Rejestr czynności przetwarzania jest podstawowym dokumentem dotyczącym ochrony danych osobowych w organizacji. Do prowadzenia rejestru zobowiązany jest szereg podmiotów, zarówno Administratorów Danych Osobowych, jak i procesorów, przetwarzających dane na zlecenie Administratora. W praktyce jeden podmiot może być zobowiązany do prowadzenia dwóch rejestrów – jako Administrator Danych Osobowych oraz procesor.
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych posiadają Administratorzy Danych Osobowych, którzy:
- Zatrudniają więcej niż 250 pracowników.
- Zatrudniają mniej niż 250 pracowników, ale przetwarzanie danych nie ma charakteru sporadycznego, jest prowadzone regularnie i systematycznie, a operacje danych są prowadzone często i mają istotne znaczenia dla organizacji.
- Zatrudniają mniej niż 250 pracowników, ale przetwarzanie danych może powodować naruszenie praw i wolności osób fizycznych.
- Zatrudniają mniej niż 250 pracowników, ale przetwarzają tzw. dane wrażliwe.
- Przetwarzają dane osobowe w zakresie wyroków i naruszeń prawa, bez względu na liczbę zatrudnianych osób.
Sprawdź Audyt i wdrożenie RODO Grant Thornton