RODO – rejestry danych, które musisz prowadzić

Jednym z podstawowych obowiązków, który zastąpił zgłaszanie zbiorów danych do GIODO jest prowadzenie Rejestru Czynności Przetwarzania Danych Osobowych oraz Rejestru Kategorii Czynności Przetwarzania Danych Osobowych. Czym różnią się te rejestry?

 

Rejestr Czynności Przetwarzania

 

Jest to rejestr, który musi prowadzić administrator danych osobowych. Zawiera on wszystkie zbiory danych, które prowadzi firma. Ich liczba uzależniona jest od rodzaju prowadzonej działalności. Dla firm zatrudniających od 250 pracowników prowadzenie rejestru jest obowiązkowe. Dla mniejszych firm obowiązuje jedynie w określonych przypadkach:

Są to sytuacje, gdy:

  • przetwarzanie może nieść za sobą ryzyko naruszenia praw lub wolności osób,

  • nie ma charakteru sporadycznego,

  • obejmuje dane wrażliwe (stan zdrowia, przynależność związkową, wyznaniową, poglądy polityczne lub preferencje seksualne, a także dane dotyczące wyroków skazujących lub czynów zabronionych).

Takie stanowisko przyjęła dnia 14 maja 2018 r. tzw. Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych – EROD).

 

Rodzaje zbiorów danych osobowych

 

Do zbiorów danych mogą należeć np.:

  • rekrutacja pracowników,

  • wypłaty pracowników,

  • akta osobowe,

  • dane uczniów w szkole,

  • dane osób korzystających z biblioteki,

  • dane osób korzystających z różnych form pomocy społecznej,

  • korespondencja w firmie,

  • rejestr wypadków przy pracy i wiele innych.

Elementy Rejestru Czynności Przetwarzania

 

Zbiór danych osobowych, wymieniony w rejestrze czynności powinien być odpowiednio opisany za pomocą odpowiednich kryteriów. Art. 30 ust. 1 rozporządzenia RODO, wymienia elementy, które powinny się znaleźć w rejestrze. Dla własnych celów można dodać również inne składniki. Podstawowe elementy rejestru:

  • nazwa zbioru,

  • cel przetwarzania,

  • kategorie osób, których dane dotyczą,

  • kategorie danych,

  • podstawa prawna przetwarzania danych,

  • termin ich usunięcia,

  • nazwa współadministratora oraz podmiotu przetwarzającego i ich dane kontaktowe,

  • odbiorcy danych,

  • opis technicznych i organizacyjnych środków ochrony danych,

  • informacja o transferze do państw trzecich,

  • dokumentacja odpowiednich zabezpieczeń w przypadku transferu.

 

Elementy Rejestru Kategorii Czynności Przetwarzania

 

Rejestr taki prowadzi obowiązkowo podmiot przetwarzający dane, powierzone mu przez administratora danych na podstawie umowy powierzenia. Zawiera on obligatoryjne elementy wymienione art. 30 ust. 2 rozporządzenia RODO, którymi są:

  • kategorie przetwarzań,

  • ogólny opis zastosowanych organizacyjnych i technicznych środków bezpieczeństwa,

  • nazwa i dane kontaktowe administratora i współadministratora,

  • oznaczenie przedstawiciela administratora oraz inspektora ochrony danych i ich dane kontaktowe,

  • państwa trzecie, do których dane są przekazywane,

  • dokumentacja odpowiednich zabezpieczeń w przypadku transferu.

Wymienione rejestry prowadzone są w celu zachowania przez administratora i podmiot przetwarzający zgodności z RODO oraz umożliwienia organowi nadzorczemu, jakim jest obecnie Urząd Ochrony Danych Osobowych monitorowania przetwarzania danych. Pozwala także na usystematyzowanie prowadzonych przez firmę procesów biznesowych i ocenę ich zgodności z obowiązującym prawem.

Leave a Comment