Rejestr czynności przetwarzania jest podstawowym dokumentem dotyczącym ochrony danych osobowych w organizacji. Do prowadzenia rejestru zobowiązany jest szereg podmiotów, zarówno Administratorów Danych Osobowych, jak i procesorów, przetwarzających dane na zlecenie Administratora. W praktyce jeden podmiot może być zobowiązany do prowadzenia dwóch rejestrów – jako Administrator Danych Osobowych oraz procesor.

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych posiadają Administratorzy Danych Osobowych, którzy:

  • Zatrudniają więcej niż 250 pracowników.
  • Zatrudniają mniej niż 250 pracowników, ale przetwarzanie danych nie ma charakteru sporadycznego, jest prowadzone regularnie i systematycznie, a operacje danych są prowadzone często i mają istotne znaczenia dla organizacji.
  • Zatrudniają mniej niż 250 pracowników, ale przetwarzanie danych może powodować naruszenie praw i wolności osób fizycznych.
  • Zatrudniają mniej niż 250 pracowników, ale przetwarzają tzw. dane wrażliwe.
  • Przetwarzają dane osobowe w zakresie wyroków i naruszeń prawa, bez względu na liczbę zatrudnianych osób.

Sprawdź Audyt i wdrożenie RODO Grant Thornton

Struktura rejestru przetwarzania danych osobowych

  1. Tożsamość Administratora Danych Osobowych oraz dane kontaktowe. W przypadku osób fizycznych będzie to imię, nazwisko, dane adresowe, informacje kontaktowe. W przypadku spółek prawa handlowego – nazwa firmy, siedziba, dane kontaktowe.
  2. Cele przetwarzania wskazane odrębnie dla każdej czynności przetwarzania.
  3. Opis kategorii osób, których dane są przetwarzane.
  4. Opis kategorii przetwarzanych danych.
  5. Kategorie odbiorców przetwarzanych danych.
  6. Planowane terminy usunięcia poszczególnych kategorii i danych z bazy lub wskazanie kryteriów określających czas usunięcia danych.
  7. Opis środków technicznych i organizacyjnych zastosowanych w celu zabezpieczenia danych osobowych.

Podmioty przetwarzające dane osobowe na zlecenie Administratora Danych Osobowych zobowiązane są również do sporządzenia rejestru prowadzonego przez procesora. Rejestr powinien zawierać:

  1. Imię i nazwisko lub nazwa podmiotu, dane kontaktowe, nazwa administratora, w imieniu którego przetwarzane są dane.
  2. Opis kategorii przetwarzanych danych w imieniu każdego z administratorów.
  3. Informacje o ewentualnym przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej.
  4. Opis środków technicznych i organizacyjnych zastosowanych w celu zabezpieczenia danych osobowych.

Szczegółowy opis wymienionych obszarów znajduje się w artykule napisanym przez ekspertów LexDigital, którzy wraz z Grant Thornton prowadzą audyty i wdrożenia RODO w firmach Klientów. Czytaj dalej w artykule „Rejestr czynności przetwarzania”

AUTOR: Marzena Wypych, Zespół Doradztwa

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Rejestr czynności przetwarzania

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Pole zawiera niedozwolone znaki

Poproś o kontakt

Jolanta Jackowiak

Partner, International Liaison Director

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.