Jak wypełnić rejestr kategorii czynności przetwarzania danych

Dodano: 24 czerwca 2019
6eef6fa3e6b667cf3705799bb6149c39240a55ab-large

Wątpliwości wielu podmiotów przetwarzających budzi sposób wypełnienia rejestru kategorii czynności przetwarzania danych. Trudności rodzą się m.in. z wypełnianiem takich rubryk jak nazwa kategorii czynności przetwarzania czy środki bezpieczeństwa. Sprawdź, jak wypełnić rejestr kategorii czynności przetwarzania.

Co powinno znaleźć się w RKCPD

Podmiot przetwarzający ma obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora”, który winien zawierać 

  • imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  • gdy ma to zastosowanie -przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (art. 30 ust. 2 RODO).

Rejestru kategorii czynności przetwarzania nie musi prowadzić procesor zatrudniający mniej niż 250 osób, chyba że przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Przykładowe zapisy

Trudności w wypełnianiu rejestru kategorii czynności przetwarzania danych pojawiają się przy pojęciach „kategorie czynności przetwarzania”, czy „kategorie przetwarzań”, ponieważ RODO ich nie definiuje w żadnej sposób. Dlatego też Grupa Robocza art. 29 oraz Prezes Urzędu Ochrony Danych Osobowych (który umieścił interpretację tych pojęć na stronach internetowych urzędu) wskazuje, że kategorie czynności przetwarzania jest to “wskazanie (nazwanie) poszczególnych powierzeń (zleceń), a zatem rodzaju usług, jakie podmiot przetwarzający na podstawie zawartych umów wykonuje na rzecz poszczególnych administratorów. Uporządkowanie czynności wykonywanych w ramach powierzenia w kategorie, czyli ich pogrupowanie pod względem rodzaju usług świadczonych przez podmiot przetwarzający, umożliwi łatwy przegląd „powierzeń” zwłaszcza w przypadku podmiotów, które działają na rzecz wielu administratorów danych lub świadczą wiele różnych usług w zakresie przetwarzania danych.

W praktyce oznacza to, że kategorie przetwarzań to nazwa usługi, jaka jest realizowana przez podmiot przetwarzający dane na zlecenie administratora. Tytułem przykładu Prezes UODO wskazuje takie kategorie zleceń jak:

  • przechowywanie danych klienta (administratora) czy też udostępnienie miejsca na przechowywanie przez administrator danych osobowych – czyli np. udostępnienie zamawiającemu określonej przestrzeni dyskowej w infrastrukturze przetwarzającego na przechowywanie danych, dostarczanie infrastruktury informatycznej, udostępnienie serwerów itp.;
  • wykonywania na zamówienie klienta (administrator danych) określonych usług (księgowe, administracyjne, konserwacyjne, programistyczne, serwisowe itp.);
  • przechowywanie dokumentacji klienta (administratora danych);
  • prowadzenie dokumentacji podatkowej, księgowej, kadrowej;
  • archiwizacja dokumentacji (w tym danych elektronicznych);
  • skanowanie i digitalizacja danych;

To oczywiście przykładowe kategorie przetwarzania czynności – ogólnie rzecz ujmując podmiot przetwarzający musi nazwać usługę, z którą wiążą się jakieś czynności przetwarzania danych osobowych.

Kolejne wątpliwości wiążą się z opisem zabezpieczenia przetwarzania danych przez procesora. Wymagane jest by w rejestrze opisać te zabezpieczenia w sposób ogólny (posiłkując się zagadnieniami wynikającymi z art. 32 ust. 1 RODO) oraz wskazać ogólną informację o rodzaju zastosowanych zabezpieczeń (np. kontrola dostępu w oparciu o identyfikator i hasło, zastosowanie certyfikatów, szyfrowanie komunikacji itp.) można także – jeśli w firmie istnieje dokumentacja opisująca sposoby zarządzania zabezpieczeniami – odesłać do tej dokumentacji. Zdaniem Prezesa UODO opis ten powinien zawierać również informacje o zastosowanych środkach kontroli dostępu do przetwarzanych danych, a także zastosowanych środkach ochrony kryptograficznej.

Przykład
  1. Do kontroli dostępu do danych przetwarzanych w systemie informatycznym zastosowano kontrolę dostępu bazującą na wydawanych kartach z certyfikatami dostępu oraz przekazanych ich użytkownikom kodach PIN;.
  2. W przypadku zabezpieczenia poufności korespondencji można wskazać, że informacje szyfrowane są przy użyciu określonego narzędzia za pomocą publicznego klucza jej adresata.
Uwaga

Na stronie internetowej UODO znajdują się przykładowe rejestry wraz z objaśnieniami, które mogą być pomocne przy tworzeniu własnego rejestru. Oczywiście podkreślić należy, że nie istnieje jeden powszechnie obowiązujący szablon, stąd każdy podmiot przetwarzający musi przygotować go sobie sam, ale w oparciu o już istniejące wzory.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel