Czym jest rejestr czynności przetwarzania?

Ogólne rozporządzenie o ochronie danych(RODO) nakłada na administratorów danych obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Jakie informacje powinien zawierać taki rejestr i jakie podmioty są zobligowane do jego prowadzenia? 

Czym jest rejestr czynności przetwarzania?

Dorota Kraskowska

16 października 2020

RODO wyróżnia dwa rodzaje rejestrów: czynności przetwarzania i kategorii czynności przetwarzania. Do prowadzenia pierwszego zobowiązani są administratorzy danych. Taki rejestr zawiera informacje o przetwarzanych danych. Z kolei rejestr kategorii czynności przetwarzania prowadzą podmioty przetwarzające. Drugi rodzaj rejestru zawiera m.in. informacje na temat rodzaju operacji wykonywanych na danych osobowych, jaki jest ich zakres oraz w imieniu jakich administratorów przetwarzane są dane osobowe.

Oba rejestry mają formę pisemną, w tym elektroniczną.

Rejestr czynności przetwarzania

Zgodnie z art. 30 ust. 1 rozporządzenia, każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora, ma obowiązek prowadzenia i aktualizowania rejestru czynności przetwarzania danych osobowych. W takim rejestrze zamieszcza się następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora, współadministratorów i inspektora danych osobowych,

  • cele przetwarzania danych osobowych,

  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,

  • kategorie odbiorców, którym zostały udostępnione dane osobowe (lub będą udostępnione w przyszłości), w tym odbiorców w państwach trzecich i w międzynarodowych organizacjach,

  • informacje na temat przekazania danych osobowych do państwa trzeciego (z podaniem nazwy państwa) lub organizacji międzynarodowej(z podaniem nazwy organizacji), a w przypadku przekazań — dokumentacja odpowiednich zabezpieczeń,

  • planowane terminy usunięcia poszczególnych kategorii danych osobowych,

  • opis technicznych i organizacyjnych środków bezpieczeństwa zastosowanych wobec przetwarzanych danych osobowych.

Rejestr kategorii czynności przetwarzania

Zgodnie z art. 30 ust. 2 RODO, każdy podmiot przetwarzający dane ma obowiązek prowadzenia rejestru kategorii czynności przetwarzania. Podmiot przetwarzający dane przetwarza je w imieniu administratora. W takim rejestrze zamieszcza się następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,

  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,

  • informacje na temat przekazania danych osobowych do państwa trzeciego (z podaniem nazwy państwa) lub organizacji międzynarodowej (z podaniem nazwy organizacji), a w przypadku przekazań — dokumentacja odpowiednich zabezpieczeń, 

  • opis technicznych i organizacyjnych środków bezpieczeństwa zastosowanych wobec przetwarzanych danych osobowych.

Jaki jest cel prowadzenia rejestrów?

Zgodnie z motywem 82 RODO, wyróżniamy dwa podstawowe cele prowadzenia rejestrów: zachowanie przez administratora i podmiot przetwarzający zgodności z przepisami RODO oraz umożliwienie organowi nadzorczemu monitorowania wszystkich procesów przetwarzania danych w organizacji. Administratorzy lub podmiot przetwarzające oraz – gdy ma to zastosowanie – ich przedstawiciele — mają obowiązek udostępnić rejestry na każde żądanie organu nadzorczego.

Rejestry ułatwiają stałą weryfikację działalności w zakresie przetwarzania danych osobowych — systematyzują wykonywane czynności przetwarzania oraz pomagają w monitoringu prowadzonych operacji przetwarzania danych osobowych pod względem zgodności zarówno z wymaganiami prawnymi, jak i z celami biznesowymi. Informacje zebrane w rejestrach mogą posłużyć również administratorom i podmiotom przetwarzającym do oceny, czy powinni spełnić inne obowiązki wynikające z RODO, np. przeprowadzenie oceny skutków przetwarzania dla ochrony danych osobowych (jeśli podmiot przetwarza szczególne kategorie danych osobowych).

Kto jest odpowiedzialny za rejestr czynności przetwarzania?

Obowiązek prowadzenia rejestru czynności przetwarzania należy prowadzić w następujących sytuacjach:

  • gdy przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,

  • gdy przetwarzanie nie ma charakteru sporadycznego,

  • gdy przetwarzanie obejmuje szczególne kategorie danych osobowych (jak np.  pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, dane na temat zdrowia, seksualności, orientacji seksualnej, dane genetyczne lub biometryczne) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Przedsiębiorcy i podmioty zatrudniające mniej niż 250 osób nie mają obowiązku prowadzenia rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania, o ile przetwarzanie, którego dokonują nie dotyczy trzech wyżej wymienionych sytuacji.

Za prowadzenie rejestru czynności przetwarzania danych jest odpowiedzialny administrator danych osobowych (ADO), czyli osoba fizyczna lub prawna, organ publiczny, jednostka lub  podmiot samodzielnie lub wspólnie z innymi ustalający cele i sposoby przetwarzania danych osobowych. 

Za prowadzenie rejestru kategorii czynności przetwarzania jest odpowiedzialny podmiot przetwarzający dane w imieniu administratora, jak również — w określonych przypadkach — przedstawiciel tego podmiotu. Zgodnie z art. 27 RODO, obowiązek wyznaczenia przedstawiciela mają administratorzy i podmioty przetwarzające prowadzące czynności przetwarzania związane z oferowaniem produktów lub usług klientom w Unii Europejskiej, ale którzy nie mają jednostek organizacyjnych w UE. 

Większość podmiotów przetwarzające będzie zobowiązana do prowadzenia zarówno rejestru kategorii czynności przetwarzania, jak i rejestru czynności przetwarzania danych (za które odpowiadają administratorzy).

Sprawozdanie Komisji Europejskiej: czy RODO pomaga nam w codziennym życiu?Sprawozdanie Komisji Europejskiej: czy RODO pomaga nam w codziennym życiu? Rafał Stępniewski

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!