Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania – czym się różnią

Piotr Glen

Autor: Piotr Glen

Dodano: 7 grudnia 2017
Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania – czym się różnią
Pytanie:  Jaka jest różnica między rejestrem czynności przetwarzania a rejestrem kategorii czynności przetwarzania, które trzeba będzie prowadzić zgodnie z RODO? Czy różni je tylko to, że jeden jest prowadzony przez administratora, a drugi przez podmiot przetwarzający? Jak należy rozumieć kategorię czynności przetwarzania?
Odpowiedź: 

Rejestr czynności przetwarzania prowadzi administrator, a rejestr kategorii czynności przetwarzania podmiot przetwarzający dane w imieniu administratora. Oba rejestry różnią się zakresem informacji. Przykładem czynności przetwarzania może być np. rekrutacja pracowników lub wysyłka newslettera.

Rejestr czynności przetwarzania, zgodnie z art. 30 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO) ma zawierać takie informacje, jak:

a) nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów,

b) cele przetwarzania,

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Rejestr czynności przetwarzania prowadzi administrator danych. Jest on obowiązkowy dla podmiotów określonych w art. 30 ust. 5 RODO. Można go porównać do obecnego rejestru zbiorów danych, jaki są zobowiązani prowadzić powołani administratorzy bezpieczeństwa informacji (ABI).

Kategoria czynności przetwarzania, czyli…

Angielski zapis z RODO „Records of processing activities” powinno się tłumaczyć jako „zapis aktywności przetwarzania” i moim zdaniem dotyczy to procesów lub czynności takich, jak na przykład: rekrutacja pracowników, wysyłanie newslettera, zapisy do programu lojalnościowego itp. W art. 30 RODO nie ma mowy o operacjach wykonywanych na danych osobowych. Gdyby wymagać rozpisania każdej operacji do każdego zbioru/aktywności, to przekroczylibyśmy w wielu przypadkach granice absurdu, zwłaszcza w sytuacji przetwarzania danych w dziesiątkach czy wręcz setkach różnych zbiorów danych.

Jakie czynności przetwarzania rejestruje procesor

Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora prowadzi każdy podmiot przetwarzający (procesor). Zawiera się tam następujące informacje:

a) nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,

b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów (np. cel i zakres usługi, umowy powierzenia),

c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego,

d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Jest to więc wykaz podmiotów, które zleciły wykonawcy jakieś usługi (np. obsługa informatyczna) i w tym celu powierzyły określone dane do przetwarzania – art. 30 ust. 2 RODO.

Uwaga

Często będzie tak, że jedna firma, jako administrator swoich danych, będzie zobowiązana prowadzić rejestr czynności przetwarzania, a jako podmiot przetwarzający dane w imieniu innych administratorów (jako procesor) będzie jednocześnie prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Piotr Glen

Autor: Piotr Glen

doświadczony administrator bezpieczeństwa informacji pełniący tę funkcję dla wielu firm i instytucji, trener i audytor

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel