fbpx
Zaznacz stronę

Czym jest rejestr czynności przetwarzania?

Rejestr ma służyć przede wszystkim transparentności przetwarzania danych.

Rejestr czynności przetwarzania ma służyć przede wszystkim transparentności firm i instytucji, które przetwarzają dane osobowe. W praktyce, niemal każdy podmiot przetwarza dane. Prowadzenie rejestru zastępuje istniejący dotychczas obowiązek zgłoszenia niektórych zbiorów do GIODO. Taki rejestr zbiorów był następnie tworzony przez GIODO i udostępniony na stronie internetowej urzędu dla wszystkich zainteresowanych. Od 25 maja 2018 roku, to Administrator Danych Osobowych będzie musiał podobny rejestr przygotować we własnym zakresie i na bieżąco aktualizować. Prowadzenia rejestru czynności ma pomóc w zachowaniu zgodności z RODO i umożliwić organowi nadzorczemu monitorowanie operacji, które są na danych wykonywane.

 

Kogo będzie dotyczył obowiązek prowadzenia rejestru czynności przetwarzania?

Rejestr wszystkich czynności przetwarzania danych prowadzi Administrator Danych Osobowych. Są jednak wyjątki od tego obowiązku.

 

Z uwagi na szczególną sytuację mikroprzedsiębiorstw, małych i średnich firm w motywie 13. RODO można odnaleźć wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 osób. Są jednak wyjątki.

Do niedawna zwolnienie z obowiązku prowadzenia rejestru było interpretowane na rzecz małych firm, które w trakcie wykonywania swoich zadań nie przetwarzały szczególnych kategorii danych (tzw. danych wrażliwych, np. o stanie zdrowia).  Jednak jednoznaczne wytyczne Grupy Roboczej art. 29 ds. ochrony danych, a jest to niezależny europejski organ doradczy w kwestiach ochrony danych i prywatności, rozwiały wszelkie wątpliwości. Wyłączenie z obowiązku prowadzenia rejestru nie ma bowiem zastosowania, jeśli występuje którakolwiek z sytuacji wymienionych w art. 30 RODO, tj. jeżeli czynności dokonywane na danych osobowych:

  • powodują ryzyko naruszenia praw lub wolności osoby
  • nie ma charakteru sporadycznego
  • obejmują szczególne kategorie danych osobowych

W związku z tym nawet osoba prowadząca jednoosobową firmę jest zobowiązana do prowadzenia rejestru czynności, jeśli przetwarzanie nie ma charakteru sporadycznego. I tu zaczynają się mnożyć pytania. Które operacje można uznać za sporadyczne, a które z całą pewnością nie będą sporadyczne? Muszą być wykonywane raz dziennie, czy co godzinę?

W praktyce więc, najlepszy będzie swoisty rejestr, w którym należy sumiennie (i obiektywnie) zidentyfikować wszystkie cele przetwarzania danych. Poniżej znajdziesz wskazówki jak się przygotować do jego wykonania.

 

Jakie działalności zatem muszą opracować rejestr czynności przetwarzania?

Z pewnością wszystkie te, które zatrudniają powyżej 250 osób. Oprócz tego także mniejsze podmioty, jeśli przetwarzają szczególne kategorie danych, np. o stanie zdrowia, a więc przychodnie lekarskie, apteki, gabinety fizjoterapeutyczne, kosmetyczne i dietetyczne. Oprócz tego, także mikroprzedsiębiorcy, małe i średnie podmioty, które przetwarzają dane osobowe niesporadycznie.

 

Co powinien zawierać dobrze przygotowany rejestr czynności przetwarzania?

Rzetelnie przygotowana inwentaryzacja danych to klucz do sukcesu rejestru czynności przetwarzania.

Główne informacje, które muszą się w nim znaleźć to nazwa Administratora Danych Osobowych (zasadniczo, nazwa firmy), dane kontaktowe do firmy i, w przypadku powołania Inspektora Ochrony Danych, dane kontaktowe tej osoby. Z punktu widzenia RODO, ważne informacje, które jeszcze muszą się znaleźć w rejestrze, to cel przetwarzania danych, kategorie osób, których dane dotyczą, terminy usunięcia danych, a także (jeśli to możliwe) opis środków organizacyjnych i technicznych, które te dane zabezpieczają.

Od czego zacząć przygotowania do rejestru?

Rejestr czynności przetwarzania powinien być naturalną konsekwencją zakończonej inwentaryzacji danych. To właśnie dzięki inwentaryzacji danych wiemy, co nasz rejestr powinien zawierać.

Aby właściwie określić cele przetwarzania, kategorie osób i odbiorców danych należy zacząć od rzetelnej weryfikacji tego, jakie dane przetwarzamy, w jakim celu, na jakiej podstawie, komu je przekazujemy, jak długo możemy je przechowywać oraz jakie środki stosujemy, by je zabezpieczać.

Po takiej analizie rejestr czynności przetwarzania będzie już formalnością, nieuciążliwym „przepisaniem” zebranej już treści do właściwie skonstruowanej tabeli, w której umieścisz wszystkie wymagane informacje.

 

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!