Rejestr czynności przetwarzania danych osobowych

Rejestr czynności przetwarzania danych osobowych

Rozporządzenie RODO zaleca administratorom danych prowadzenie rejestru czynności przetwarzania danych osobowych. Czym jest taki rejestr i jakie informacje powinien zawierać?

Czym jest rejestr czynności przetwarzania?

Taki rejestr zawiera informacje o przetwarzanych danych w przedsiębiorstwie. Ma formę pisemna i elektroniczną. Jest jednym z elementów zapewniających bezpieczeństwo danych w firmie.

Zawarte są w nim następujące informacje:

  • imię i nazwisko oraz dane kontaktowe administratora danych oraz inspektora danych osobowych ( jeżeli został powołany w przedsiębiorstwie)
  • cele, dla jakich przetwarzane są dane osobowe
  • kategorie osób, których dane są przetwarzane oraz rodzaj ich danych osobowych
  • kim są odbiorcy, którym dane osobowe zostały udostępnione
  • jeżeli doszło do przekazania danych osobowych do państw trzecich lub instytucji międzynarodowych należy opisać jakie zabezpieczenia i środku ostrożności zastosowano podczas takiego przekazania
  • jakie są terminy lub przybliżony okres usunięcia przetwarzanych danych osobowych
  • jakie środki bezpieczeństwa zostały zastosowane żeby zapewnić niezbędną ochrona przetwarzanym danym osobowym.

W jakim celu prowadzi się rejestr czynności przetwarzania?

Prowadzenie rejestru ma na celu umożliwienie organowi nadzorczemu monitorowania wszystkich działań związanych z przetwarzaniem danych osobowych w firmie. Oprócz tego rejestr czynności ma zalety dla samego przedsiębiorstwa. Na bieżąco pozwala weryfikować, czy dane przetwarzane są prawidłowo, a także sprawdzać czy przetwarzane dane przynoszą wymierne korzyści biznesowe.

Kto odpowiada za rejestr czynności przetwarzania?

Za prawidłowe prowadzenie rejestru odpowiada administrator danych osobowych. W sytuacji powołanie w firmie Inspektora Danych Osobowych, to ten ostatni odpowiada za prowadzenie rejestru.

Outsourcing RODO

Jeżeli firma zdecyduje się na outsourcing RODO, czyli przekazanie podmiotowi zewnętrznemu pieczy nad przetwarzaniem danych osobowych i np. wynajmie zewnętrznego Inspektora Ochrony Danych IOD, to wtedy ta osoba odpowiedzialna jest za prowadzenie rejestru czynności przetwarzania danych osobowych.
Outsourcing RODO ma oczywiście swoje zalety, firma pozbywa się odpowiedzialności za ochronę danych osobowych, warto jednak starannie wybrać podmiot zewnętrzny, który będzie te zadania wypełniał.

Kiedy należy prowadzić rejestr czynności przetwarzania?

Rejestr trzeba prowadzić gdy:

  • przetwarzanie danych osobowych może spowodować niebezpieczeństwo naruszenia praw osób, których dane dotyczą
  • firma systematycznie przetwarza dane osobowe
  • przetwarzane są dane osobowe wrażliwe ( pochodzenie rasowe, poglądy polityczne, przekonania religijne, informacje na temat stanu zdrowia czy orientacji seksualnej) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Firmy zatrudniające mniej niż 250 osób nie mają obowiązku prowadzenia rejestru czynności przetwarzania, pod warunkiem, że przetwarzanie danych osobowych, które wykonują nie mieści się w wyżej wymienionych sytuacjach.

Podsumowanie

Wdrożenie RODO w przedsiębiorstwie wiąże się z prowadzenie rejestru czynności przetwarzania danych osobowych. Warto taki rejestr prowadzić, żeby należycie wywiązywać się z obowiązku ochrony danych osobowych.