Rejestr czynności przetwarzania danych zgodny z art. 30 RODO
Autor: Jakub WezgrajData dodania: Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (RODO), Wymogi ustawowe
Artykuł 30 RODO wprowadza wymagany środek bezpieczeństwa o charakterze organizacyjnym, polegający na obowiązku prowadzenia rejestrów czynności przetwarzania danych.
Tego typu rejestr musi prowadzić zarówno administrator danych jak i podmiot przetwarzający dane na zlecenie innych administratorów.
Co powinny zawierać te rejestry i jak należy je prowadzić?
Zapoznaj się z treścią artykułu.
Czym jest rejestr czynności przetwarzania danych?
Rejestr czynności przetwarzania danych jest jednym z wymaganych na gruncie RODO środków bezpieczeństwa o charakterze organizacyjnym. W założeniu unijnego ustawodawcy ma stanowić kompleksową ewidencję wszystkich operacji realizowanych na danych osobowych, które przetwarza konkretny podmiot (administrator danych lub podmiot przetwarzający w rozumieniu art. 28 RODO).
Rejestr czynności przetwarzania danych ma zastąpić rejestry zbiorów danych osobowych prowadzone na gruncie obowiązującej do 25 maja 2018 r. ustawy o ochronie danych osobowych przez Administratorów Bezpieczeństwa Informacji, a także jawny rejestr zbiorów danych prowadzony przez Generalnego Inspektora Ochrony Danych Osobowych.
Od momentu rozpoczęcia stosowania RODO wszyscy administratorzy danych oraz podmioty przetwarzające dane będą zobligowani do prowadzenia "wewnętrznego" rejestru czynności przetwarzania danych.
Motyw 82 Preambuły RODO:
Dla zachowania zgodności z niniejszym rozporządzeniem, administrator lub podmiot przetwarzający powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. Każdy administrator i każdy podmiot przetwarzający powinni mieć obowiązek współpracować z organem nadzorczym i na jego żądanie udostępniać mu te rejestry w celu monitorowania tych operacji przetwarzania.
Jakie informacje musi zawierać rejestr prowadzony przez administratorów danych?
Zgodnie z treścią art. 30 ust. 1 RODO każdy administrator danych zobowiązany jest prowadzić rejestr czynności przetwarzania danych osobowych za który odpowiada. Rejestr ten powinien zawierać następujące informacje:
- dane kontaktowe administratora oraz wszelkich współadministratorów (jeżeli w określonym przypadku dany administrator współdecyduje z innymi administratorami o celach i sposobach przetwarzania danych),
- cele przetwarzania danych,
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, które są przetwarzane,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców
w tzw. państwach trzecich lub w organizacjach międzynarodowych,
- gdy ma to zastosowanie, informacje dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, również dokumentacja odpowiednich zabezpieczeń,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, stosowanych zgodnie z wymaganiami art. 32 ust. 1 RODO.
Jakie informacje powinien zawierać rejestr prowadzony przez podmioty przetwarzające dane?
Podmiot przetwarzający dane to taki, który realizuje określone operacje przetwarzania danych osobowych, które zostały mu powierzone przez inny podmiot - administratora danych. Podmiot przetwarzający nie decyduje więc samodzielnie o celach i sposobach przetwarzania tych danych, ale realizuje te czynności na polecenie administratora danych. Podstawą powierzenia do przetwarzania danych osobowych przez administratora do podmiotu przetwarzającego jest zawarta pomiędzy tymi podmiotami umowa powierzenia danych lub inny instrument prawny przewidziany na gruncie art. 28 RODO. W praktyce jednak aktualnie stosowanym rozwiązaniem jest zawieranie umów powierzenia danych osobowych.
Biorąc pod uwagę powyższe, rejestr operacji przetwarzania danych osobowych prowadzony przez podmiot przetwarzający powinien zawierać opis odnoszący się do danych osobowych powierzonych mu do przetwarzania przez innych administratorów danych. Zgodnie z treścią art. 30 ust. 2 RODO taki rejestr powinien zawierać następujące informacje:
- imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
- gdy ma to zastosowanie – informacje dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, zastosowanych przez podmiot przetwarzający w celu spełnienia wymagań, o których mowa w art. 32 ust. 1 RODO.
Pozostałe informacje
Zgodnie z treścią art. 30 ust. 3 RODO, powyżej opisane rejestry powinny mieć formę pisemną, w tym mogą być prowadzone w postaci elektronicznej.
Rejestry mają charakter dokumentów wewnętrznych (nie powinny być ujawniane), ale podlegają udostępnieniu na żądanie organu nadzorczego.
Wymóg prowadzenia rejestru czynności przetwarzania danych osobowych nie ma zastosowania wobec administratorów danych oraz podmiotów przetwarzających zatrudniających mniej niż 250 osób, chyba
że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje dane wrażliwe (szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO).
Powyższe wyłączenie obowiązku prowadzenia rejestru czynności przetwarzania danych będzie więc miało w większości przypadków charakter czysto iluzoryczny, ponieważ trudno zakładać że operacje przetwarzania danych osobowych nie będą wiązały się z jakimkolwiek ryzykiem naruszenia praw lub wolności osób fizycznych oraz że procesy te nie będą obejmowały (przynajmniej w wybranych przypadkach, choćby w samym obszarze kadrowo-płacowym) przetwarzania danych wrażliwych (np. dotyczących stanu zdrowia jak w przypadku obszaru BHP i prowadzonych rejestrów wypadków przy pracy).
Zobacz usługi ODOeksperta, które pomogą zrealizować ustawowe obowiązki
GDPR, Jakub Wezgraj, ochrona danych osobowych, ODOekspert, RODO, rodo wdrożenie, rodo wymagania, rozporządzenie GDPR, rozporządzenie RODO, unijne rozporządzenie o ochronie danych, wdrożenie gdpr, wdrożenie rodo