Rejestr czynności przetwarzania - nowość którą wprowadza RODO

Zgodnie z Rozporządzeniem ogólnym UE w sprawie ochrony danych osobowych, niemal każdy administrator danych będzie musiał prowadzić rejestr czynności przetwarzana danych osobowych. Jest to dokument, który ma pokazywać w szczególności w jakich procesach w organizacji są przetwarzane dane osobowe, w jakim celu, kogo dotyczą oraz jak są zabezpieczane. Dokument ten będzie musiał zostać udostępniony na każde wezwanie GIODO.

blog-150

Celem prowadzenia ww. rejestru jest możliwości pełnienia nadzoru i monitorowania procesów przetwarzania danych osobowych przez organ nadzorczy. Do tej pory rolę tą pełnił rejestr zbiorów danych osobowych, gdzie należało wskazać bardzo podobny zakres informacji. Jednak Rozporządzenie ogólne UE nie przewiduje obowiązku rejestracji zbiorów danych osobowych i proces ten zostanie ostatecznie zakończony w maju 2018r.

Jednak nie każdy administrator danych osobowych lub procesor danych będzie musiał prowadzić ww. rejestr, a tylko ten, który zatrudnia powyżej 250 osób, ten który przetwarza dane w sposób powodujący ryzyko naruszenia praw i wolności osób, których dane dotyczą, przetwarzanie to nie jest sporadyczne, a ciągłe oraz ten który przetwarza dane tzw. wrażliwe w tym wyroki skazujące i dotyczące naruszeń prawa. Innymi słowy powyższy obowiązek dotyczy trzech kategorii podmiotów. Kryteria wyodrębnienia tych podmiotów opierają się z jednej strony na wielkości zatrudnienia, a z drugiej strony ze względu na sposób przetwarzania danych i kategorię tych danych.

Rejestracja czynności przetwarzania

Rejestr czynności przetwarzania prowadzony przez administratora danych może maksymalnie zawierać siedem pozycji:

  • nazwę i dane kontaktowe administratora danych oraz dane kontaktowe IODO jeżeli został powołany,
  • cel przetwarzania danych osobowych,
  • opis kategorii osób, których dane dotyczą oraz zakres danych (wrażliwe lub zwykłe),
  • kategorie odbiorców, którym dane zostały lub zostaną udostępnione,
  • informację o przekazywaniu danych do państwa trzeciego wraz z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie,
  • planowany termin usunięcia danych osobowych,
  • ogólny opis zastosowanych zabezpieczeń technicznych i organizacyjnych.

Kontynuacją powyższego rejestru jest rejestr prowadzony przez każdego procesora danych, któremu administrator tych danych powierzył przetwarzanie danych, oczywiście jeżeli znajduje się on w grupie trzech ww. kategorii podmiotów. Procesor ten prowadzi rejestr czynności przetwarzania w następującym zakresie:

  • nazwę i dane kontaktowe procesora lub procesorów oraz dane kontaktowe wszystkich administratorów danych w imieniu, których działa procesor jak również dane kontaktowe IODO jeżeli został powołany,
  • formy przetwarzania, które wykonuje procesor danych tj. np. przechowywanie, modyfikowania, usuwanie, etc.,
  • informację o przekazywaniu danych do państwa trzeciego wraz z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie,
  • ogólny opis zastosowanych zabezpieczeń technicznych i organizacyjnych.

Podsumowanie

Rejestr czynności przetwarzania danych osobowych będzie nowym obowiązkiem dla podmiotów dużych lub takich, które przetwarzają dane w szczególny sposób lub szczególne kategorie danych osobowych. Celem prowadzenia rejestru jest możliwość zorientowania się przez organ nadzorczy jak faktycznie przebiegają procesy przetwarzania danych gdyż w tych kategoriach podmiotów może być to skomplikowane lub szczególnie istotne ze względu na prawo do prywatności osób, których dane dotyczą. Zakres informacji objętych rejestrem czynności przetwarzania danych osobowych nie wskazuje szczegółów tych procesów, a jedynie wskazuje podstawowe informacje, które mają pozwolić organowi nadzorczemu skierowanie szczegółowych pytań lub czynności kontrolnych wobec właściwych podmiotów. Innymi słowy celem prowadzenia rejestru jest przyspieszenie działania organu nadzorczego w sytuacji, gdy czas reakcji jest kluczowy dla skuteczności nadzoru.

Pozornie wymóg ten może wydawać się mało istotny jednak ustawodawca europejski przewidział za brak jego realizacji dość wysoką górną granicę kary w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Czytaj także:

-
4.51/5 (49) 1
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".