Jak rozumieć art.30 ust.4, że rejestr czynności przetwarzania należy udostępnić tylko na żądanie organu nadzorczego (UODO)?
ODPOWIEDŹ
Wspomniana norma skutkuje obowiązkiem przedłożenia rejestru organowi nadzorczemu, jeśli organ takiego rejestru zażąda. Jednocześnie administrator nie jest zobowiązany z własnej inicjatywy, w ramach proaktywnego działania przedkładać takiego rejestru organowi nadzorczemu bez żądania z jego strony.
Skoro o udostępnianiu rejestru mowa, proszę pamiętać, że celem prowadzenia rejestru jest usystematyzowanie wykonywanych operacji przetwarzania danych osobowych, co przesądza o jego ściśle wewnętrznym i organizacyjnym charakterze. Nie jest więc jawny i publicznie dostępny, nie powinien być publikowany na stronie internetowej administratora, czy udostępniany zainteresowanym osobom. Warto pamiętać, że zawiera szereg kluczowych informacji, w tym wykaz stosowanych zabezpieczeń, który powinien zostać poufny.