Rejestr czynności przetwarzania danych jako załącznik do polityki bezpieczeństwa – czy to wygodne rozwiązanie

Michał Kowalski

Autor: Michał Kowalski

Dodano: 7 marca 2019
segregator z dokumentami
Pytanie:  W spółce wprowadzono politykę bezpieczeństwa danych osobowych. Do polityki jako załącznik przewidziano rejestr czynności przetwarzania danych? Czy to oznacza konieczność każdorazowej nowelizacji polityki w przypadku zmian w rejestrze?
Odpowiedź: 

Konieczność nowelizacji polityki do bezpieczeństwa wystąpi w przypadku wpisu nowych treści do rejestru czynności przetwarzania danych, jeżeli załącznikiem do polityki jest rejestr czynności przetwarzania jako taki, a nie jedynie wzór tego rejestru.

Treść rejestru czynności przetwarzania danych

Każdy administrator oraz - gdy ma to zastosowanie - przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO. Rejestr ma formę pisemną, w tym formę elektroniczną (art. 30 ust. 1 i 3 RODO).

Lepiej wydzielić rejestr

Jeżeli w polityce ochrony danych wskazano jedynie na wzór takiego rejestru, wówczas co oczywiste nie ma konieczności nowelizowania polityki. Jeśli jednak postąpiono w ten sposób, że załącznikiem do polityki jest rejestr jako taki, wówczas każda aktualizacja jego treści wymaga wydania nowego zarządzenia (lub innego wewnątrzfirmowego aktu prawnego) przez podmiot, który wprowadził politykę. Jest to bardzo niewygodne rozwiązanie, wobec czego warto rozważyć wydzielenie rejestru jako odrębnego dokumentu, z ewentualnym pozostawieniem w polityce jedynie jego wzoru (choć to nie jest to obowiązkowe).

Michał Kowalski

Autor: Michał Kowalski

Radca prawny, specjalista z zakresu prawa pracy i ubezpieczeń społecznych oraz prawa oświatowego, redaktor licznych publikacji

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x