Jak może wyglądać rejestr czynności przetwarzania danych osobowych

Agnieszka Stępień

Autor: Agnieszka Stępień

Dodano: 17 października 2017
Jak może wyglądać rejestr czynności przetwarzania danych osobowych
Pytanie:  Ogólne rozporządzenie o ochronie danych (RODO) wskazuje, że administrator będzie musiał prowadzić rejestr czynności przetwarzania danych osobowych. Jakie informacje powinny się w nim znaleźć? Proszę o przedstawienie przykładowego wzoru rejestru czynności przetwarzania danych osobowych.
Odpowiedź: 

W rejestrze czynności przetwarzania danych osobowych powinny znaleźć się informacje wskazane w art. 30 ogólnego rozporządzenia o ochronie danych (RODO). Poniżej znajduje się przykładowy wzór rejestru czynności przetwarzania danych osobowych.

Ogólne rozporządzenie o ochronie danych (RODO) liberalizuje przepisy dotyczące prowadzenia dokumentacji ochrony danych osobowych. Administratorzy oraz podmioty przetwarzające będą jednak zobowiązani do prowadzenia w formie pisemnej rejestru czynności przetwarzania danych (w przypadku podmiotów przetwarzających będzie to rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora). Może on być prowadzony zarówno w formie papierowej, jak i elektronicznej. Podstawowym celem prowadzenia rejestru jest dokumentowanie czynności przetwarzania danych osobowych. W przypadku kontroli organu nadzorczego administrator lub podmiot przetwarzający będzie musiał udostępnić rejestr kontrolującym.

Kto nie będzie musiał prowadzić rejestru

Z obowiązku prowadzenia rejestru zwolnieni będą administratorzy zatrudniający mniej niż 250 pracowników, chyba że przetwarzanie danych przez te podmioty:

  • może powodować ryzyko naruszenia praw i wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych,
  • dotyczy danych na temat wyroków skazujących i naruszeń praw.

Te informacje należy zamieścić w rejestrze czynności przetwarzania danych osobowych

Katalog informacji, jakie będą musiały znaleźć się w rejestrze czynności przetwarzania danych, w dużej mierze pokrywa się z informacjami, jakie dotychczas administratorzy danych podawali, zgłaszając zbiór do Generalnego Inspektora Ochrony Danych Osobowych. Zgodnie z art. 30 RODO rejestr czynności przetwarzania danych powinien zawierać:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora, a także wszelkich współadministratorów, i gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
  • cel przetwarzania,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych,
  • przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  • planowane terminy usunięcia poszczególnych kategorii danych,
  • opis technicznych i organizacyjnych środków bezpieczeństwa mających zapewnić odpowiedni poziom bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Rejestr czynności przetwarzania danych osobowych

Nazwa administratora danych lub podmiotu przetwarzającego/przedstawiciela administratora lub podmiotu przetwarzającego

 

Współadministratorzy

 

Inspektor ochrony danych osobowych

 

Cel przetwarzania

 

Opis kategorii osób

 

Kategorie odbiorców

 

Kategorie danych osobowych

 

Informacje o przekazaniu do państwa trzeciego lub organizacji międzynarodowej

 

Planowany termin usunięcia danych osobowych

 

Opis technicznych i organizacyjnych środków bezpieczeństwa

 

 

Agnieszka Stępień

Autor: Agnieszka Stępień

dr nauk prawnych, nauczyciel akademicki z zakresu ochrony danych osobowych, adiunkt w Instytucie Bezpieczeństwa w Społecznej Akademii Nauk, współzałożycielka Instytutu Ochrony Danych Osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel