Rejestr czynności przetwarzania danych zgodny z art. 30 RODO

Autor: Jakub WezgrajData dodania: 12 Luty 2018Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (RODO), Wymogi ustawowe

Artykuł 30 RODO wprowadza wymagany środek bezpieczeństwa o charakterze organizacyjnym, polegający na obowiązku prowadzenia rejestrów czynności przetwarzania danych.

Tego typu rejestr musi prowadzić zarówno administrator danych jak i podmiot przetwarzający dane na zlecenie innych administratorów.

Co powinny zawierać te rejestry i jak należy je prowadzić?

Zapoznaj się z treścią artykułu.

Czym jest rejestr czynności przetwarzania danych?

Rejestr czynności przetwarzania danych jest jednym z wymaganych na gruncie RODO środków bezpieczeństwa o charakterze organizacyjnym. W założeniu unijnego ustawodawcy ma stanowić kompleksową ewidencję wszystkich operacji realizowanych na danych osobowych, które przetwarza konkretny podmiot (administrator danych lub podmiot przetwarzający w rozumieniu art. 28 RODO).

Rejestr czynności przetwarzania danych ma zastąpić rejestry zbiorów danych osobowych prowadzone na gruncie obowiązującej do 25 maja 2018 r. ustawy o ochronie danych osobowych przez Administratorów Bezpieczeństwa Informacji, a także jawny rejestr zbiorów danych prowadzony przez Generalnego Inspektora Ochrony Danych Osobowych.

Od momentu rozpoczęcia stosowania RODO wszyscy administratorzy danych oraz podmioty przetwarzające dane będą zobligowani do prowadzenia "wewnętrznego" rejestru czynności przetwarzania danych.

Motyw 82 Preambuły RODO:

Dla zachowania zgodności z niniejszym rozporządzeniem, administrator lub podmiot przetwarzający powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. Każdy administrator i każdy podmiot przetwarzający powinni mieć obowiązek współpracować z organem nadzorczym i na jego żądanie udostępniać mu te rejestry w celu monitorowania tych operacji przetwarzania.

Jakie informacje musi zawierać rejestr prowadzony przez administratorów danych?

Zgodnie z treścią art. 30 ust. 1 RODO każdy administrator danych zobowiązany jest prowadzić rejestr czynności przetwarzania danych osobowych za który odpowiada. Rejestr ten powinien zawierać następujące informacje:

dane kontaktowe administratora oraz wszelkich współadministratorów (jeżeli w określonym przypadku dany administrator współdecyduje z innymi administratorami o celach i sposobach przetwarzania danych),

cele przetwarzania danych,

opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, które są przetwarzane,

kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców
w tzw. państwach trzecich lub w organizacjach międzynarodowych,

gdy ma to zastosowanie, informacje dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, również dokumentacja odpowiednich zabezpieczeń,

jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,

jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, stosowanych zgodnie z wymaganiami art. 32 ust. 1 RODO.

Jakie informacje powinien zawierać rejestr prowadzony przez podmioty przetwarzające dane?

Podmiot przetwarzający dane to taki, który realizuje określone operacje przetwarzania danych osobowych, które zostały mu powierzone przez inny podmiot - administratora danych. Podmiot przetwarzający nie decyduje więc samodzielnie o celach i sposobach przetwarzania tych danych, ale realizuje te czynności na polecenie administratora danych. Podstawą powierzenia do przetwarzania danych osobowych przez administratora do podmiotu przetwarzającego jest zawarta pomiędzy tymi podmiotami umowa powierzenia danych lub inny instrument prawny przewidziany na gruncie art. 28 RODO. W praktyce jednak aktualnie stosowanym rozwiązaniem jest zawieranie umów powierzenia danych osobowych.

Biorąc pod uwagę powyższe, rejestr operacji przetwarzania danych osobowych prowadzony przez podmiot przetwarzający powinien zawierać opis odnoszący się do danych osobowych powierzonych mu do przetwarzania przez innych administratorów danych. Zgodnie z treścią art. 30 ust. 2 RODO taki rejestr powinien zawierać następujące informacje:

imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,

kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,

gdy ma to zastosowanie – informacje dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń,

jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, zastosowanych przez podmiot przetwarzający w celu spełnienia wymagań, o których mowa w art. 32 ust. 1 RODO.

Pozostałe informacje

Zgodnie z treścią art. 30 ust. 3 RODO, powyżej opisane rejestry powinny mieć formę pisemną, w tym mogą być prowadzone w postaci elektronicznej.

Rejestry mają charakter dokumentów wewnętrznych (nie powinny być ujawniane), ale podlegają udostępnieniu na żądanie organu nadzorczego.

Wymóg prowadzenia rejestru czynności przetwarzania danych osobowych nie ma zastosowania wobec administratorów danych oraz podmiotów przetwarzających zatrudniających mniej niż 250 osób, chyba
że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje dane wrażliwe (szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO).

Powyższe wyłączenie obowiązku prowadzenia rejestru czynności przetwarzania danych będzie więc miało w większości przypadków charakter czysto iluzoryczny, ponieważ trudno zakładać że operacje przetwarzania danych osobowych nie będą wiązały się z jakimkolwiek ryzykiem naruszenia praw lub wolności osób fizycznych oraz że procesy te nie będą obejmowały (przynajmniej w wybranych przypadkach, choćby w samym obszarze kadrowo-płacowym) przetwarzania danych wrażliwych (np. dotyczących stanu zdrowia jak w przypadku obszaru BHP i prowadzonych rejestrów wypadków przy pracy).

Polub ten artykuł

Zobacz usługi ODOeksperta, które pomogą zrealizować ustawowe obowiązki

Zadaj pytanie lub Zadzwoń: 600 677 026

GDPR, Jakub Wezgraj, ochrona danych osobowych, ODOekspert, RODO, rodo wdrożenie, rodo wymagania, rozporządzenie GDPR, rozporządzenie RODO, unijne rozporządzenie o ochronie danych, wdrożenie gdpr, wdrożenie rodo

Wróć

Szkolenie online Jak prowadzić analizę ryzyka zgodnie z wymaganiami RODO i wytycznymi PUODO [5 listopada 2021]

Autor: Jakub Wezgraj, Data dodania: 28 Październik 2021, Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (RODO), Szkolenia i webinary

Już 5 listopada poprowadzimy szkolenie online dotyczące prowadzenia analizy ryzyka zgodnie z wymaganiami RODO i wytycznymi organów nadzoru, w tym PUODO. Kolejna edycja i dużo materiałów dla uczestników, które przygotowaliśmy. Szczegółowe informacje i zapisy na szkolenie dostępne w tym artykule.

Przejdź *Szkolenie online* Jak prowadzić analizę ryzyka zgodnie z wymaganiami RODO i wytycznymi PUODO [5 listopada 2021]

Naruszenia ochrony danych osobowych - jak sobie z nimi radzić?

Autor: Jakub Wezgraj, Data dodania: 21 Wrzesień 2021, Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (RODO), Szkolenia i webinary

Naruszenia ochrony danych osobowych to jeden z obszarów RODO, które w praktyce przysparzają najwięcej problemów administratorom danych. Nasze doświadczenia wskazują, że w praktyce nie ma organizacji które nie doświadczają naruszeń. Jest natomiast nadal bardzo wiele podmiotów, które na te naruszenia nie reagują w prawidłowy sposób, co wiąże się z możliwą odpowiedzialnością finansową zarówno ze strony Prezesa Urzędu Ochrony Danych Osobowych jak i podmiotów danych.

Przejdź Naruszenia ochrony danych osobowych - jak sobie z nimi radzić?

Uprawnienia podmiotu danych na gruncie RODO - z którymi najczęściej spotykamy się w praktyce?

Autor: Jakub Wezgraj, Data dodania: 6 Maj 2021, Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (RODO)

Żądanie usunięcia danych, sprzeciw na przetwarzanie, a może kopia danych lub prawo do ich przenoszenia? Czy te określenia pojawiały się już w wiadomościach przesyłanych przez Państwa klientów, pracowników, kandydatów do pracy?

Zapraszamy do przeglądu najważniejszych uprawnień przysługujących podmiotom danych na gruncie RODO. Na czym one polegają i z jakimi obowiązkami wiążą się po stronie administratorów danych? Jak konkretne przedsiębiorstwo powinno zareagować, gdy wpłynie do niego określone żądanie?

W niniejszym artykule w sposób syntetyczny omawiamy kluczowe uprawnienia. Zapraszamy!

Przejdź Uprawnienia podmiotu danych na gruncie RODO - z którymi najczęściej spotykamy się w praktyce?

Dokumentacja pracownicza (HR) - kluczowe podstawy prawne przetwarzania danych osobowych

Autor: Jakub Wezgraj, Data dodania: 30 Kwiecień 2021, Kategoria: Wymogi ustawowe

Proces nawiązywania stosunku pracy oraz jego zakończenia związany jest ze spełnieniem licznych obowiązków po stronie pracodawcy. W celu prawidłowego spełnienia tych obowiązków nie należy zapominać także o przepisach związanych z ochroną danych osobowych. W niniejszym artykule wskazujemy wybrane podstawy prawne przetwarzania danych osobowych w obszarze HR.

Przejdź Dokumentacja pracownicza (HR) - kluczowe podstawy prawne przetwarzania danych osobowych

Baza wiedzy