1. Nazwa i dane kontaktowe przetwarzającego:
      a) nazwa administratora,
      b) adres,
      c) email,
      d) nr telefonu/faksu.
    2. Inspektor ochrony danych (gdy ma to zastosowanie):
      a) nazwa inspektora,
      b) adres,
      c) email,
      d) nr telefonu/faksu.
    3. przedstawiciel (gdy ma to zastosowanie):
      a) nazwa przedstawiciela,
      b) adres,
      c) email,
      d) nr telefonu/faksu.

II Informacje o poszczególnych kategoriach czynności przetwarzania:

a) kategorie przetwarzania,
b) ogólny opis techniczny i organizacyjny środków bezpieczeństwa,
c) administrator:

  • nazwa i dane kontaktowe administratora,
  • nazwa i dane kontaktowe współadministratora (gdy ma to zastosowanie),
  • nazwa i dane kontaktowe przedstawiciela administratora (gdy ma to zastosowanie),
  • inspektor ochrony danych administratora (gdy ma to zastosowanie).

d) czas trwania przetwarzania,
e) nazwy państw trzecich lub organizacji międzynarodowych, do których dane są przekazywane,
f) dokumentacja odpowiednich zabezpieczeń danych osobowych ,
g) podprzetwarzający:

  • nazwa i dane kontaktowe podprzetwarzającego ,
  • kategorie podpowierzonych przetwarzań.

Przedstawione szablony rejestrów nie są jedynymi prawidłowymi wzorami. Ze względu na różnorodność administratorów, sektorów, w których działają i procesów przetwarzania danych, które prowadzą oraz innych czynników, zakłada się, iż w praktyce może występować wiele różnych wzorów rejestru czynności. Istotne jest, aby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić wymagane na mocy art. 30 ust. 1 i 2 RODO elementy w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych, w sposób czytelny i przejrzysty.

Rejestry mogą być wzbogacane o inne elementy, które zostaną uznane za zasadne (z uwagi na specyficzne czynniki) przez administratora lub podmiot przetwarzający, takie jak:

  • wskazanie podstawy prawnej przetwarzania,
  • wskazanie źródła pozyskania danych,
  • wskazanie użytego do przetwarzania systemu informatycznego,
  • informacje dotyczące przeprowadzonej oceny skutków dla ochrony danych.

Niekiedy uzasadnione może okazać się uwzględnienie w rejestrze również informacji takich jak.:

  • określenie tzw. właścicieli procesów, czyli osób odpowiedzialnych u administratora za konkretne czynności przetwarzania,
  • dane kontaktowe podmiotu przetwarzającego oraz podmiotów, którym podpowierzono wykonywanie określonych czynności przetwarzania danych lub określonych operacji w ramach tych czynności (art. 28 ust. 4 RODO).

Pamiętaj, RODO stanowi o tym, iż rejestry muszą być prowadzone w formie pisemnej. W zakresie wymagań dotyczących postaci w jakiej rejestry powinny być prowadzone – brak uszczegółowień, poza wskazaniem, iż może to być forma zarówno papierowa, jak i elektroniczna. Z kolei w kwestii elementów składowych rejestrów, RODO wskazuje na istnienie informacji obligatoryjnych, które wyszczególnia. Istotny jest fakt, iż jest się zobowiązanym do przedłożenia rejestrów na żądanie organu nadzorczego. W przypadku wszelkich pytań i wątpliwości – skontaktuj się z nami!

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

Inne artykuły z kategorii: Ochrona danych osobowych (RODO) Zobacz wszystkie

Usługi Grant Thornton z obszaru: Ochrona danych osobowych (RODO)

Skorzystaj z wiedzy naszych ekspertów

Najczęściej czytane