당신은 주제를 찾고 있습니까 “rejestr czynności przetwarzania prowadzony przez administratora – Czynności przetwarzania. Rejestr czynności i procesy przetwarzania“? 다음 카테고리의 웹사이트 ppa.khunganhtreotuong.vn 에서 귀하의 모든 질문에 답변해 드립니다: https://ppa.khunganhtreotuong.vn/blog/. 바로 아래에서 답을 찾을 수 있습니다. 작성자 GDPR Risk Tracker 이(가) 작성한 기사에는 조회수 548회 및 좋아요 10개 개의 좋아요가 있습니다.
Table of Contents
rejestr czynności przetwarzania prowadzony przez administratora 주제에 대한 동영상 보기
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
d여기에서 Czynności przetwarzania. Rejestr czynności i procesy przetwarzania – rejestr czynności przetwarzania prowadzony przez administratora 주제에 대한 세부정보를 참조하세요
Racjonalne podejście do bezpieczeństwa przetwarzania danych to klucz. Na warsztatach online z cyklu 🔎\”ANALIZA RYZYKA. RODO pod kontrolą\” regularnie we wtorki przybliżamy podejście oparte na ryzyku jako naczelną regulację i zasadę wynikającą z Rozporządzenia o ochronie danych osobowych.
20 kwietnia 2021 r. odbył się warsztat pt. \”Czynności przetwarzania. Jak konstruować rejestr czynności przetwarzania? Jak wydzielać procesy przetwarzania?\”
Radca prawny dr Dominik Lubasz przedstawił:
• Jak wydzielać czynności przetwarzania?
• Jakie metody podziału można zastosować?
• Metoda funkcjonalna i podejście oparte na ryzyku
• Narzędzia do prowadzenia Rejestru Czynności Przetwarzania i Analizy ryzyka
• Zapraszamy na kolejne wtorkowe warsztaty! •
Rejestracja oraz szczegóły dostępne na stronie https://gdprrisktracker.pl/baza-wiedzy/warsztaty/
__________________________
Facebook: https://www.facebook.com/GDPRRiskTracker
WWW: https://gdprrisktracker.pl/
rejestr czynności przetwarzania prowadzony przez administratora 주제에 대한 자세한 내용은 여기를 참조하세요.
Czym jest rejestr czynności przetwarzania?
Za prowadzenie rejestru czynności przetwarzania danych jest odpowiedzialny administrator danych osobowych (ADO), czyli osoba fizyczna lub prawna, organ …
Source: www.politykabezpieczenstwa.pl
Date Published: 1/16/2021
View: 5103
Rejestr czynności przetwarzania danych – GDPR.pl
imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – …
Source: gdpr.pl
Date Published: 4/21/2022
View: 4487
Rejestrowanie czynności przetwarzania – – UODO
Ze względu na różnorodność administratorów, sektorów, w których … Rejestr czynności przetwarzania trzeba jednak prowadzić jedynie dla tych …
Source: uodo.gov.pl
Date Published: 10/4/2021
View: 5789
Rejestr czynności przetwarzania danych osobowych w praktyce
imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – gdy ma to zastosowanie – …
Source: grantthornton.pl
Date Published: 7/12/2022
View: 318
Rejestr czynności przetwarzania – przykład – LexDigital
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO spoczywa na administratorze danych oraz …
Source: lexdigital.pl
Date Published: 2/7/2022
View: 9788
Rejestr kategorii czynności przetwarzania według RODO
30 ust. 2 RODO, każdy z tych podmiotów ma obowiązek prowadzenia rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora …
Source: blog-daneosobowe.pl
Date Published: 1/25/2021
View: 3736
Rejestr czynności przetwarzania – kogo dotyczy obowiązek?
Rejestr czynności przetwarzania danych, to obowiązkowy element wynikający z 82 art. RODO. Na jego podstawie, administrator danych/ podmiot przetwarzający, są …
Source: logsystem.pl
Date Published: 5/6/2021
View: 5459
Kto musi prowadzić rejestr czynności przetwarzania (RCP)?
Czy tylko administrator danych osobowych musi rejestrować …
Source: orodo.pl
Date Published: 12/21/2022
View: 7147
주제와 관련된 이미지 rejestr czynności przetwarzania prowadzony przez administratora
주제와 관련된 더 많은 사진을 참조하십시오 Czynności przetwarzania. Rejestr czynności i procesy przetwarzania. 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
주제에 대한 기사 평가 rejestr czynności przetwarzania prowadzony przez administratora
- Author: GDPR Risk Tracker
- Views: 조회수 548회
- Likes: 좋아요 10개
- Date Published: 2021. 4. 20.
- Video Url link: https://www.youtube.com/watch?v=7_B3YNww8Cg
Czy rejestr czynności przetwarzania danych osobowych musi być prowadzony przez administratora?
Zgodnie z art. 30 ust. 1 rozporządzenia, każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora, ma obowiązek prowadzenia i aktualizowania rejestru czynności przetwarzania danych osobowych.
Czy po wprowadzeniu RODO administrator jest zobowiązany do prowadzenia rejestru czynności przetwarzania danych osobowych?
Rejestr czynności przetwarzania danych, to obowiązkowy element wynikający z 82 art. RODO. Na jego podstawie, administrator danych/ podmiot przetwarzający, są zobowiązani do przekazania rejestru organowi nadzorczemu (w PL – Urząd Ochrony Danych Osobowych), za każdym razem gdy organ tego zażąda.
Kto jest zobowiazany do prowadzenia rejestru czynnosci przetwarzania danych?
Art. 30 ust. 5 RODO, co do zasady wskazuje, że tylko przedsiębiorcy zatrudniający, co najmniej 250 osób są zobowiązani do prowadzenia rejestru czynności przetwarzania danych.
Kto jest odpowiedzialny za zarządzanie wszystkimi aspektami czynności przetwarzania danych osobowych i ich dokumentacja w zakresie swoich obowiązków?
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO spoczywa na administratorze danych oraz podmiocie przetwarzającym dane (lub, jeżeli ma to zastosowanie, na przedstawicielach tych podmiotów).
Jakie podmioty powinny posiadać Rcpdo?
Warto przypomnieć, że przepisom RODO podlega każdy podmiot, który przetwarza dane osobowe osób fizycznych, w tym przedsiębiorcy przetwarzający i przechowujący dane osobowe swoich klientów czy pracowników.
Kto może być administratorem danych osobowych?
Administratorem danych jest każda osoba fizyczną lub prawna, organ publiczny, bądź inna jednostka lub podmiot, który samodzielnie lub wspólnie z innymi administratorami ustala cele i sposoby przetwarzania danych osobowych.
Czy prowadzony jest RCP?
Forma prowadzenia Rejestru Czynności Przetwarzania RCP
Rejestr może być bowiem prowadzony w formie pisemnej, w tym elektronicznej. Istotne jest to, aby rejestr czynności był na bieżąco aktualizowany, a jego zawartość odpowiednio chroniona przed nieuprawnionymi osobami.
Jakie są obowiązki administratora danych osobowych?
zapewnić kontrole nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. zapewnić, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie, które ADO nadaje. prowadzić rejestr osób upoważnionych do przetwarzania danych osobowych.
Czy rejestr czynności przetwarzania jest jawny?
Niestety polski ustawodawca wprost nie przewidział w zakresie rejestru czynności przetwarzania objęcia go tajemnicą prawnie chronioną (np. tajemnicą przedsiębiorstwa), co byłoby dalece wskazane. Reasumując, rejestr nie jest jawny.
Jakie są czynności przetwarzania danych osobowych?
Operacje przetwarzania zostały zdefiniowane w art. 4 pkt 2 RODO i są to m.in. zbieranie, porządkowanie, usuwanie danych osobowych. Z kolei na czynności przetwarzania należy patrzeć przez pryzmat celu, dla którego dane osobowe są przetwarzane.
Co to jest Rejestr kategorii czynności przetwarzania?
Rejestr kategorii czynności przetwarzania stanowi podstawową dokumentację podmiotu przetwarzającego, związaną z przetwarzaniem przez niego danych osobowych w imieniu innych podmiotów. Rejestr jest nowym rodzajem dokumentu wprowadzonym przez przepisy RODO.
Które czynności to przetwarzanie danych osobowych?
Za przetwarzanie danych osobowych może zostać uznana każda operacja lub zestaw operacji dokonywanych na danych osobowych lub na zestawach tych danych. Dokonywana czynność nie musi być explicite wymieniona w treści RODO, może ona odbywać się w sposób zautomatyzowany (np. w systemach informatycznych) lub tradycyjny (np.
Kto w jednostce powinien prowadzić rejestr czynności przetwarzania danych?
W przypadku rejestru kategorii czynności przetwarzania danych osobowych zobowiązany do jego prowadzenia jest podmiot przetwarzający dane w imieniu ADO, oraz podobnie jak w powyższym przypadku, jego przedstawiciel o ile został wyznaczony.
Kiedy nie stosuje się RODO?
RODO nie stosuje się, gdy: osoba, której dane dotyczą, nie żyje. osoba, której dane dotyczą, jest osobą prawną dane są przetwarzane w celach niezwiązanych z działalnością handlową, gospodarczą lub zawodową osoby przetwarzającej dane.
Kiedy administrator danych może przetwarzać dane osobowe?
Zgoda. Po pierwsze, dane osobowe można legalnie przetwarzać, kiedy osoba, której dane dotyczą świadomie wyraziła zgodę na rozpoczęcie czynności przetwarzania. Zgoda taka powinna być odebrana we właściwy sposób, zgodnie z przepisami unijnymi (RODO) oraz obowiązującą w Polsce ustawą o ochronie danych osobowych (UODO).
Kto to jest podmiot przetwarzający dane osobowe?
Podmiot przetwarzający (procesor)
Zgodnie z treścią przywołanego przepisu jest nim osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Jakie są zasady prowadzenia Rcpdo?
Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane.
Kto to jest inspektor ochrony danych osobowych?
Inspektor Ochrony Danych to to osoba powoływana przez administratora lub podmiot przetwarzający (procesor), do której obowiązków należy pomoc przy przestrzeganiu w firmie lub organizacji przepisów o ochronie danych osobowych.
Kogo dotyczy ustawa RODO?
…
Przykładem takich operacji jest:
- Zbieranie,
- Utrwalanie,
- Organizowanie,
- Przechowywanie,
- Pobieranie,
- Przeglądanie,
- Oraz inne wykorzystywanie danych osobowych.
Bezpieczeństwo w firmie Czym jest rejestr czynności
Dorota Kraskowska
/
16 października 2020
RODO wyróżnia dwa rodzaje rejestrów: czynności przetwarzania i kategorii czynności przetwarzania. Do prowadzenia pierwszego zobowiązani są administratorzy danych. Taki rejestr zawiera informacje o przetwarzanych danych. Z kolei rejestr kategorii czynności przetwarzania prowadzą podmioty przetwarzające. Drugi rodzaj rejestru zawiera m.in. informacje na temat rodzaju operacji wykonywanych na danych osobowych, jaki jest ich zakres oraz w imieniu jakich administratorów przetwarzane są dane osobowe.
Oba rejestry mają formę pisemną, w tym elektroniczną.
Rejestr czynności przetwarzania
Zgodnie z art. 30 ust. 1 rozporządzenia, każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora, ma obowiązek prowadzenia i aktualizowania rejestru czynności przetwarzania danych osobowych. W takim rejestrze zamieszcza się następujące informacje:
imię i nazwisko lub nazwa oraz dane kontaktowe administratora, współadministratorów i inspektora danych osobowych,
cele przetwarzania danych osobowych,
opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
kategorie odbiorców, którym zostały udostępnione dane osobowe (lub będą udostępnione w przyszłości), w tym odbiorców w państwach trzecich i w międzynarodowych organizacjach,
informacje na temat przekazania danych osobowych do państwa trzeciego (z podaniem nazwy państwa) lub organizacji międzynarodowej(z podaniem nazwy organizacji), a w przypadku przekazań — dokumentacja odpowiednich zabezpieczeń,
planowane terminy usunięcia poszczególnych kategorii danych osobowych,
opis technicznych i organizacyjnych środków bezpieczeństwa zastosowanych wobec przetwarzanych danych osobowych.
Rejestr kategorii czynności przetwarzania
Zgodnie z art. 30 ust. 2 RODO, każdy podmiot przetwarzający dane ma obowiązek prowadzenia rejestru kategorii czynności przetwarzania. Podmiot przetwarzający dane przetwarza je w imieniu administratora. W takim rejestrze zamieszcza się następujące informacje:
Wyciekły w Twojej firmie dane osobowe możemy Ci pomóc w analizie i zgłoszeniu do UODO Sprawdź szczegóły
imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
informacje na temat przekazania danych osobowych do państwa trzeciego (z podaniem nazwy państwa) lub organizacji międzynarodowej (z podaniem nazwy organizacji), a w przypadku przekazań — dokumentacja odpowiednich zabezpieczeń,
opis technicznych i organizacyjnych środków bezpieczeństwa zastosowanych wobec przetwarzanych danych osobowych.
Jaki jest cel prowadzenia rejestrów?
Zgodnie z motywem 82 RODO, wyróżniamy dwa podstawowe cele prowadzenia rejestrów: zachowanie przez administratora i podmiot przetwarzający zgodności z przepisami RODO oraz umożliwienie organowi nadzorczemu monitorowania wszystkich procesów przetwarzania danych w organizacji. Administratorzy lub podmiot przetwarzające oraz – gdy ma to zastosowanie – ich przedstawiciele — mają obowiązek udostępnić rejestry na każde żądanie organu nadzorczego.
Rejestry ułatwiają stałą weryfikację działalności w zakresie przetwarzania danych osobowych — systematyzują wykonywane czynności przetwarzania oraz pomagają w monitoringu prowadzonych operacji przetwarzania danych osobowych pod względem zgodności zarówno z wymaganiami prawnymi, jak i z celami biznesowymi. Informacje zebrane w rejestrach mogą posłużyć również administratorom i podmiotom przetwarzającym do oceny, czy powinni spełnić inne obowiązki wynikające z RODO, np. przeprowadzenie oceny skutków przetwarzania dla ochrony danych osobowych (jeśli podmiot przetwarza szczególne kategorie danych osobowych).
Kto jest odpowiedzialny za rejestr czynności przetwarzania?
Obowiązek prowadzenia rejestru czynności przetwarzania należy prowadzić w następujących sytuacjach:
gdy przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
gdy przetwarzanie nie ma charakteru sporadycznego,
gdy przetwarzanie obejmuje szczególne kategorie danych osobowych (jak np. pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, dane na temat zdrowia, seksualności, orientacji seksualnej, dane genetyczne lub biometryczne) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
Przedsiębiorcy i podmioty zatrudniające mniej niż 250 osób nie mają obowiązku prowadzenia rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania, o ile przetwarzanie, którego dokonują nie dotyczy trzech wyżej wymienionych sytuacji.
Za prowadzenie rejestru czynności przetwarzania danych jest odpowiedzialny administrator danych osobowych (ADO), czyli osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot samodzielnie lub wspólnie z innymi ustalający cele i sposoby przetwarzania danych osobowych.
Za prowadzenie rejestru kategorii czynności przetwarzania jest odpowiedzialny podmiot przetwarzający dane w imieniu administratora, jak również — w określonych przypadkach — przedstawiciel tego podmiotu. Zgodnie z art. 27 RODO, obowiązek wyznaczenia przedstawiciela mają administratorzy i podmioty przetwarzające prowadzące czynności przetwarzania związane z oferowaniem produktów lub usług klientom w Unii Europejskiej, ale którzy nie mają jednostek organizacyjnych w UE.
Większość podmiotów przetwarzające będzie zobowiązana do prowadzenia zarówno rejestru kategorii czynności przetwarzania, jak i rejestru czynności przetwarzania danych (za które odpowiadają administratorzy).
Sprawozdanie Komisji Europejskiej: czy RODO pomaga nam w codziennym życiu? Rafał Stępniewski
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.
Rejestr czynności przetwarzania danych
RODO nakłada na administratora danych szereg obowiązków, w obszarze dokumentowania operacji przetwarzania danych osobowych.
Jednym z nich, o którym mówi art. 30 RODO jest obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Rozporządzenie wskazuje jakie informacje powinien zawierać rejestr i kto dokładnie jest zobowiązany do jego prowadzenia. Dzięki zestawieniu czynności w rejestrze administrator może określić inne obowiązki wynikające z RODO w odniesieniu do poszczególnych czynności w nim wskazanych.
Cel prowadzenia rejestru jest określony w motywie 82 RODO, który wskazuje dwie jego podstawowe funkcje:
Zachowanie przez administratora zgodności z RODO oraz
Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania
– czyli z wskazanymi w RODO zasadami i warunkami przetwarzania danych osobowych.
Prowadzony rejestr ma pozwolić usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych pod względem zgodności z celami biznesowymi, jak i wymaganiami prawnymi.
Z perspektywy organu nadzorczego, prowadzenie rejestru czynności przetwarzania ma ułatwić organowi kontrolę wszystkich czynności dotyczących danych osobowych prowadzonych przez organizację. Organ nadzorczy może wezwać do przedstawienia rejestru zarówno w ramach prowadzonej kontroli w organizacji, jak i w innych prowadzonych przez organ postępowaniach.
Zgodnie z ustępem 1 art. 30 RODO w rejestrze muszą się znaleźć takie informacje jak:
imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
cele przetwarzania;
opis kategorii osób, których dane dotyczą;
opis kategorii danych osobowych;
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
gdy ma to zastosowanie, dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a także opis odpowiednich zabezpieczeń;
planowane terminy usunięcia poszczególnych kategorii danych, jeżeli jest to możliwe;
jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Katalog informacji jaki musi znaleźć się w rejestrze czynności przetwarzania nie jest zamknięty i może zostać poszerzony o inne elementy, których dodanie administrator uzna za zasadne. Gdy mowa o kategorii odbiorców danych w rejestrze czynności przetwarzania chodzi o podmioty przetwarzające. Nie będą nimi np. pracownicy administratora, którzy działają z upoważnienia administratora, w jego imieniu i na jego polecenia, ale są wewnątrz jego struktury organizacyjnej.
Należy pamiętać, że obowiązek odnotowania w rejestrze odpowiednich zabezpieczeń jest przewidziany w sytuacji, kiedy przekazanie danych do państwa trzeciego lub organizacji międzynarodowej nie następuje na podstawie wydanej przez Komisję Europejską decyzji stwierdzającej adekwatny stopień ochrony w państwie trzecim lub organizacji międzynarodowej, ani z wykorzystaniem odpowiednich mechanizmów ochrony.
W rejestrze czynności przetwarzania zamieszcza się – jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Opis może mieć charakter ogólny i wskazywać najważniejsze założenia czy elementy przyjętych systemów lub koncepcji w zakresie bezpieczeństwa danych osobowych. Jest to uzasadnione zwłaszcza w przypadkach, gdy koncepcje te obejmują wiele elementów i rozwiązań, które uszczegółowione są w innym miejscu, np. konkretnej dokumentacji, polityce lub procedurach.
Prowadzenie rejestru czynności przetwarzania jest zobowiązaniem administratora danych. Rejestr czynności przetwarzania danych musi być prowadzony przez administratora zatrudniającego od 250 osób.
Podmioty, które są administratorami danych, ale które zatrudniają mnie niż 250 są zobowiązane do prowadzenia rejestru gdy przetwarzanie:
może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
nie ma charakteru sporadycznego,
obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
Stwierdzenie w organizacji, którejkolwiek z wymienionych sytuacji spowoduje konieczność prowadzenia rejestru czynności przez administratora. W takim przypadku prowadzony rejestr czynności przetwarzania należy prowadzić jedynie dla tych wskazanych powyżej rodzajów przetwarzania.
Zgodnie z art. 30 ust. 3 RODO rejestr powinien być prowadzony w formie pisemnej. Przy czym może być on prowadzony zarówno w postaci papierowej jak i elektronicznej.
Rejestrowanie czynności przetwarzania
Poradnik Prezesa UODO
Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności lub rejestru kategorii czynności. Art. 30 RODO wskazuje ich obligatoryjne składniki, niemniej przepis ten może budzić wątpliwości co do znaczenia poszczególnych użytych w jego treści pojęć oraz sposobu wykonania tego obowiązku.
W celu ułatwienia realizacji tego zadania Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), przygotował szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami ich uzupełnienia oraz wyjaśnienia dotyczące sposobu realizacji tego obowiązku.
Przedstawionych szablonów rejestrów nie należy traktować jako jedynych prawidłowych wzorów. Ze względu na różnorodność administratorów, sektorów, w których działają i procesów przetwarzania danych, które prowadzą oraz innych czynników, w praktyce może występować wiele różnych modeli (struktur) rejestru czynności. Ważne, żeby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić wymagane w art. 30 ust. 1 i 2 RODO elementy w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych, w sposób czytelny i przejrzysty.
Stanowisko Grupy Art. 29
14 maja 2018 r. Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych – EROD) przyjęła stanowisko, w którym wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania.
W związku z licznymi pytaniami kierowanymi do krajowych organów nadzorczych przez przedsiębiorców, Grupa Robocza Art. 29, skupiająca unijnych rzeczników ochrony danych osobowych, w tym Prezesa UODO (dawniej GIODO), przyjęła stanowisko, w którym wskazuje, w jakich przypadkach administratorzy lub podmioty przetwarzające zatrudniające mniej niż 250 pracowników, muszą prowadzić rejestr czynności przetwarzania.
Obowiązek ten trzeba realizować, gdy przetwarzanie:
może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
nie ma charakteru sporadycznego,
obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
Przy czym dla jego powstania wystarczy, że zachodzi którakolwiek z tych sytuacji samodzielnie.
Rejestr czynności przetwarzania trzeba jednak prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania.
Jako przykład Grupa Robocza Art. 29 podaje przypadek małej organizacji, która najprawdopodobniej systematycznie przetwarza dane dotyczące swoich pracowników. Jak wskazuje, „w rezultacie takie przetwarzanie nie może być uznane za „sporadyczne” i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. Jednak inne czynności przetwarzania, które w rzeczywistości mają charakter „sporadyczny”, nie muszą być zawarte w rejestrze czynności przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób fizycznych, i nie obejmują szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych”.
Bezpieczeństwo w firmie Czym jest rejestr czynności
Dorota Kraskowska
/
16 października 2020
RODO wyróżnia dwa rodzaje rejestrów: czynności przetwarzania i kategorii czynności przetwarzania. Do prowadzenia pierwszego zobowiązani są administratorzy danych. Taki rejestr zawiera informacje o przetwarzanych danych. Z kolei rejestr kategorii czynności przetwarzania prowadzą podmioty przetwarzające. Drugi rodzaj rejestru zawiera m.in. informacje na temat rodzaju operacji wykonywanych na danych osobowych, jaki jest ich zakres oraz w imieniu jakich administratorów przetwarzane są dane osobowe.
Oba rejestry mają formę pisemną, w tym elektroniczną.
Rejestr czynności przetwarzania
Zgodnie z art. 30 ust. 1 rozporządzenia, każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora, ma obowiązek prowadzenia i aktualizowania rejestru czynności przetwarzania danych osobowych. W takim rejestrze zamieszcza się następujące informacje:
imię i nazwisko lub nazwa oraz dane kontaktowe administratora, współadministratorów i inspektora danych osobowych,
cele przetwarzania danych osobowych,
opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
kategorie odbiorców, którym zostały udostępnione dane osobowe (lub będą udostępnione w przyszłości), w tym odbiorców w państwach trzecich i w międzynarodowych organizacjach,
informacje na temat przekazania danych osobowych do państwa trzeciego (z podaniem nazwy państwa) lub organizacji międzynarodowej(z podaniem nazwy organizacji), a w przypadku przekazań — dokumentacja odpowiednich zabezpieczeń,
planowane terminy usunięcia poszczególnych kategorii danych osobowych,
opis technicznych i organizacyjnych środków bezpieczeństwa zastosowanych wobec przetwarzanych danych osobowych.
Rejestr kategorii czynności przetwarzania
Zgodnie z art. 30 ust. 2 RODO, każdy podmiot przetwarzający dane ma obowiązek prowadzenia rejestru kategorii czynności przetwarzania. Podmiot przetwarzający dane przetwarza je w imieniu administratora. W takim rejestrze zamieszcza się następujące informacje:
Wyciekły w Twojej firmie dane osobowe możemy Ci pomóc w analizie i zgłoszeniu do UODO Sprawdź szczegóły
imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
informacje na temat przekazania danych osobowych do państwa trzeciego (z podaniem nazwy państwa) lub organizacji międzynarodowej (z podaniem nazwy organizacji), a w przypadku przekazań — dokumentacja odpowiednich zabezpieczeń,
opis technicznych i organizacyjnych środków bezpieczeństwa zastosowanych wobec przetwarzanych danych osobowych.
Jaki jest cel prowadzenia rejestrów?
Zgodnie z motywem 82 RODO, wyróżniamy dwa podstawowe cele prowadzenia rejestrów: zachowanie przez administratora i podmiot przetwarzający zgodności z przepisami RODO oraz umożliwienie organowi nadzorczemu monitorowania wszystkich procesów przetwarzania danych w organizacji. Administratorzy lub podmiot przetwarzające oraz – gdy ma to zastosowanie – ich przedstawiciele — mają obowiązek udostępnić rejestry na każde żądanie organu nadzorczego.
Rejestry ułatwiają stałą weryfikację działalności w zakresie przetwarzania danych osobowych — systematyzują wykonywane czynności przetwarzania oraz pomagają w monitoringu prowadzonych operacji przetwarzania danych osobowych pod względem zgodności zarówno z wymaganiami prawnymi, jak i z celami biznesowymi. Informacje zebrane w rejestrach mogą posłużyć również administratorom i podmiotom przetwarzającym do oceny, czy powinni spełnić inne obowiązki wynikające z RODO, np. przeprowadzenie oceny skutków przetwarzania dla ochrony danych osobowych (jeśli podmiot przetwarza szczególne kategorie danych osobowych).
Kto jest odpowiedzialny za rejestr czynności przetwarzania?
Obowiązek prowadzenia rejestru czynności przetwarzania należy prowadzić w następujących sytuacjach:
gdy przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
gdy przetwarzanie nie ma charakteru sporadycznego,
gdy przetwarzanie obejmuje szczególne kategorie danych osobowych (jak np. pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, dane na temat zdrowia, seksualności, orientacji seksualnej, dane genetyczne lub biometryczne) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
Przedsiębiorcy i podmioty zatrudniające mniej niż 250 osób nie mają obowiązku prowadzenia rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania, o ile przetwarzanie, którego dokonują nie dotyczy trzech wyżej wymienionych sytuacji.
Za prowadzenie rejestru czynności przetwarzania danych jest odpowiedzialny administrator danych osobowych (ADO), czyli osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot samodzielnie lub wspólnie z innymi ustalający cele i sposoby przetwarzania danych osobowych.
Za prowadzenie rejestru kategorii czynności przetwarzania jest odpowiedzialny podmiot przetwarzający dane w imieniu administratora, jak również — w określonych przypadkach — przedstawiciel tego podmiotu. Zgodnie z art. 27 RODO, obowiązek wyznaczenia przedstawiciela mają administratorzy i podmioty przetwarzające prowadzące czynności przetwarzania związane z oferowaniem produktów lub usług klientom w Unii Europejskiej, ale którzy nie mają jednostek organizacyjnych w UE.
Większość podmiotów przetwarzające będzie zobowiązana do prowadzenia zarówno rejestru kategorii czynności przetwarzania, jak i rejestru czynności przetwarzania danych (za które odpowiadają administratorzy).
Sprawozdanie Komisji Europejskiej: czy RODO pomaga nam w codziennym życiu? Rafał Stępniewski
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.
Rejestr czynności przetwarzania
Rozporządzenie o Ochronie Danych Osobowych weszło w życie 25 maja 2018 roku i jak dotąd, nieustannie powraca jako temat gorących dyskusji, szczególnie w kręgach biznesowych. Jednym z poruszanych aspektów, jest obowiązek nałożony na podmioty, które przetwarzają dane oraz ich administratorów – obowiązek prowadzenie rejestrów czynności przetwarzania danych. Temat wydaje się trochę skomplikowany, dlatego postaramy się dokładnie wyjaśnić, o co chodzi.
Rejestr czynności przetwarzania danych w RODO
RODO samo w sobie zmieniło perspektywę patrzenia na bezpieczeństwo przetwarzanych danych, wymuszając liczne zmiany formalne i proceduralne w organizacjach. Po dokładnym zapoznaniu się z zapisami Rozporządzenia, można dostrzec, że ten element ma logiczne uzasadnienie. Artykuł 82 RODO określa dwa cele takiego rejestru:
zachowanie zgodności pomiędzy środkami ochrony danych a obowiązującymi przepisami (dotyczy administratorów danych),
umożliwienie monitorowania operacji przetwarzania danych organowi nadzorczemu (dla Polski to Urzęd Ochrony Danych Osobowych).
W ramach tego zapisu, czynności przetwarzania mogą być opisywane zbiorczo, tzn. uwzględniać kolektywnie działania z danej grupy, np. sprzedaż towarów, proces zatrudnienia pracowników, działania marketingowe itp. Rejestr jest więc spisem osób, procesów, danych i procedur, które odbywają się w ramach ich przetwarzania.
Rejestr czynności przetwarzania danych – kogo dotyczy?
Przepisy RODO zawarte w art. 30 ust. 5 jasno wskazują, w jakich przypadkach przedsiębiorcy i inne podmioty są zobowiązani do prowadzenia rejestrów czynności przetwarzania. Przedsiębiorcy powinni rozważyć wprowadzenie powyższego rejestru w celu spełnienia tego obowiązku. Dotyczy to także mikro i małych firm zatrudniających pojedyncze osoby, z racji styczności z danymi szczególnymi. Do prowadzenia rejestru zobligowani są przedsiębiorcy, którzy:
często przetwarzają dane,
przetwarzają dane osobowe obejmujące szczególne kategorie danych (dane biometryczne, dane dotyczące zdrowia, związki zawodowe, itp.),
prowadzą przetwarzanie danych, gdzie istnieje ryzyko naruszenia praw lub wolności osób poddawanych temu procesowi,
zatrudniają więcej niż 250 osób.
Rejestr czynności przetwarzania danych – co powinien zawierać
W konsekwencji przepisów zawartych w RODO, podmioty przetwarzające dane są zobligowane do prowadzenia rejestrów czynności przetwarzania. Rejestr prowadzony przez administratora danych, będzie miał mniejszy zakres niż podmiot przetwarzający. Wynika to z zależności między tymi dwoma instytucjami. Podmiot działa na zlecenie administratora i przetwarza dane w podanym przez niego zakresie.
RODO jasno określa, administratora jako osobę fizyczną lub prawną (także jednostkę, podmiot lub organ publiczny), która ustala cele i sposoby przetwarzania danych osobowych. Z perspektywy rozporządzenia, administratorami będą również przedsiębiorcy, którzy dodatkowo mają obowiązek prowadzenia i zawarcia w rejestrze poniższych informacji:
dane administratorów, inspektora danych osobowych (dane osobowe i kontaktowe),
cel przetwarzania danych,
opis grupy osób, których dane będą przetwarzane,
kategorie danych osobowych, które w danym procesie będą przetwarzane,
kategorie odbiorców tych danych (komu będą ujawniane),
przypuszczalne terminy usunięcia wybranych kategorii danych po ich przetworzeniu,
ogólny opis środków bezpieczeństwa przetwarzania danych (elementy techniczne i organizacyjne).
Wymienione elementy nie stanowią całego katalogu informacji, które powinny znaleźć się w rejestrze. Jest to zbiór otwarty, a co za tym idzie, przedsiębiorca może zamieścić w nim dane wychodzące poza obowiązkowy spis wynikający z RODO. Dotyczy to np. danych, które mogą wprowadzić ułatwienia organizacyjne lub przetwarzane kategorie o szczególnym charakterze. Te informacje są obligatoryjne.
Forma prowadzenia rejestru czynności przetwarzania
Na podstawie przepisów zawartych w art. 30 ust. 3 RODO, wiemy że rejestry mają przyjmować pisemną formę, z uwzględnieniem formy elektronicznej. Dzięki temu przedsiębiorca ma większą elastyczność w tym zakresie. Wersja elektroniczna, wydaje się najwygodniejszym rozwiązaniem, głównie ze względu na możliwości edycji konkretnych fragmentów w dowolnym czasie. Aby uzyskać przejrzystość rejestru, warto stworzyć tabelę zawierającą wszystkie wymagane elementy w programie tekstowym (np. typu Excel), jego odpowiedniku lub zastosować gotowe narzędzia zawarte w programach/ platformach do zarządzania i przesyłania danych firmowych.
Nie ma bezpośrednich wskazań, by dokumenty elektroniczne musiały być jednocześnie zbierane w formie wydrukowanej. Warto jednak w regularnych interwałach tworzyć kopie zapasowe. Szczególnie dotyczy to rejestru czynności przetwarzania danych i pozostałej dokumentacji nt. ochrony danych osobowych w organizacji. W mikro i małych przedsiębiorstwach, które przetwarzają małą ilość danych osobowych i poruszają się w stałych obszarach działania, można zrezygnować z formy elektronicznej i ograniczyć się do metody pisemnej.
Rejestr czynności przetwarzania danych w RODO – podsumowanie
Rejestr czynności przetwarzania danych, to obowiązkowy element wynikający z 82 art. RODO. Na jego podstawie, administrator danych/ podmiot przetwarzający, są zobowiązani do przekazania rejestru organowi nadzorczemu (w PL – Urząd Ochrony Danych Osobowych), za każdym razem gdy organ tego zażąda. Odmówienie udostępnienia lub brak prowadzenia rejestru dla UODO, może wiązać się z sankcjami i karami finansowymi dla organizacji. Należy jednocześnie pamiętać, że choć przedsiębiorcy są zobligowani do tego formalnie, cały proces rejestrowania czynności przetwarzania danych, ma na celu dobro użytkowników udostępniających te dane.
Kiedy przedsiębiorca musi prowadzić obowiązkowy rejestr czynności przetwarzania danych osobowych bądź rejestr kategorii czynności w przedsiębiorstwie – jak prowadzić takie rejestry
Porada powstała w ramach działalności non-profit Fundacji Akademia Liderów.
mikroPorady.pl są projektem Fundacji, który pomaga polskim mikroprzedsiębiorcom na każdym etapie prowadzenia działalności.
Ty też możesz pomóc w rozwoju polskiej mikroprzedsiębiorczości.
Wpłać darowiznę na rzecz Fundacji
Ważne: Z uwagi na obowiązujące Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO) oraz ustawą wdrażającą z dnia 10 maja 2018 r. o ochronie danych osobowych, przedsiębiorcy są zobowiązani do spełnienia nowego obowiązku tj. prowadzenia rejestru czynności przetwarzania danych osobowych. Jest to istotny element dokumentacji danych osobowych wymaganej przez unijne rozporządzenie RODO. Prowadzenie rejestru będzie obowiązkowe dla wszystkich podmiotów, które zatrudniają, co najmniej 250 osób. Jednakże także mniejsi przedsiębiorcy również będą musieli prowadzić ww. rejestr, jeżeli m.in. przetwarzanie, którego dokonują, nie będzie miało charakteru tylko sporadycznego lub obejmować będzie szczególne kategorie danych (np. o stanie zdrowia, przynależność do związków zawodowych). Może to, bowiem powodować naruszenie praw lub wolności osób. W niniejszej poradzie dowiesz się m.in., co to jest rejestr czynności przetwarzania oraz jakie czynności przetwarzania należy uwzględnić w rejestrze.
1. Przetwarzanie danych osobowych
W pierwszej kolejności wskazać należy, że zgodnie z art. 4 pkt 2 RODO przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych. W zasadzie każda czynność mająca za przedmiot dane osobowe, może zostać uznana za przetwarzanie danych osobowych np. przekazywanie danych innym pracownikom w okresie dysponowania nimi dla celu, w którym udostępniono te dane (np. cv do czasu rozmowy kwalifikacyjnej).
Dane osobowe muszą być oczywiście zawsze przetwarzane zgodnie z określonymi zasadami, o których mówi art. 5 ust 1 RODO, a mianowicie:
przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Warto również wskazać, że przepisy RODO określają przypadki, w których przetwarzanie danych osobowych jest dopuszczalne (art. 6 ust.1), są to m.in.:
osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
2. Administrator danych osobowych (ADO)
Następnie trzeba wskazać na podmiot obowiązany. Rozporządzenie RODO wprowadziło nową instytucję administratora danych osobowych (ADO). Zgodnie z art. 4 ust. 7, administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Funkcję ADO w przedsiębiorstwie może pełnić dotychczasowy administrator lub też osoba nowo zatrudniona w firmie do pełnienia tej funkcji. W małych przedsiębiorstwach administratorem danych będzie sam przedsiębiorca chyba, że powierzy pełnienie funkcji ADO np. swojemu dyrektorowi/kierownikowi zakładu. Podstawowe obowiązki administratora wg. przepisów RODO to m.in.:
wdrażanie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem RODO w sposób mogący to wykazać,
środki techniczne i organizacyjne, o których mowa wyżej powinny być w razie potrzeby poddawane przeglądom i uaktualniane,
środki techniczne i organizacyjne obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
stosowanie zatwierdzonych kodeksów postępowania, lub zatwierdzonego mechanizmu certyfikacji, które mogą być wykorzystane, jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków
prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych;
zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru danych osobowych oraz komu dane te są przekazywane;
prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych (z uwzględnieniem: imienia i nazwiska osoby upoważnionej, zakresu upoważnienia do przetwarzania danych osobowych, nr identyfikatora);
powołanie Inspektora Ochrony Danych Osobowych (IODO) w przypadku, jeżeli przepisy do tego zobowiązują;
zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem oraz przetwarzaniem z naruszeniem rozporządzenia.
Ponadto administrator danych ADO decyduje o tym, jakie informacje zbiera, do czego je przetwarza i czy przetwarza je sam czy za pośrednictwem osoby przez niego upoważnionej (np. pracownik) lub powierza je podmiotom zewnętrznym (na podstawie umowy o powierzenie danych osobowych). Jednakże zawsze, ma obowiązek przetwarzania pozyskanych danych tylko w sposób uregulowany przepisami prawa, mając na celu ochronę interesów osób, których one dotyczą. ADO jest również obowiązany do informowania o przetwarzaniu pozyskanych danych, o sposobie ich zabezpieczenia, zgodnie z przepisami RODO.
3. Co to jest rejestr czynności przetwarzania.
Rozporządzenie RODO wprowadza obowiązek, jakim jest prowadzenie rejestru czynności przetwarzania, który zastępuje wcześniejszy obowiązek zgłaszania zbiorów danych do GIODO. Obowiązek ten dotyczy nie tylko administratorów danych ADO, ale również podmiotów przetwarzających dane w imieniu administratorów. Taki rejestr jest wewnętrznym, firmowym dokumentem, który zalicza się t.zw. ksiąg przedsiębiorstwa, czyli dokumentacji też pracowniczej (obok np. handlowej, księgowej i innych) można prowadzić zarówno w formie elektronicznej czy pisemnej. Zgodnie z art. 30 ust. 1 RODO w rejestrze przetwarzania powinny się znaleźć m.in.:
imię i nazwisko lub nazwa oraz dane kontaktowe administratora, a także, gdy ma to zastosowanie inspektora ochrony danych;
cele przetwarzania;
opis kategorii osób, których dane dotyczą (np. użytkownicy aplikacji);
opis kategorii danych osobowych (np. imię i nazwisko);
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich;
jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. RODO.
Wskazać również należy, że rejestr czynności przetwarzania pełni funkcję swego rodzaju ewidencji, w którym administrator umieszcza informacje o tym:
czyje dane przetwarza z podziałem na kategorie osób, których dane dotyczą;
jakie to są dane tj. wskazanie kategorii danych;
w jakim celu dane są przetwarzane;
komu są ujawnianie tj. wskazanie kategorii odbiorców;
czy dane są przekazywane do państw trzecich;
jak długo dane są przechowywane oraz w jaki sposób są zabezpieczane.
Powyższy obowiązek dot. również podmiotów zewnętrznych, którym administratorzy zlecają na swój rachunek przetwarzanie danych osobowych. Zakres informacji zamieszczanych w rejestrze przez podmiot przetwarzający jest trochę inny i zgodnie z art. 30 ust. 2 powinien zawierać:
imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu, którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Należy również wskazać, że rejestr czynności przetwarzania powinien być w należyty sposób zabezpieczony. Kwestią wdrożenia odpowiednich środków technicznych, które zabezpieczą przetwarzanie danych w firmie musi zająć się oczywiście administrator. Zgodnie z art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
pseudonimizację i szyfrowanie danych osobowych;
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
4. Obowiązek prowadzenia rejestru.
Art. 30 ust. 5 RODO, co do zasady wskazuje, że tylko przedsiębiorcy zatrudniający, co najmniej 250 osób są zobowiązani do prowadzenia rejestru czynności przetwarzania danych. Jednakże obowiązek ten został także nałożony na przedsiębiorców, którzy zatrudniają mniej niż 250 osób, w sytuacji, gdy:
przedsiębiorca przetwarza dane w taki sposób, że może to powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
przetwarzanie nie ma charakteru sporadycznego;
przetwarzanie obejmuje szczególne kategorie danych osobowych (np. dane dotyczące zdrowia, poglądów politycznych itp.) lub dane dotyczące wyroków skazujących i czynów zabronionych.
Wskazać należy, że dla powstania powyższego obowiązku wystarczy, że zachodzi jedna z tych sytuacji samodzielnie. Jednakże sam rejestr czynności przetwarzania trzeba prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania. Przykładem może być małe przedsiębiorstwo, które systematycznie przetwarza dane dotyczące swoich pracowników. W związku z tym takie przetwarzanie nie będzie sporadyczne i będzie musiało zostać zawarte w rejestrze czynności przetwarzania. Natomiast inne czynności przetwarzania, które będą mieć charakter sporadyczny, nie będą musiały być zawarte w rejestrze czynności przetwarzania. Jednak tylko pod warunkiem, że będzie mało prawdopodobne, aby powodowało to ryzyko naruszenia praw lub wolności osób fizycznych, oraz nie będą to szczególne kategorii danych lub danych osobowych dotyczące wyroków skazujących i czynów zabronionych.
5. Przechowywanie danych osobowych – tworzenie zbiorów danych.
Przepisy RODO nie zawierają konkretnych wytycznych, które odnoszą się do sposobu przechowywania danych osobowych oraz prowadzenia dokumentacji przetwarzania danych osobowych, jak również jej zawartości. Nie oznacza to jednak, że administrator nie jest zobowiązany do posiadania żadnej dokumentacji w tym zakresie. Przepisy RODO nie określają wymagań dotyczących dokumentacji przetwarzania danych osobowych. Dają w tym zakresie dużą swobodę administratorom danych. Administrator może dowolnie kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przechowywania danych. Jednakże w przepisach RODO zostały ujęte pewne wymagania formalne dotyczące zakresu dokumentowania danych, są to m.in.:
prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
zgłaszanie naruszenia ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.
Przechowywanie danych jest to swojego rodzaju utrzymywanie zapisów w zbiorach danych (jak np. rejestry, kartoteki, wykazy). Takie zbiory umożliwiają korzystanie w rozumieniu definicji przetwarzania, przekazywanie, czyli udostępnianie uprawnionym pracownikom (sprzedawcom, akwizytorom tj. zaufanym partnerom), jak i podmiotom, z którymi przedsiębiorca współpracuje, czyli np. firmom transportowym czy serwisowym. Może również nastąpić ograniczanie utrzymania zapisów, które stanowią jedynie zarchiwizowanie danych nie dla przetwarzania, a z ostrożności w związku z terminami możliwych roszczeń z tytułu szkód na zasadach ogólnych lub gdy wynika to bezpośrednio z ustawy jak np. przepisy kodeksu pracy czy ustaw dotyczących ubezpieczeń społecznych nakładają na pracodawcę obowiązek przechowywania zbiorów dokumentacji personalnej, której okres wynosi 50 lat od dnia zakończenia stosunku pracy, jak również dokumentacji płacowej pracownika, licząc od dnia jej wytworzenia.
Pamiętać należy, że aby tworząc zbiory danych, niezależnie od ich formatowania i nośników, zawsze uwzględniać dwa podstawowe kryteria:
czasu, przez jaki przedsiębiorca może je przechowywać:
– na czas niezbędny dla realizacji transakcji;
– na czas, w którym z tytułu transakcji mogą powstać obowiązki dla przedsiębiorcy (rękojmie, gwarancje, odpowiedzialność za produkt niebezpieczny);
– na czas nieograniczony;
możliwość i zakres przetwarzania, w tym udostępniania osobom trzecim.
Warto również pamiętać, że jeżeli chodzi o dozwolone przetwarzanie, to można je podzielić na następujące kryteria:
jedynie dla potrzeb tej jednej transakcji;
dla potrzeb innych transakcji z danym podmiotem (kontrahentem, klientem) bez możliwości wykorzystania we własnej działalności marketingowej oraz w celach reklamowych;
dla wykorzystania w celach marketingu i reklamy, ale tylko produktów przedsiębiorcy i dla danej osoby;
dla wykorzystania danych do przekazywania cenników i reklam innych produktów, podmiotów, według klucza branżowego lub zadeklarowanych zainteresowań;
zgoda na przetwarzanie, udostępnianie bez ograniczeń.
6. Podsumowanie
Podsumowując przedsiębiorcy w swoich firmach powinni na pewno opracować rejestr czynności przetwarzania w zakresie dotyczącym osób zatrudnionych. Taki rejestr powinien być na bieżąco aktualizowany, wraz z podejmowaniem przez pracodawcę jakichkolwiek nowych czynności na danych pracowników.
Przedsiębiorcy powinni również zastanowić się, czy pozostałe wyjątki dot. tworzenia rejestru czynności przetwarzania przewidziane w RODO mają zastosowanie w ich przypadku. Jeżeli oprócz danych osobowych osób zatrudnionych przedsiębiorcy będą przetwarzać także informacje dotyczące wyroków skazujących lub czynów zabronionych, albo, jeżeli sposób, w jaki przetwarzają dane osobowe innych osób czy też podmiotów może powodować ryzyko dla ich praw i wolności, to prowadzony rejestr powinien uwzględniać także wszelkie operacje dokonywane na danych tych podmiotów.
Podstawa prawna:
Rejestr czynności przetwarzania – przykład
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO spoczywa na administratorze danych oraz podmiocie przetwarzającym dane. RODO nie narzuca układu informacji wymaganych w rejestrach. Stanowi jedynie, że rejestry powinny być prowadzone w formie pisemnej. Sprawdź jak przygotować odpowiednio RCP i RKCP.
Polityka bezpieczeństwa danych osobowych
Kto musi prowadzić rejestr czynności przetwarzania danych osobowych?
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO spoczywa na administratorze danych oraz podmiocie przetwarzającym dane (lub, jeżeli ma to zastosowanie, na przedstawicielach tych podmiotów). Obowiązek wyznaczenia przedstawiciela, zgodnie z art. 27 w związku z art. 3 ust. 2 RODO, mają administrator i podmiot przetwarzający nieposiadający jednostek organizacyjnych w Unii wówczas, jeżeli prowadzone przez nich czynności przetwarzania wiążą się z oferowaniem towarów lub usług osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.
Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności lub rejestru kategorii czynności przetwarzania. Podmioty przetwarzające, a więc osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora w większości przypadków będą zobowiązane do prowadzenia zarówno rejestru kategorii czynności przetwarzania, jak i rejestru czynności przetwarzania danych, za które odpowiadają jako administratorzy (np. danych osób zatrudnionych).
Rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych, przy czym niektóre z tych procesów występujących w typowych organizacjach mogą być zwolnione z prowadzenia rejestru.
Obowiązek prowadzenia rejestru trzeba realizować, gdy przetwarzanie:
może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
nie ma charakteru sporadycznego,
obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
Obowiązek zachodzi już wtedy, gdy którakolwiek z tych sytuacji występuje samodzielnie.
Cel obowiązku prowadzenia rejestru
82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru:
1. Zachowanie przez administratora i podmiot przetwarzający zgodności z RODO – możliwość stałej weryfikacji swojej działalności w zakresie przetwarzania danych osobowych oraz poddawania ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie
2. Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania – na żądanie organu nadzorczego informacje o prowadzonym przez administratora i podmiot przetwarzający przetwarzaniu będą udostępniane organowi w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji. Prowadzone przez administratorów i przetwarzających rejestry pozwalają im usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Dzięki zebranym w tych rejestrach informacjom, administratorzy i podmioty przetwarzające mogą również ocenić, w jakim zakresie dotyczą ich inne obowiązki wynikające z rozporządzenia ogólnego, np. obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych, która jest na gruncie rozporządzenia przewidziana m.in. w sytuacji przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.
Co powinien zawierać rejestr czynności przetwarzania danych osobowych?
Rejestr prowadzony przez administratora – rejestr czynności przetwarzania powinien zawierać:
a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust.
2. Rejestr prowadzony przez podmiot przetwarzający – rejestr kategorii przetwarzania powinien zawierać:
a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Przytoczone powyżej składniki rejestrów stanowią ich część obligatoryjną. Jednak wątpliwości może budzić znaczenie poszczególnych pojęć użytych w powołanych przepisach, a także stopień szczegółowości rejestrów i sposób ich prowadzenia.
W celu ułatwienia realizacji tego zadania Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), przygotował szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami ich uzupełnienia oraz wyjaśnienia dotyczące sposobu realizacji tego obowiązku. Informacje, które wg UPDO powinny być zawarte w rejestrach przedstawiono w końcowej części artykułu.
Przedstawionych szablonów rejestrów nie należy traktować jako jedynych prawidłowych wzorów. Ze względu na różnorodność administratorów, sektorów, w których działają i procesów przetwarzania danych, które prowadzą oraz innych czynników, w praktyce może występować wiele różnych modeli (struktur) rejestru czynności. Ważne, żeby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić wymagane w art. 30 ust. 1 i 2 RODO elementy w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych, w sposób czytelny i przejrzysty.
W rejestrze czynności przetwarzania i rejestrze kategorii przetwarzania mogą zatem znaleźć inne elementy, które administrator uzna za zasadne, uwzględniając wiele specyficznych dla niego czynników, takich jak np.:
·wskazanie podstawy prawnej przetwarzania,
·wskazanie źródła pozyskania danych,
·wskazanie użytego do przetwarzania systemu informatycznego,
·informacje dotyczące przeprowadzonej oceny skutków dla ochrony danych itp.
W niektórych przypadkach uzasadnione może okazać się odnotowanie w rejestrze dodatkowo takich informacji, jak np.:
·określenie tzw. właścicieli procesów, czyli osób odpowiedzialnych u administratora za konkretne czynności przetwarzania (np. kierownik określonej komórki w organizacji, wydzielone stanowisko itp.), oraz
·dane kontaktowe podmiotu przetwarzającego oraz podmiotów, którym podpowierzono wykonywanie określonych czynności przetwarzania danych lub określonych operacji w ramach tych czynności (art. 28 ust. 4 RODO).
Formy prowadzenia rejestrów
RODO nie narzuca układu informacji wymaganych w rejestrach. Stanowi jedynie, że rejestry powinny być prowadzone w formie pisemnej (art. 30 ust. 3). RODO nie narzuca również wymagań dotyczących postaci, w jakiej rejestry powinny być prowadzone, wskazując, że może to być postać zarówno papierowa, jak i elektroniczna.
Szablony rejestru czynności przetwarzania i rejestru kategorii czynności przygotowane przez Prezesa UODO
REJESTR CZYNNOŚCI PRZETWARZANIA:
I. STRONA TYTUŁOWA:
1. Nazwa i dane kontaktowe administratora:
a) nazwa administratora
b) adres
c) email
d) nr telefonu/faksu
2. Inspektor Ochrony Danych (gdy ma to zastosowanie):
a) nazwa inspektora
b) adres
c) email
d) nr telefonu/faksu
3. Przedstawiciel (gdy ma to zastosowanie):
a) nazwa przedstawiciela
b) adres
c) email
d) nr telefonu/faksu
II. INFORMACJE O POSZCZEGÓLNYCH CZYNNOŚCIACH PRZETWARZANIA:
a) Nazwa czynności przetwarzania
b) Jednostka organizacyjna
c) Cel przetwarzania
d) Kategorie osób
e) Kategorie danych
f) Podstawa prawna
g) Źródło danych
h) Planowany termin usunięcia kategorii danych
i) Nazwa współadministratora i dane kontaktowe
j) Nazwa podmiotu przetwarzającego i dane kontaktowe
k) Kategorie odbiorców
l) Nazwa systemu lub oprogramowania
m) Ogólny opis techniczny i organizacyjny środków bezpieczeństwa
n) DPIA
o) Transfer do kraju trzeciego lub organizacji międzynarodowej:
·Transfer do kraju trzeciego lub organizacji międzynarodowej
·Dokumentacja odpowiednich zabezpieczeń w przypadku transferu
REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA:
I. STRONA TYTUŁOWA:
1. Nazwa i dane kontaktowe przetwarzającego:
a) nazwa administratora
b) adres
c) email
d) nr telefonu/faksu
2. Inspektor ochrony danych (gdy ma to zastosowanie):
a) nazwa inspektora
b) adres
c) email
d) nr telefonu/faksu
3. Przedstawiciel (gdy ma to zastosowanie):
a) nazwa przedstawiciela
b) adres
c) email
d) nr telefonu/faksu
II. INFORMACJE O POSZCZEGÓLNYCH KATEGORIACH CZYNNOŚCI PRZETWARZANIA:
a) Kategorie przetwarzania
b) Ogólny opis techniczny i organizacyjny środków bezpieczeństwa
c) Administrator:
·Nazwa i dane kontaktowe administratora
·Nazwa i dane kontaktowe współadministratora (gdy ma to zastosowanie)
·Nazwa i dane kontaktowe przedstawiciela administratora (gdy ma to zastosowanie)
·Inspektor ochrony danych administratora (gdy ma to zastosowanie)
d) Czas trwania przetwarzania
e) Nazwy państw trzecich lub organizacji międzynarodowych, do których dane są przekazywane
f) Dokumentacja odpowiednich zabezpieczeń danych osobowych
g) Podprzetwarzający:
·Nazwa i dane kontaktowe podprzetwarzającego
·Kategorie podpowierzonych przetwarzań
Sprawdź wzór RCP i RKCP rekomendowany przez Urząd Ochrony Danych Osobowych:
Rejestr czynności przetwarzania (przykłady dla szkoły)
Rejestr kategorii czynności przetwarzania
Zobacz również:
Rejestr czynności przetwarzania danych osobowych w praktyce
Treść artykułu
Zarówno na administratorze danych osobowych, jak i na podmiocie przetwarzającym dane (a gdy ma to zastosowanie – także na przedstawicielach tych podmiotów), spoczywa obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, co wynika z art. 30 Ogólnego rozporządzenia o ochronie danych (tzw. RODO). Rozporządzenie wyróżnia także rejestr kategorii czynności przetwarzania. Wymaga się, by oba rejestry miały formę pisemną. Sprawdź jak właściwie przygotować zarówno rejestr czynności przetwarzania (RCP), jak i rejestr kategorii czynności przetwarzania (RKCP).
Podsumowanie Obowiązek prowadzenia rejestrów spoczywa na administratorze danych osobowych (ADO), na podmiocie przetwarzającym dane, a niekiedy również i na przedstawicielach tych podmiotów.
RODO narzuca tworzenie rejestrów w formie pisemnej.
Istnieją obligatoryjne elementy składowe rejestrów.
Kto jest zobowiązany do prowadzenia rejestru czynności przetwarzania danych osobowych? Taki obowiązek spoczywa na administratorze danych osobowych (ADO) oraz na podmiocie przetwarzającym dane (bądź – jeżeli ma to zastosowanie – na przedstawicielach tych podmiotów). W kwestii wyznaczenia przedstawiciela – taki obowiązek wynikający z art. 27 w związku z art. 3 ust. 2 RODO, mają administrator i podmiot przetwarzający nieposiadający jednostek organizacyjnych w Unii Europejskiej, gdy prowadzone przez nich czynności przetwarzania są powiązane z oferowaniem towarów lub usług osobom (których dane dotyczą) w Unii, bez wzgledu na to, czy wymaga się od tych osób zapłaty; lub z monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.
Ważny fragment RODO wskazuje, iż administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia rejestru czynności przetwarzania lub rejestru kategorii czynności przetwarzania. Twitter
Podmioty przetwarzające (to jest: osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora) będą zobowiązane do prowadzenia obu rejestrów w większości przypadków. Każdy proces powinien być prowadzony odrębnie w rejestrze. Niektóre z procesów, jakie występują w typowych organizacjach, mogą być z kolei zwolnione z bycia uwzględnionym w rejestrze. Konieczność prowadzenia rejestru dotyczy sytuacji, gdy przetwarzanie: może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
nie ma charakteru sporadycznego;
obejmuje szczególne kategorie danych osobowych (o których mowa w art. 9 ust. 1 RODO) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych. Obowiązek prowadzenia rejestru powstaje już wówczas, gdy wystąpi odrębnie którakolwiek z powyższych sytuacji.
Sprawdź Ochrona danych osobowych (RODO) Grant Thornton
Cel prowadzenia rejestru przetwarzania danych Art. 82 RODO wskazuje na dwie podstawowe funkcje w zakresie obowiązku prowadzenia rejestru: Zachowanie przez ADO i podmiot przetwarzający zgodności z RODO – stanowi to o możliwości stałej weryfikacji swojej działalności w odniesieniu do przetwarzania danych osobowych oraz poddawania ocenie każdego procesu (nowo wprowadzanego lub modyfikowanego) już na początkowym etapie. Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania – informacje o przetwarzaniu prowadzonym przez ADO i podmiot przetwarzający będą udostępniane na żądanie organu nadzorczego w sposób jednolity, czytelny i uproszczony, umożliwiając dokonanie ich szybkiego przeglądu, jak i wstępnej weryfikacji. Rejestry pozwalają na usystematyzowanie wykonywanych czynności oraz pozwalają spojrzeć na wykonywane operacje przetwarzania danych osobowych pod kątem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Zebrane w rejestrach informacje pozwalają ocenić ADO i podmiotom przetwarzającym, w jakim zakresie dotyczą ich inne obowiązki, jakie wynikają z RODO. Chodzi m.in. o obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych osobowych (która na gruncie RODO przewidziana jest m.in. w sytuacji przetwarzania szczególnych kategorii danych osobowych na dużą skalę w odniesieniu do art. 9 ust. 1 RODO lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których traktuje art. 10 RODO).
Newsletter “Alerty RODO” – nie daj się zaskoczyć! Zapisz się
Rejestr czynności przetwarzania danych osobowych – co powinien zawierać? Rejestr prowadzony przez ADO jako rejestr czynności przetwarzania danych osobowych, powinien zawierać: imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – gdy ma to zastosowanie – przedstawiciela ADO oraz inspektora ochrony danych (IDO);
cele przetwarzania;
opis kategorii osób, których dane dotyczą, a także kategorii danych osobowych;
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
gdy ma to zastosowanie – przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 RODO, dokumentację odpowiednich zabezpieczeń;
planowane terminy usunięcia poszczególnych kategorii danych (gdy jest to możliwe);
ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 (gdy jest to możliwe) Rejestr prowadzony przez podmiot przetwarzający – rejestr kategorii przetwarzania danych osobowych powinien zawierać: imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
kategorie przetwarzań, jakie są dokonywane w imieniu każdego z administratorów;
gdy ma to zastosowanie – przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 RODO, dokumentację odpowiednich zabezpieczeń;
ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 (gdy jest to możliwe). Powyższe elementy rejestrów stanowią ich część obowiązkową. Wątpliwość może budzić znaczenie poszczególnych pojęć wywodzących się z przytoczonych przepisów, a także szczegółowość rejestrów i sposób prowadzenia. Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), przygotował jednak szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami ich uzupełnienia oraz wyjaśnienia, które to dotyczą sposobu realizacji obowiązku prowadzenia rejestrów. Szablony rejestru czynności przetwarzania i rejestru kategorii czynności przygotowane przez Prezesa UODO REJESTR CZYNNOŚCI PRZETWARZANIA I Strona tytułowa: Nazwa i dane kontaktowe administratora:
a) nazwa administratora,
b) adres,
c) email,
d) nr telefonu/faksu. Inspektor Ochrony Danych (gdy ma to zastosowanie):
a) nazwa inspektora,
b) adres,
c) email,
d) nr telefonu/faksu przedstawiciel (gdy ma to zastosowanie):
a) nazwa przedstawiciela.
b) adres.
c) email.
d) nr telefonu/faksu. II Informacje o poszczególnych czynnościach przetwarzania: a) nazwa czynności przetwarzania,
b) jednostka organizacyjna,
c) cel przetwarzania,
d) kategorie osób,
e) kategorie danych,
f) podstawa prawna,
g) źródło danych,
h) planowany termin usunięcia kategorii danych,
i) nazwa współadministratora i dane kontaktowe,
j) nazwa podmiotu przetwarzającego i dane kontaktowe,
k) kategorie odbiorców,
l) nazwa systemu lub oprogramowania,
m) ogólny opis techniczny i organizacyjny środków bezpieczeństwa,
n) DPIA,
o) transfer do kraju trzeciego lub organizacji międzynarodowej: transfer do kraju trzeciego lub organizacji międzynarodowej,
dokumentacja odpowiednich zabezpieczeń w przypadku transferu.
Sprawdź Audyt i wdrożenie RODO Grant Thornton
Rejestr czynności przetwarzania – przykład
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO spoczywa na administratorze danych oraz podmiocie przetwarzającym dane. RODO nie narzuca układu informacji wymaganych w rejestrach. Stanowi jedynie, że rejestry powinny być prowadzone w formie pisemnej. Sprawdź jak przygotować odpowiednio RCP i RKCP.
Polityka bezpieczeństwa danych osobowych
Kto musi prowadzić rejestr czynności przetwarzania danych osobowych?
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO spoczywa na administratorze danych oraz podmiocie przetwarzającym dane (lub, jeżeli ma to zastosowanie, na przedstawicielach tych podmiotów). Obowiązek wyznaczenia przedstawiciela, zgodnie z art. 27 w związku z art. 3 ust. 2 RODO, mają administrator i podmiot przetwarzający nieposiadający jednostek organizacyjnych w Unii wówczas, jeżeli prowadzone przez nich czynności przetwarzania wiążą się z oferowaniem towarów lub usług osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.
Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności lub rejestru kategorii czynności przetwarzania. Podmioty przetwarzające, a więc osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora w większości przypadków będą zobowiązane do prowadzenia zarówno rejestru kategorii czynności przetwarzania, jak i rejestru czynności przetwarzania danych, za które odpowiadają jako administratorzy (np. danych osób zatrudnionych).
Rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych, przy czym niektóre z tych procesów występujących w typowych organizacjach mogą być zwolnione z prowadzenia rejestru.
Obowiązek prowadzenia rejestru trzeba realizować, gdy przetwarzanie:
może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
nie ma charakteru sporadycznego,
obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
Obowiązek zachodzi już wtedy, gdy którakolwiek z tych sytuacji występuje samodzielnie.
Cel obowiązku prowadzenia rejestru
82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru:
1. Zachowanie przez administratora i podmiot przetwarzający zgodności z RODO – możliwość stałej weryfikacji swojej działalności w zakresie przetwarzania danych osobowych oraz poddawania ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie
2. Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania – na żądanie organu nadzorczego informacje o prowadzonym przez administratora i podmiot przetwarzający przetwarzaniu będą udostępniane organowi w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji. Prowadzone przez administratorów i przetwarzających rejestry pozwalają im usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Dzięki zebranym w tych rejestrach informacjom, administratorzy i podmioty przetwarzające mogą również ocenić, w jakim zakresie dotyczą ich inne obowiązki wynikające z rozporządzenia ogólnego, np. obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych, która jest na gruncie rozporządzenia przewidziana m.in. w sytuacji przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.
Co powinien zawierać rejestr czynności przetwarzania danych osobowych?
Rejestr prowadzony przez administratora – rejestr czynności przetwarzania powinien zawierać:
a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust.
2. Rejestr prowadzony przez podmiot przetwarzający – rejestr kategorii przetwarzania powinien zawierać:
a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Przytoczone powyżej składniki rejestrów stanowią ich część obligatoryjną. Jednak wątpliwości może budzić znaczenie poszczególnych pojęć użytych w powołanych przepisach, a także stopień szczegółowości rejestrów i sposób ich prowadzenia.
W celu ułatwienia realizacji tego zadania Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), przygotował szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami ich uzupełnienia oraz wyjaśnienia dotyczące sposobu realizacji tego obowiązku. Informacje, które wg UPDO powinny być zawarte w rejestrach przedstawiono w końcowej części artykułu.
Przedstawionych szablonów rejestrów nie należy traktować jako jedynych prawidłowych wzorów. Ze względu na różnorodność administratorów, sektorów, w których działają i procesów przetwarzania danych, które prowadzą oraz innych czynników, w praktyce może występować wiele różnych modeli (struktur) rejestru czynności. Ważne, żeby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić wymagane w art. 30 ust. 1 i 2 RODO elementy w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych, w sposób czytelny i przejrzysty.
W rejestrze czynności przetwarzania i rejestrze kategorii przetwarzania mogą zatem znaleźć inne elementy, które administrator uzna za zasadne, uwzględniając wiele specyficznych dla niego czynników, takich jak np.:
·wskazanie podstawy prawnej przetwarzania,
·wskazanie źródła pozyskania danych,
·wskazanie użytego do przetwarzania systemu informatycznego,
·informacje dotyczące przeprowadzonej oceny skutków dla ochrony danych itp.
W niektórych przypadkach uzasadnione może okazać się odnotowanie w rejestrze dodatkowo takich informacji, jak np.:
·określenie tzw. właścicieli procesów, czyli osób odpowiedzialnych u administratora za konkretne czynności przetwarzania (np. kierownik określonej komórki w organizacji, wydzielone stanowisko itp.), oraz
·dane kontaktowe podmiotu przetwarzającego oraz podmiotów, którym podpowierzono wykonywanie określonych czynności przetwarzania danych lub określonych operacji w ramach tych czynności (art. 28 ust. 4 RODO).
Formy prowadzenia rejestrów
RODO nie narzuca układu informacji wymaganych w rejestrach. Stanowi jedynie, że rejestry powinny być prowadzone w formie pisemnej (art. 30 ust. 3). RODO nie narzuca również wymagań dotyczących postaci, w jakiej rejestry powinny być prowadzone, wskazując, że może to być postać zarówno papierowa, jak i elektroniczna.
Szablony rejestru czynności przetwarzania i rejestru kategorii czynności przygotowane przez Prezesa UODO
REJESTR CZYNNOŚCI PRZETWARZANIA:
I. STRONA TYTUŁOWA:
1. Nazwa i dane kontaktowe administratora:
a) nazwa administratora
b) adres
c) email
d) nr telefonu/faksu
2. Inspektor Ochrony Danych (gdy ma to zastosowanie):
a) nazwa inspektora
b) adres
c) email
d) nr telefonu/faksu
3. Przedstawiciel (gdy ma to zastosowanie):
a) nazwa przedstawiciela
b) adres
c) email
d) nr telefonu/faksu
II. INFORMACJE O POSZCZEGÓLNYCH CZYNNOŚCIACH PRZETWARZANIA:
a) Nazwa czynności przetwarzania
b) Jednostka organizacyjna
c) Cel przetwarzania
d) Kategorie osób
e) Kategorie danych
f) Podstawa prawna
g) Źródło danych
h) Planowany termin usunięcia kategorii danych
i) Nazwa współadministratora i dane kontaktowe
j) Nazwa podmiotu przetwarzającego i dane kontaktowe
k) Kategorie odbiorców
l) Nazwa systemu lub oprogramowania
m) Ogólny opis techniczny i organizacyjny środków bezpieczeństwa
n) DPIA
o) Transfer do kraju trzeciego lub organizacji międzynarodowej:
·Transfer do kraju trzeciego lub organizacji międzynarodowej
·Dokumentacja odpowiednich zabezpieczeń w przypadku transferu
REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA:
I. STRONA TYTUŁOWA:
1. Nazwa i dane kontaktowe przetwarzającego:
a) nazwa administratora
b) adres
c) email
d) nr telefonu/faksu
2. Inspektor ochrony danych (gdy ma to zastosowanie):
a) nazwa inspektora
b) adres
c) email
d) nr telefonu/faksu
3. Przedstawiciel (gdy ma to zastosowanie):
a) nazwa przedstawiciela
b) adres
c) email
d) nr telefonu/faksu
II. INFORMACJE O POSZCZEGÓLNYCH KATEGORIACH CZYNNOŚCI PRZETWARZANIA:
a) Kategorie przetwarzania
b) Ogólny opis techniczny i organizacyjny środków bezpieczeństwa
c) Administrator:
·Nazwa i dane kontaktowe administratora
·Nazwa i dane kontaktowe współadministratora (gdy ma to zastosowanie)
·Nazwa i dane kontaktowe przedstawiciela administratora (gdy ma to zastosowanie)
·Inspektor ochrony danych administratora (gdy ma to zastosowanie)
d) Czas trwania przetwarzania
e) Nazwy państw trzecich lub organizacji międzynarodowych, do których dane są przekazywane
f) Dokumentacja odpowiednich zabezpieczeń danych osobowych
g) Podprzetwarzający:
·Nazwa i dane kontaktowe podprzetwarzającego
·Kategorie podpowierzonych przetwarzań
Sprawdź wzór RCP i RKCP rekomendowany przez Urząd Ochrony Danych Osobowych:
Rejestr czynności przetwarzania (przykłady dla szkoły)
Rejestr kategorii czynności przetwarzania
Zobacz również:
Rejestr kategorii czynności przetwarzania według RODO
Nie tylko administrator jest zobowiązany do sumiennego rejestrowania dokonywanych przez siebie czynności przetwarzania danych osobowych. Pamiętać o tym musi również podmiot przetwarzający (tzw. procesor).
Zgodnie z definicją wskazaną w art. 4 Ogólnego rozporządzenia o ochronie danych, podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Klasycznymi przykładami takich podmiotów są firmy zajmujące się outsourcingiem usług takich jak kadry czy płace. Procesorami będą również firmy informatyczne, świadczące wsparcie w utrzymaniu systemów, (jeżeli będą miały dostęp do danych przetwarzanych w tych systemach).
Zgodnie z art. 30 ust. 2 RODO, każdy z tych podmiotów ma obowiązek prowadzenia rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora. Powoływany artykuł Rozporządzenia wskazuje obligatoryjne elementy tego rejestru oraz warunki jego prowadzenia, w tym przewidywane zwolnienia z tego obowiązku.
Bazując na naszych doświadczeniach, w niniejszym artykule postaramy się wskazać co konkretnie powinno znaleźć się w rejestrze procesora i jakie są najpraktyczniejsze sposoby jego prowadzenia.
Kategorie przetwarzania
Rejestr kategorii czynności przetwarzania (RKCP) stanowi podstawową dokumentację podmiotu przetwarzającego, związaną z przetwarzaniem przez niego danych osobowych w imieniu innych podmiotów.
Rejestr jest nowym rodzajem dokumentu wprowadzonym przez przepisy RODO. Wcześniej ani Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady WE ani polska Ustawa o ochronie danych osobowych z 1997 r. nie przewidywały prowadzenia tego typu dokumentacji przez podmioty przetwarzające dane na zlecenie.
Obowiązek prowadzenia RKCP jest niezależny, choć w pewnym stopniu powiązany z obowiązkiem prowadzenia rejestru czynności przetwarzania przez administratora.
RKCP składa się co do zasady z analogicznych elementów jak rejestr administratora. Podstawową różnicą jest jednak to, że nie odnosi się on do czynności przetwarzania danych osobowych, ale kategorii takich czynności, dokonywanych w imieniu administratora.
Pojęcie kategorii czynności przetwarzania nie zostało zdefiniowane w Ogólnym rozporządzeniu o ochronie danych. Nie odnosi się również do niego preambuła RODO. To z kolei może powodować znaczne trudności w jego interpretacji.
Już na pierwszy rzut oka można jednak zauważyć, że odniesienie się do kategorii czynności przetwarzania charakteryzuje się mniejszą szczegółowością niż bezpośrednie wskazanie takich czynności.
Z uwagi na to, że w RKCP powinny zostać wskazane wszystkie kategorie czynności przetwarzania dokonywane w imieniu administratorów, rejestr a przede wszystkim sama jego treść, jest ściśle powiązana z rejestrowaniem zawieranych umów powierzenia przetwarzania danych osobowych.
Procesor dokonując nazwania poszczególnych powierzeń, jakie wykonuje na podstawie zawartych umów, odwołuje się zazwyczaj do rodzaju świadczonej na rzecz administratora usługi. Ta z kolei w większości przypadków od razu wskazuje, jakie są (lub mogą być) czynności podejmowane w ramach jej realizacji.
Tym samym, z uwagi na powyższe, przyjąć należy, że kategoria czynności przetwarzania to nic innego jak właśnie rodzaj usługi realizowanej przez podmiot przetwarzający na zlecenie administratora związanej ze zleconymi czynnościami przetwarzania danych.
Przykład
Procesor Kategorie czynności przetwarzania Biuro księgowe Prowadzenie dokumentacji podatkowej i księgowej Podmiot zajmujący się outsourcingiem kadr i płac Przygotowywanie umów o pracę, umów zlecenia i o dzieło, naliczanie wynagrodzeń i sporządzanie list płac, rozliczenia z ZUS, prowadzenie akt osobowych pracowników Podmiot zajmujący się archiwizacją i niszczeniem nośników informacji Przechowywanie danych osobowych administratora ujawnionych w przekazywanej dokumentacji papierowej oraz na innych nośnikach, a także niszczenie nośników informacji Podmiot zajmujący się hostingiem serwerów Udostępnianie administratorowi serwera www wraz z odpowiednim oprogramowaniem do prowadzenia strony internetowej
Elementy obligatoryjne
Obok wskazania kategorii czynności przetwarzania, dokonywanych w imieniu każdego z administratorów, procesor zobowiązany jest do zamieszczenia w swoim rejestrze szeregu innych informacji, które zostały określne w artykule 30 ust. 2 RODO.
Imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego, przedstawiciela podmiotu przetwarzającego oraz inspektora ochrony danych
Określenie podmiotu prowadzącego rejestr, czyli procesora, nie powinno stanowić problemu. Należy przy tym wskazać, że Ogólne rozporządzenie o ochronie danych wskazuje na liczbę mnogą wpisywanych w rejestr danych kontaktowych (ang. contact details). Może to sugerować, że wymagane jest ujawnienie co najmniej kilku kanałów komunikacji. Na pewno za niewystarczające należy uznać m.in. podanie jedynie adresu strony internetowej lub adresu email. Ma to m.in. związek z obowiązkiem udostępniania rejestru organowi nadzorczemu. Dokładne wskazanie dróg kontaktu z procesorem zdecydowanie ułatwi organowi prowadzenie konsultacji.
Powyższe uwagi dotyczą także inspektora ochrony danych, którego wpisujemy do rejestru, o ile został on powołany. Tak samo należy postąpić z ujawnianiem danych przedstawiciela procesora.
Wyznaczenie i wskazanie w rejestrze przedstawiciela jest obowiązkowe dla podmiotów przetwarzających niemających jednostek organizacyjnych w Unii Europejskiej, którzy przetwarzają dane osobowe osób przebywających w Unii, a prowadzone przez nich czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom lub monitorowaniem ich zachowania, o ile dochodzi do niego w Unii.
Imię i nazwisko lub nazwa oraz dane kontaktowe każdego administratora, w imieniu którego działa podmiot przetwarzający, przedstawiciela administratora oraz inspektora ochrony danych
W swoim rejestrze kategorii czynności przetwarzania procesor powinien ujawnić wszystkich administratorów, których dane osobowe przetwarza. O ile wskazanie danych kontaktowych tych podmiotów nie budzi żadnych trudności (są one zawsze ujawnione w zawieranych umowach), to wskazanie danych inspektorów ochrony danych już do tak prostych nie należy.
Co prawda, zgodnie z art. 11 Ustawy o ochronie danych osobowych, administrator, który powołał IOD jest zobowiązany do ujawnienia jego danych (imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu) na swojej stronie internetowej, jednak nie zawsze będzie to dla procesora pomocne. Po pierwsze, nie każdy administrator taką stroną dysponuje, a wówczas zgodnie z UODO dane te udostępnia w sposób ogólnie dostępny w miejscu prowadzenia działalności. Po drugie, przeszukiwanie kilkunastu lub nawet kilkudziesięciu stron internetowych (w zależności od ilości administratorów) do łatwych, szybkich i zbyt przyjemnych nie należy. Po trzecie, niestety nie każdy administrator ten obowiązek realizuje. Dlatego też tak bardzo ważne jest to, aby zawierając z administratorem umowę powierzenia, już w jej treści wskazać, czy strony powołały IOD, a jeżeli tak, jakie są jego dane kontaktowe.
Powyższe będzie pomocne nie tylko w zakresie prowadzenia RKCP, ale również w zakresie całej współpracy stron w związku z przetwarzaniem powierzanych danych osobowych. Warto również w postanowieniach umowy zaznaczyć obowiązek wzajemnego informowania się o zmianach na stanowisku IOD oraz zmianach w zakresie jego danych kontaktowych.
Przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń
Jeżeli procesor przekazuje powierzone mu dane osobowe do państwa trzeciego lub organizacji międzynarodowej, jest zobowiązany ujawnić te informacje w prowadzonym przez siebie rejestrze kategorii czynności przetwarzania.
W szczególnych sytuacjach, tj. kiedy przekazanie następuje ze względu na ważne, prawnie uzasadnione interesy realizowane przez administratora (art. 49 ust. 1 akapit drugi RODO) rejestr powinien określać zabezpieczenia, które zostały zastosowane przy takim przetwarzaniu.
Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa
W tym miejscu rejestru, procesor powinien wskazać rzeczywiste środki jakie wdrożył dla ochrony powierzonych mu danych osobowych. Częstszym rozwiązaniem jest określanie tych środków w innej dokumentacji przetwarzania, np. Polityce ochrony danych bądź dokumentacji IT (jeżeli chodzi o zabezpieczenia techniczne). Nic nie stoi na przeszkodzie, aby w tym miejscu RKCP odwołać się do istniejących już dokumentów, które w sposób szczegółowy opisują stosowane środki.
RCP a RKCP
Rejestr kategorii czynności przetwarzania zawiera zdecydowanie mniej obligatoryjnych informacji niż rejestr prowadzony przez administratora. Różnice dotyczące zakresu merytorycznego obowiązków rejestracyjnych tych dwóch rodzajów podmiotów spowodowane są przede wszystkim z pełnionymi przez nie funkcjami w procesach przetwarzania danych osobowych. W szczególności procesor nie ma kompetencji dla określania celów i sposobów przetwarzania danych oraz terminów usunięcia danych czy kategorii odbiorców takich danych. Stąd też takich informacje w RKCP nie znajdziemy. Znajdziemy je jednak w rejestrze czynności przetwarzania prowadzonym przez administratora.
Elementy dodatkowe
Mimo, że celem RKCP nie jest zapewnienie przejrzystości przetwarzania względem administratorów czy też podmiotów danych (nie jest on im przekazywany ani udostępniany publicznie) to jego zawartość merytoryczna ma duże znaczenie przy wywiązywaniu się przez procesora z realizacji zasad przetwarzania danych osobowych.
Tym samym, warto aby oprócz elementów obligatoryjnych znalazły się tam również dodatkowe informacje związane z przetwarzaniem powierzonych danych osobowych. Pozwoli to podmiotowi przetwarzającemu na zebranie, w jednym miejscu, wiedzy na temat przetwarzania danych osobowych konkretnego administratora. To z kolei znacznie ułatwi współpracę stron, jak również może znacznie pomóc przy realizacji obowiązków wskazanych w RODO lub w zawartej umowie powierzenia przetwarzania danych osobowych.
Opierając się na naszym dotychczasowym doświadczeniu, rekomendujemy zamieszczenie w rejestrze kategorii czynności przetwarzania, takich informacji jak:
Umowa powierzenia przetwarzania danych osobowych informacje, kiedy została zawarta umowa powierzenia z danym administratorem – informacja ta pozwoli na zapewnienie rozliczalności procesów przetwarzania powierzonych danych, a także pozwoli skontrolować czy obowiązek zawarcia umowy powierzenia został dopełniony, Charakter zgody na podpowierzenie informacja czy i na jakich warunkach procesor może podpowierzać powierzone mu przez administratora dane osobowe – informacja ta ułatwi wykonywanie czynności na danych osobowych i zlikwiduje potrzebę każdorazowego przeglądania umowy powierzenia (szczególne pomocne w przypadku, kiedy procesor obsługuje większą liczbę administratorów), Subprocesorzy informacja komu i w jakim celu podpowierzane są dane osobowe – informacja ta zarówno zapewnia rozliczalność procesów przetwarzania powierzonych danych, jak i ułatwia komunikację z administratorem, Daty wpisu i ostatniej aktualizacji informacje, kiedy dany administrator został wpisany do rejestru oraz kiedy miała miejsce ostatnia aktualizacja informacji dotyczących jego wpisu – ta adnotacja będzie stanowić podstawę dla rozliczalności informacji ujawnianych w rejestrze.
Rejestr czynności przetwarzania (RCP) i RKCP Chcesz spełnić wymóg RODO i prowadzić Rejestr Czynności Przetwarzania oraz Rejestr Kategorii Czynności Przetwarzania, ale nie wiesz od czego zacząć? Działaj na sprawdzonym szablonie, którego autorem są eksperci Lex Artist – lidera na rynku ochrony danych osobowych w Polsce. Sprawdź
Forma rejestru
RODO wprowadza dowolność, jeżeli chodzi o formę prowadzenia RKCP. Rejestr może być prowadzony w formie pisemnej, w tym elektronicznej. Istotne jest to, aby rejestr był na bieżąco aktualizowany, a jego zawartość odpowiednio chroniona przed nieuprawnionymi osobami.
Najpraktyczniejszą formą prowadzenia rejestru jest forma elektroniczna. Niekoniecznie musi być to dedykowany system informatyczny. Dobrze sprawdza się prowadzenie rejestru w pliku Excel, zwłaszcza, gdy prowadzimy go sumiennie, a każda dokonywana w nim zmiana jest odnotowywana np. w oddzielnym arkuszu.
RODO nie narzuca nam również układu obligatoryjnych elementów RKCP, co oznacza, że podmiot przetwarzający może przyjąć dowolny układ informacji dotyczących kategorii czynności przetwarzania.
Poszczególne wpisy do rejestru mogą być zatem uporządkowane:
według kategorii czynności przetwarzania , tj. rodzaju usług świadczonych na rzecz administratorów,
, tj. rodzaju usług świadczonych na rzecz administratorów, według administratorów, na rzecz których dane osobowe są przetwarzane.
Pierwsze z rozwiązań będzie, w szczególności dobrą opcją dla podmiotów przetwarzających świadczących takie same usługi na rzecz większej ilości podmiotów. Uporządkowanie rejestru według administratora sprawdzi się z kolei, gdy tych przetwarzań będzie mniej i będą dotyczyły różnych usług.
Udostępnianie rejestru
Rejestr ma charakter wewnętrzny, tj. nie musi być nigdzie ujawniany (np. na stronie internetowej). Nie musi on być również ujawniany administratorom, na których zlecenie przetwarzane są dane osobowe. Udostępnienie rejestru może nastąpić dopiero na żądanie organu nadzorczego (np. w przypadku kontroli).
Osoba odpowiedzialna
W strukturze podmiotu przetwarzającego powinna zostać wyznaczona osoba, której zadaniem będzie czuwanie nad aktualnością RKCP, jak również wprowadzanie stosownych zmian.
W przypadkach, kiedy procesor powołał inspektora ochrony danych, naturalnym wydaje się powierzenie prowadzenia rejestru kategorii czynności przetwarzania właśnie jemu. Obowiązek taki nie jest wprawdzie wymieniony w zadaniach IOD w art. 39 ust. 1 RODO, jednakże katalog ten nie jest katalogiem zamkniętym.
W sytuacji, kiedy w strukturze procesora brak jest IOD, wówczas prowadzenie rejestru należy powierzyć innej osobie, nadzorującej zachodzące procesy przetwarzania danych osobowych.
Zwolnienia z prowadzenia rejestru
Z obowiązku prowadzenia rejestru kategorii czynności przetwarzania zwolnieni są procesorzy, którzy zatrudniają mniej niż 250 osób.
Poprzez zatrudnienie, należy rozumieć zarówno zatrudnienie sensu stricte tj. na podstawie umów o pracę, jak również współpracę na podstawie umów cywilnoprawnych, która swoim charakterem zbliżona jest do relacji pracowniczej.
Zwolnienie to będzie miało zastosowanie przede wszystkim w przypadku jednoosobowych działalności gospodarczych. Niemniej, ze zwolnienia mogą skorzystać wszystkie mniejsze podmioty, bez względu na formę prawną prowadzonej działalności, jej cel oraz prywatnoprawny lub publicznoprawny charakter.
Wskazany wyżej wyjątek od prowadzenia RKCP, nie ma jednak charakteru bezwzględnego. Istnieją bowiem trzy rodzaje przetwarzania, do których nie znajdzie on zastosowania. I tak, procesor pomimo tego, że liczba zatrudnionych przez niego osób jest mniejsza niż 250, będzie musiał prowadzić rejestr, gdy dokonywane przez niego przetwarzanie:
Może powodować ryzyko (nie tylko wysokie) naruszenia praw lub wolności osób, których dane dotyczą, Nie ma charakteru sporadycznego, Obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
Wymienione rodzaje przetwarzania danych osobowych, do których wyjątek nie ma zastosowania, mają charakter alternatywny i wystąpienie któregokolwiek z nich samodzielnie wywołuje obowiązek prowadzenia rejestru czynności przetwarzania.
Przykład: Biuro księgowe w postaci jednoosobowej działalności gospodarczej zatrudnia dwie osoby na podstawie umowy o pracę. Biuro świadczy usługi księgowe w pełnym zakresie (księgi handlowe, księgi przychodów i rozchodów, deklaracje podatkowe). Dla niektórych swoich klientów realizuje również usługi z zakresu kadr i płac (przygotowanie umów o pracę, naliczanie wynagrodzeń, sporządzanie listy płac, pomoc przy prowadzeniu akt osobowych). Oznacza to, że przetwarzanie dokonywane przez ten, wydawało się mały, podmiot nie ma charakteru sporadycznego. Co więcej podmiot ten przetwarza też szczególne kategorie danych osobowych pracowników swoich klientów (ujawnione np. w aktach osobowych). W rezultacie biuro księgowe zatrudniające dwie osoby będzie zobowiązane do prowadzenia RKCP. Biuro księgowe w postaci jednoosobowej działalności gospodarczej zatrudnia dwie osoby na podstawie umowy o pracę. Biuro świadczy usługi księgowe w pełnym zakresie (księgi handlowe, księgi przychodów i rozchodów, deklaracje podatkowe). Dla niektórych swoich klientów realizuje również usługi z zakresu kadr i płac (przygotowanie umów o pracę, naliczanie wynagrodzeń, sporządzanie listy płac, pomoc przy prowadzeniu akt osobowych). Oznacza to, że przetwarzanie dokonywane przez ten, wydawało się mały, podmiot nie ma charakteru sporadycznego. Co więcej podmiot ten przetwarza też szczególne kategorie danych osobowych pracowników swoich klientów (ujawnione np. w aktach osobowych). W rezultacie biuro księgowe zatrudniające dwie osoby będzie zobowiązane do prowadzenia RKCP.
Sankcje
Naruszenie obowiązku w zakresie prowadzenia rejestru kategorii czynności przetwarzania, stanowi przesłankę do nałożenia administracyjnej kary pieniężnej. Zastosowanie znajdzie kara niższa, tj. ta o której mowa w art. 83 ust. 4 lit. a RODO (w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).
Podsumowanie
Podstawowym celem prowadzenia rejestru kategorii czynności przetwarzania jest zachowanie przez podmiot przetwarzający zgodności z RODO. Prawidłowo prowadzony RKCP ułatwi również współpracę z administratorem, na rzecz którego dokonywane jest przetwarzanie, jak również umożliwi organowi nadzorczemu monitorowanie prowadzonego przez procesora przetwarzania.
RKCP pozwala usystematyzować czynności wykonywane na powierzonych danych oraz całościowo spojrzeć na wykonywane na rzecz innych podmiotów operacje przetwarzania danych osobowych.
Zapoznanie się z rejestrem kategorii czynności przetwarzania jest jednym z pierwszym działań podejmowanych przez organ nadzorczy w trakcie kontroli przestrzegania przepisów RODO. Dlatego też do jego opracowania i późniejszego aktualizowania warto podejść na poważnie. W przypadku jakichkolwiek wątpliwości i pytań w tym zakresie warto również skorzystać z pomocy specjalistów.
Rejestr czynności przetwarzania
Rozporządzenie o Ochronie Danych Osobowych weszło w życie 25 maja 2018 roku i jak dotąd, nieustannie powraca jako temat gorących dyskusji, szczególnie w kręgach biznesowych. Jednym z poruszanych aspektów, jest obowiązek nałożony na podmioty, które przetwarzają dane oraz ich administratorów – obowiązek prowadzenie rejestrów czynności przetwarzania danych. Temat wydaje się trochę skomplikowany, dlatego postaramy się dokładnie wyjaśnić, o co chodzi.
Rejestr czynności przetwarzania danych w RODO
RODO samo w sobie zmieniło perspektywę patrzenia na bezpieczeństwo przetwarzanych danych, wymuszając liczne zmiany formalne i proceduralne w organizacjach. Po dokładnym zapoznaniu się z zapisami Rozporządzenia, można dostrzec, że ten element ma logiczne uzasadnienie. Artykuł 82 RODO określa dwa cele takiego rejestru:
zachowanie zgodności pomiędzy środkami ochrony danych a obowiązującymi przepisami (dotyczy administratorów danych),
umożliwienie monitorowania operacji przetwarzania danych organowi nadzorczemu (dla Polski to Urzęd Ochrony Danych Osobowych).
W ramach tego zapisu, czynności przetwarzania mogą być opisywane zbiorczo, tzn. uwzględniać kolektywnie działania z danej grupy, np. sprzedaż towarów, proces zatrudnienia pracowników, działania marketingowe itp. Rejestr jest więc spisem osób, procesów, danych i procedur, które odbywają się w ramach ich przetwarzania.
Rejestr czynności przetwarzania danych – kogo dotyczy?
Przepisy RODO zawarte w art. 30 ust. 5 jasno wskazują, w jakich przypadkach przedsiębiorcy i inne podmioty są zobowiązani do prowadzenia rejestrów czynności przetwarzania. Przedsiębiorcy powinni rozważyć wprowadzenie powyższego rejestru w celu spełnienia tego obowiązku. Dotyczy to także mikro i małych firm zatrudniających pojedyncze osoby, z racji styczności z danymi szczególnymi. Do prowadzenia rejestru zobligowani są przedsiębiorcy, którzy:
często przetwarzają dane,
przetwarzają dane osobowe obejmujące szczególne kategorie danych (dane biometryczne, dane dotyczące zdrowia, związki zawodowe, itp.),
prowadzą przetwarzanie danych, gdzie istnieje ryzyko naruszenia praw lub wolności osób poddawanych temu procesowi,
zatrudniają więcej niż 250 osób.
Rejestr czynności przetwarzania danych – co powinien zawierać
W konsekwencji przepisów zawartych w RODO, podmioty przetwarzające dane są zobligowane do prowadzenia rejestrów czynności przetwarzania. Rejestr prowadzony przez administratora danych, będzie miał mniejszy zakres niż podmiot przetwarzający. Wynika to z zależności między tymi dwoma instytucjami. Podmiot działa na zlecenie administratora i przetwarza dane w podanym przez niego zakresie.
RODO jasno określa, administratora jako osobę fizyczną lub prawną (także jednostkę, podmiot lub organ publiczny), która ustala cele i sposoby przetwarzania danych osobowych. Z perspektywy rozporządzenia, administratorami będą również przedsiębiorcy, którzy dodatkowo mają obowiązek prowadzenia i zawarcia w rejestrze poniższych informacji:
dane administratorów, inspektora danych osobowych (dane osobowe i kontaktowe),
cel przetwarzania danych,
opis grupy osób, których dane będą przetwarzane,
kategorie danych osobowych, które w danym procesie będą przetwarzane,
kategorie odbiorców tych danych (komu będą ujawniane),
przypuszczalne terminy usunięcia wybranych kategorii danych po ich przetworzeniu,
ogólny opis środków bezpieczeństwa przetwarzania danych (elementy techniczne i organizacyjne).
Wymienione elementy nie stanowią całego katalogu informacji, które powinny znaleźć się w rejestrze. Jest to zbiór otwarty, a co za tym idzie, przedsiębiorca może zamieścić w nim dane wychodzące poza obowiązkowy spis wynikający z RODO. Dotyczy to np. danych, które mogą wprowadzić ułatwienia organizacyjne lub przetwarzane kategorie o szczególnym charakterze. Te informacje są obligatoryjne.
Forma prowadzenia rejestru czynności przetwarzania
Na podstawie przepisów zawartych w art. 30 ust. 3 RODO, wiemy że rejestry mają przyjmować pisemną formę, z uwzględnieniem formy elektronicznej. Dzięki temu przedsiębiorca ma większą elastyczność w tym zakresie. Wersja elektroniczna, wydaje się najwygodniejszym rozwiązaniem, głównie ze względu na możliwości edycji konkretnych fragmentów w dowolnym czasie. Aby uzyskać przejrzystość rejestru, warto stworzyć tabelę zawierającą wszystkie wymagane elementy w programie tekstowym (np. typu Excel), jego odpowiedniku lub zastosować gotowe narzędzia zawarte w programach/ platformach do zarządzania i przesyłania danych firmowych.
Nie ma bezpośrednich wskazań, by dokumenty elektroniczne musiały być jednocześnie zbierane w formie wydrukowanej. Warto jednak w regularnych interwałach tworzyć kopie zapasowe. Szczególnie dotyczy to rejestru czynności przetwarzania danych i pozostałej dokumentacji nt. ochrony danych osobowych w organizacji. W mikro i małych przedsiębiorstwach, które przetwarzają małą ilość danych osobowych i poruszają się w stałych obszarach działania, można zrezygnować z formy elektronicznej i ograniczyć się do metody pisemnej.
Rejestr czynności przetwarzania danych w RODO – podsumowanie
Rejestr czynności przetwarzania danych, to obowiązkowy element wynikający z 82 art. RODO. Na jego podstawie, administrator danych/ podmiot przetwarzający, są zobowiązani do przekazania rejestru organowi nadzorczemu (w PL – Urząd Ochrony Danych Osobowych), za każdym razem gdy organ tego zażąda. Odmówienie udostępnienia lub brak prowadzenia rejestru dla UODO, może wiązać się z sankcjami i karami finansowymi dla organizacji. Należy jednocześnie pamiętać, że choć przedsiębiorcy są zobligowani do tego formalnie, cały proces rejestrowania czynności przetwarzania danych, ma na celu dobro użytkowników udostępniających te dane.
키워드에 대한 정보 rejestr czynności przetwarzania prowadzony przez administratora
다음은 Bing에서 rejestr czynności przetwarzania prowadzony przez administratora 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.
이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!
사람들이 주제에 대해 자주 검색하는 키워드 Czynności przetwarzania. Rejestr czynności i procesy przetwarzania
- ochrona danych
- RODO
- analiza ryzyka
- prawo
- biznes
- dane osobowe
- aplikacja
- czynności przetwarzania
- rejestr czynności
- procesy przetwarzania
- ochrona danych osobowych
- RODO pod kontrolą
- warsztat
- webinar
- szkolenie
- IOD
- ADO
- administrator danych
- inspektor danych
Czynności #przetwarzania. #Rejestr #czynności #i #procesy #przetwarzania
YouTube에서 rejestr czynności przetwarzania prowadzony przez administratora 주제의 다른 동영상 보기
주제에 대한 기사를 시청해 주셔서 감사합니다 Czynności przetwarzania. Rejestr czynności i procesy przetwarzania | rejestr czynności przetwarzania prowadzony przez administratora, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.
