Rejestr czynności przetwarzania

utworzone przez | 27 cze, 2018 | RODO

Rejestr czynności przetwarzania danych w firmie ma służyć przede wszystkim transparentności organizacji, które przetwarzają dane osobowe. W praktyce, niemal każdy podmiot przetwarza dane. Od 25 maja 2018 roku administrator danych osobowych ma obowiązek prowadzić rejestr czynności we własnym zakresie i na bieżąco aktualizować. Prowadzenia rejestru czynności ma pomóc w zachowaniu zgodności z RODO i umożliwić organowi nadzorczemu monitorowanie operacji, które są na danych wykonywane.

 

Kogo będzie dotyczył obowiązek prowadzenia rejestru?

Rejestr wszystkich czynności przetwarzania danych prowadzi administrator danych osobowych.

 

Z uwagi na szczególną sytuację mikroprzedsiębiorstw, małych i średnich firm w motywie 13. RODO można odnaleźć wątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 osób. Są jednak wyjątki.

Do niedawna zwolnienie z obowiązku prowadzenia rejestru było interpretowane na rzecz małych firm, które w trakcie wykonywania swoich zadań nie przetwarzały szczególnych kategorii danych,np. danych o stanie zdrowia.  Jednak jednoznaczne wytyczne Grupy Roboczej art. 29 ds. ochrony danych, a jest to niezależny europejski organ doradczy w kwestiach ochrony danych i prywatności, rozwiały wszelkie wątpliwości. Wyłączenie z obowiązku prowadzenia rejestru nie ma bowiem zastosowania, jeśli występuje którakolwiek z sytuacji wymienionych w art. 30 RODO, tj. jeżeli czynności dokonywane na danych osobowych:

  • powodują ryzyko naruszenia praw lub wolności osoby
  • nie ma charakteru sporadycznego
  • obejmują szczególne kategorie danych osobowych

W związku z tym nawet osoba prowadząca jednoosobową firmę jest zobowiązana do prowadzenia rejestru czynności, jeśli przetwarzanie nie ma charakteru sporadycznego. I tu zaczynają się mnożyć pytania. Które operacje można uznać za sporadyczne, a które z całą pewnością nie będą sporadyczne? Muszą być wykonywane raz dziennie, czy co godzinę?

W praktyce więc, najlepszy będzie swoisty rejestr, w którym należy sumiennie (i obiektywnie) zidentyfikować wszystkie cele przetwarzania danych. Poniżej znajdziesz wskazówki jak się przygotować do jego wykonania.

 

Jakie działalności zatem muszą opracować rejestr czynności przetwarzania w firmie?

Dla pewności – wszystkie. Zalecam przygotowanie rejestru czynności przetwarzania nie tylko osobom prowadzącycm działalność medyczną, ale także tym, którzy przetwarzają dane zwykłe. Niezależnie od tego, czy jesteś jednoosobową firmą, czy zatrudniach ponad 250 osób taki rejestr powinieneś prowadzić. Cienka jest bowiem granica, pomiędzy tym co jest, a co nie sporadyczną czynnością. Każdy klient, któremu przygotowuję indywidualną dokumentację otrzymuje ode mnie gotowy rejestr. Natomiast osobom, które wykupią jeden z moich kursów online ze wzorami – udostępniam wzór takiego rejestru czynności z przykładami. Dzięki temu można go uzupełnić własnymi danymi i ewentualnie usunąć te czynności, które nie dotyczą Twojej firmy. Uważam, że rejestr jest w miarę porosty, o ile wie się co i dlaczego wypełnić, dlatego nie warto do pomijać we wdrożeniu RODO.

 

Co powinien zawierać dobrze przygotowany rejestr?

Rzetelnie przygotowana inwentaryzacja danych to klucz do sukcesu rejestru czynności przetwarzania.

Główne informacje, które muszą się w nim znaleźć to nazwa administratora danych osobowych, dane kontaktowe do firmy i, w przypadku powołania Inspektora Ochrony Danych, dane kontaktowe tej osoby. Z punktu widzenia RODO, ważne informacje, które jeszcze muszą się znaleźć w rejestrze, to:

  • cel przetwarzania danych,
  • kategorie osób, których dane dotyczą, t
  • erminy usunięcia danych,
  • opis środków organizacyjnych i technicznych, które te dane zabezpieczają ( jeśli to możliwe).

Od czego zacząć przygotowania?

Rejestr czynności przetwarzania w Twojej firmie powinien być naturalną konsekwencją zakończonej inwentaryzacji danych. To właśnie dzięki inwentaryzacji danych wiemy, co nasz rejestr powinien zawierać.

Aby właściwie określić cele przetwarzania, kategorie osób i odbiorców danych należy zacząć od rzetelnej weryfikacji tego, jakie dane przetwarzamy, w jakim celu, na jakiej podstawie, komu je przekazujemy, jak długo możemy je przechowywać oraz jakie środki stosujemy, by je zabezpieczać.

Po takiej analizie rejestr czynności przetwarzania w biznesie będzie już formalnością, nieuciążliwym „przepisaniem” zebranej już treści do właściwie skonstruowanej tabeli, w której umieścisz wszystkie wymagane informacje.

 

SPRAWODZANIE do BDO

Sylwia Templin-Świtała

Praktyk i specjalistka w zakresie RODO, bezpieczeństwa danych i legalnej sprzedaży online. Od 2016 roku wspieram przedsiębiorców, twórców i rękodzielników w tym, by mogli działać legalnie, bez stresu i z pełnym spokojem o swoje dokumenty.
Na co dzień prowadzę markę Bezpieczni w Biznesie, gdzie razem z zespołem specjalistów tworzę praktyczne rozwiązania — od regulaminów i polityk prywatności po procedury RODO, GPSR i EAA. Wiem, że same przepisy to za mało, dlatego łączę prawo z normami bezpieczeństwa, m.in. ISO 27001, i przekładam to wszystko na zrozumiały język.
Nie piszę dla prawników. Piszę dla ludzi, którzy chcą po prostu wiedzieć, jak działać legalnie prowadząc sklep internetowy, sprzedając rękodzieło czy wdrażając RODO w swojej firmie. Sama prowadzę sklep z produktami cyfrowymi, więc wszystkie rozwiązania, które proponuję, sprawdzam w praktyce. Wierzę, że wszystko może być proste, jeśli masz odpowiednie wsparcie.

Bezpieczni w biznesie
error: Treść strony jest chroniona!