Celem prowadzenia ww. rejestru jest możliwości pełnienia nadzoru i monitorowania procesów przetwarzania danych osobowych przez organ nadzorczy. Do tej pory rolę tą pełnił rejestr zbiorów danych osobowych, gdzie należało wskazać bardzo podobny zakres informacji. Jednak Rozporządzenie ogólne UE nie przewiduje obowiązku rejestracji zbiorów danych osobowych i proces ten zostanie ostatecznie zakończony w maju 2018r.
Jednak nie każdy administrator danych osobowych lub procesor danych będzie musiał prowadzić ww. rejestr, a tylko ten, który zatrudnia powyżej 250 osób, ten który przetwarza dane w sposób powodujący ryzyko naruszenia praw i wolności osób, których dane dotyczą, przetwarzanie to nie jest sporadyczne, a ciągłe oraz ten który przetwarza dane tzw. wrażliwe w tym wyroki skazujące i dotyczące naruszeń prawa. Innymi słowy powyższy obowiązek dotyczy trzech kategorii podmiotów. Kryteria wyodrębnienia tych podmiotów opierają się z jednej strony na wielkości zatrudnienia, a z drugiej strony ze względu na sposób przetwarzania danych i kategorię tych danych.
Rejestr czynności przetwarzania prowadzony przez administratora danych może maksymalnie zawierać siedem pozycji:
- nazwę i dane kontaktowe administratora danych oraz dane kontaktowe IODO jeżeli został powołany,
- cel przetwarzania danych osobowych,
- opis kategorii osób, których dane dotyczą oraz zakres danych (wrażliwe lub zwykłe),
- kategorie odbiorców, którym dane zostały lub zostaną udostępnione,
- informację o przekazywaniu danych do państwa trzeciego wraz z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie,
- planowany termin usunięcia danych osobowych,
- ogólny opis zastosowanych zabezpieczeń technicznych i organizacyjnych.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
- nazwę i dane kontaktowe procesora lub procesorów oraz dane kontaktowe wszystkich administratorów danych w imieniu, których działa procesor jak również dane kontaktowe IODO jeżeli został powołany,
- formy przetwarzania, które wykonuje procesor danych tj. np. przechowywanie, modyfikowania, usuwanie, etc.,
- informację o przekazywaniu danych do państwa trzeciego wraz z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie,
- ogólny opis zastosowanych zabezpieczeń technicznych i organizacyjnych.
Podsumowanie
Rejestr czynności przetwarzania danych osobowych będzie nowym obowiązkiem dla podmiotów dużych lub takich, które przetwarzają dane w szczególny sposób lub szczególne kategorie danych osobowych. Celem prowadzenia rejestru jest możliwość zorientowania się przez organ nadzorczy jak faktycznie przebiegają procesy przetwarzania danych gdyż w tych kategoriach podmiotów może być to skomplikowane lub szczególnie istotne ze względu na prawo do prywatności osób, których dane dotyczą. Zakres informacji objętych rejestrem czynności przetwarzania danych osobowych nie wskazuje szczegółów tych procesów, a jedynie wskazuje podstawowe informacje, które mają pozwolić organowi nadzorczemu skierowanie szczegółowych pytań lub czynności kontrolnych wobec właściwych podmiotów. Innymi słowy celem prowadzenia rejestru jest przyspieszenie działania organu nadzorczego w sytuacji, gdy czas reakcji jest kluczowy dla skuteczności nadzoru.
Pozornie wymóg ten może wydawać się mało istotny jednak ustawodawca europejski przewidział za brak jego realizacji dość wysoką górną granicę kary w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.