MENU

Rejestr czynności przetwarzania danych osobowych w świetle przepisów RODO

Zgodnie z art. 30 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679  z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych z związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)  (Dz. U. UE Nr 100, 4.5.2016), każdy administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada. Wyjaśnić należy, iż administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

RODO jako elementy konieczne rejestru wskazuje:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  2. cele przetwarzania;
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

RODO przewiduje również wyjątek dotyczący rejestrowania czynności przetwarzania. Prowadzeniem rejestru nie muszą bowiem martwić się przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego dokonują:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 (zgodnie z którym, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Nie należy również zapominać, iż podmioty przetwarzające czyli osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora, zobowiązane zostały na podstawie art. 30 ust. 2 RODO do prowadzenia rejestrów kategorii czynności przetwarzania.

Powyższe oznacza, iż podmiot będący zarówno administratorem jak i podmiotem przetwarzającym, powinien prowadzić dwa rejestry.