W jakiej formie należy prowadzić rejestr czynności przetwarzania?

RODO nakazuje administratorom danych prowadzenie rejestru czynności przetwarzania, a podmiotom przetwarzającym dane — rejestru kategorii czynności przetwarzania. Rozporządzenie nie narzuca jednak układu tych dokumentów. W jakiej formie należy więc prowadzić rejestry?

W jakiej formie należy prowadzić rejestr czynności przetwarzania?

Dorota Kraskowska

6 listopada 2020

W poprzednim materiale wyjaśniliśmy, jakie informacje powinny zawierać rejestry czynności przetwarzania i kategorii czynności przetwarzania oraz jakie podmioty są zobligowane do ich prowadzenia. Cały tekst znajdziesz TUTAJ.

O tym, jak należy rozumieć pojęcie "czynności przetwarzania" w kontekście obowiązku prowadzenia takich rejestrów i napisaliśmy TUTAJ.

RODO dopuszcza prowadzenie rejestrów zarówno w formie papierowej, jak i elektronicznej (art. 30 ust. 3 Rozporządzenia). Ustawodawca nie podaje konkretnego szablonu, według którego należy przygotowywać rejestry — administratorzy danych oraz podmioty przetwarzające mogą je sporządzać według własnego schematu. Dlatego w celu ułatwienia realizacji tego obowiązku Prezes Urzędu Ochrony Danych Osobowych przygotował gotowe szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami ich uzupełnienia. Czytaj TUTAJ. 

Szablony rejestrów 

Zgodnie z zaleceniem Prezesa UODO, strona tytułowa rejestru czynności przetwarzania powinna zawierać następujące informacje:

  • nazwa i dane kontaktowe administratora (adres, mejl, telefon), 

  • nazwa i dane kontaktowe inspektora ochrony danych (gdy ma to zastosowanie,

  • nazwa i dane kontaktowe przedstawiciela (gdy ma to zastosowanie).

Informacje o poszczególnych czynnościach przetwarzania powinny być ujęte w następujących blokach:

  • nazwa czynności przetwarzania,

  • jednostka organizacyjna,

  • cel przetwarzania (informacje wymagane w rejestrze zgodnie z art. 30 ust. 1 RODO),

  • kategorie osób (informacje wymagane w rejestrze),

  • kategorie danych (informacje wymagane w rejestrze),

  • podstawa prawna,

  • źródło danych,

  • planowany termin usunięcia kategorii danych (informacje wymagane w rejestrze),

  • nazwa współadministratora i dane kontaktowe (informacje wymagane w rejestrze),

  • nazwa podmiotu przetwarzającego i dane kontaktowe (informacje wymagane w rejestrze),

  • kategorie odbiorców (informacje wymagane w rejestrze),

  • nazwa systemu lub oprogramowania,

  • ogólny opis techniczny i organizacyjny środków bezpieczeństwa (informacje wymagane w rejestrze),

  • DPIA (Data Protection Impact Assessment czyli ocena skutków dla ochrony danych),

  • transfer do kraju trzeciego lub organizacji międzynarodowej (informacje wymagane w rejestrze):

    • transfer do kraju trzeciego lub organizacji międzynarodowej,
    • dokumentacja odpowiednich zabezpieczeń w przypadku transferu, na podstawie art. 49 ust. 1 RODO.

Rejestr czynności przetwarzania należy opracować w taki sposób, aby dla każdej czynności nie powtarzać informacji o nazwie i danych kontaktowych administratora, przedstawiciela administratora oraz inspektora ochrony danych. Administrator może wykonywać niektóre czynności jako ich administrator, inne jako współadministrator, dlatego w celu zachowania spójności dokumentu ważne jest, aby na stronie tytułowej znalazły się informacje o danych administratora, inspektora danych osobowych i przedstawiciela, a następnie dla każdego wpisu w rejestrze na pierwszej pozycji należy umieścić nazwę czynności przetwarzania i następnie — pozostałe informacje na temat danej czynności. 

Strona strona tytułowa rejestru kategorii czynności przetwarzania powinna zawierać następujące informacje:

  • nazwę i dane kontaktowe podmiotu przetwarzającego (adres, mejl, telefon), 

  • nazwę i dane kontaktowe inspektora ochrony danych (gdy ma to zastosowanie,

  • nazwę i dane kontaktowe przedstawiciela (gdy ma to zastosowanie).

Informacje o poszczególnych czynnościach przetwarzania powinny być ujęte w następujących blokach:

  • kategorie przetwarzania,

  • ogólny opis techniczny i organizacyjny środków bezpieczeństwa

  • administrator:

    • nazwa i dane kontaktowe administratora,
    • nazwa i dane kontaktowe współadministratora (gdy ma to zastosowanie),
    • nazwa i dane kontaktowe przedstawiciela administratora (gdy ma to zastosowanie),
    • inspektor ochrony danych administratora (gdy ma to zastosowanie),
  • czas trwania przetwarzania (informacje niewymagane w rejestrze),

  • nazwy państw trzecich lub organizacji międzynarodowych, do których dane są przekazywane,

  • dokumentacja odpowiednich zabezpieczeń danych osobowych,

  • nazwa i dane kontaktowe podmiotu przetwarzającego (informacje niewymagane w rejestrze),

  • kategorie podpowierzonych przetwarzań (informacje niewymagane w rejestrze).

Rejestr kategorii czynności przetwarzania należy uporządkować według kategorii przetwarzania, czyli rodzaju usług świadczonych na rzecz administratora danych osobowych. Każdy taki rejestr odnosi się do kategorii czynności przetwarzania świadczonych przez jeden podmiot, dlatego dla spójności dokumentu, jednorazowo (na stronie tytułowej) należy zamieścić informacje o nazwie i danych kontaktowych podmiotu przetwarzającego, inspektora ochrony danych oraz przedstawiciela. 

Dla każdego wpisu w rejestrze kategorii czynności przetwarzania na pierwszej pozycji należy umieścić nazwę kategorii czynności przetwarzania (daną usługę) i następnie — nazwę administratora, dla którego ta usługa jest świadczona oraz jeśli dotyczy — nazwę współadministratora, inspektora danych osobowych oraz przedstawiciela. W kolejnych pozycjach należy podać pozostałe informacje na temat danej kategorii czynności przetwarzania. 

Na podstawie materiału UODO "Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO".

Zgoda jako podstawa przetwarzania danych osobowych. Czy zawsze jest konieczna?Zgoda jako podstawa przetwarzania danych osobowych. Czy zawsze jest konieczna? Dorota Kraskowska

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!