Co powinno znaleźć się w rejestrze czynności przetwarzania?

Zgodnie z art. 30 RODO każdy administrator (z pewnymi wyjątkami) oraz podmiot przetwarzający, mają obowiązek prowadzić rejestr czynności przetwarzania danych osobowych, za które są odpowiedzialni. W rejestrze powinny znaleźć się takie informacje jak m.in.:

  • dane administratora (m.in. imię, nazwisko, dane kontaktowe, dane IOD-a);
  • cele przetwarzania;
  • opis kategorii osób i kategorii danych;
  • kategorie odbiorców;
  • planowane terminy usunięcia danych (o ile można je wskazać);
  • opis technicznych i organizacyjnych środków bezpieczeństwa.

Prowadzenie rejestru czynności przetwarzania danych nie powinno być podyktowane tylko i wyłącznie koniecznością realizacji obowiązku nałożonego przez RODO. Dobrze prowadzony rejestr jest świetnym narzędziem do inwentaryzowania procesów i zasobów oraz przypisywania odpowiedzialności.

Inne rejestry

Przepisy o ochronie danych osobowych przewidują możliwość (a czasem nawet obowiązek) prowadzenia innych rejestrów i ewidencji. Warto dodać, że przy okazji kontroli ze strony Urzędu Ochrony Danych Osobowych, takie rejestry i ewidencje są jednymi z pierwszym dokumentów, do których wglądu żąda kontroler. To pewnego rodzaju mapa pokazująca, jakie dane w jakich obszarach są przetwarzanie, pozwalająca dokonać ich przeglądu i weryfikacji stosowanych metod oraz procedur ich zabezpieczenia.

Jakie inne rejestry i ewidencje mogą być prowadzone u administratora lub w podmiocie, z którym administrator zawarł umowę powierzenia?

Mogą być to m.in.:

  • rejestr kategorii czynności przetwarzania danych osobowych;
  • rejestr upoważnień;
  • rejestr naruszeń;
  • rejestr udostępnień i zapytań.
LEX Ochrona Danych Osobowych
Umów się na bezpłatną prezentację produktu.