Zgodnie z art. 30 RODO każdy administrator (z pewnymi wyjątkami) ma obowiązek prowadzić rejestr czynności przetwarzania danych osobowych (RCP), za który jest odpowiedzialny. Prowadzenie rejestru czynności przetwarzania danych nie powinno być podyktowane tylko i wyłącznie koniecznością realizacji obowiązku nałożonego przez RODO. Dobrze prowadzony rejestr jest świetnym narzędziem do inwentaryzowania procesów i zasobów oraz przypisywania odpowiedzialności.

Przygotowując niniejszego e-booka zebraliśmy 25 najczęstszych pytań, jakie zadają sobie administratorzy danych i IOD-owie w związku z prowadzeniem RCP.

Odpowiedzi na te pytania udzieliła Ekspertka LEX Ochrona Danych Osobowych, doświadczony inspektor ochrony danych osobowych - Sylwia Czub-Kiełczewska.

Zapraszamy do zapoznania się z e-bookiem pt.
„Rejestr czynności przetwarzania najczęstsze pytania do administratorów”.

Zawartość e-booka

Z e-booka dowiesz się m.in.:

  • w jaki sposób opisywać kategorie danych,
  • czy w podstawie prawnej zawsze musi być odwołanie do jakiegoś artykułu RODO,
  • czy do czynności przetwarzania wskazanych w RCP należy zrobić analizę ryzyka,
  • jak pokazać, że aktualizuje się rejestr,
  • czy w rejestrze kategorii czynności przetwarzania trzeba wskazać podmioty, którym podpowierzono powierzone dane osobowe (podwykonawców)?

Do e-booka dołączyliśmy także wzór rejestru czynności przetwarzania wraz z objaśnieniem jak należy go wypełnić (na przykładzie procesu rekrutacji pracowników).

Ten e-book kierujemy w szczególności do administratorów danych, inspektorów ochrony danych osobowych, prawników specjalizujących się w tym zakresie, ale także do wszystkich osób, które na co dzień zajmują się kwestiami związanymi z ochroną danych osobowych w swoich organizacjach.

Rejestr czynności przetwarzania najczęstsze pytania do administratorów
Fragmenty e-booka

3. W jaki sposób opisywać kategorie danych? Czy wystarczą hasła, np.: „Dane identyfikacyjne”, „Dane o stanie zdrowia”?

Odpowiedź: Jeżeli administrator jest w stanie wskazać precyzyjnie, że będą to dane identyfikacyjne w zakresie imienia, nazwiska, PESEL-u, nr dowodu osobistego; lepiej wykonać to dokładnie z uwagi na wymagania administratora. Nie zawsze jest to możliwe, szczególnie jeżeli są to dane dotyczące stanu zdrowia, gdzie może być wiele informacji, które łącznie składają się na określenie stanu zdrowia, a których nie da się wskazać szczegółowo. Wtedy należy pozostawić to ogólnie jako „informacje dotyczące stanu zdrowia”. Reasumując, jeżeli jest to możliwe, należy wskazać precyzyjnie. Jeżeli nie, należy opisać kategorie danych (informacje o stanie zdrowia, informacje o wykształceniu, przebieg doświadczenia zawodowego).

5. Kto lub co może być kategorią odbiorców? Czy będą to, np. Inspekcja Sanitarna (PIS), PIP, ZUS itp.? Czy jeszcze jakieś inne osoby prawne lub fizyczne?

Odpowiedź: Odbiorcami będą podmioty, którym powierzono dane osobowe, a także inni administratorzy, którym są udostępniane dane osobowe, z wyłączeniem podmiotów publicznych, którym dane są udostępniane na podstawie przepisów prawa. Zatem odbiorcami danych będzie biuro rachunkowe, firma zapewniająca wsparcie techniczne dla systemów informatycznych, zewnętrzne archiwum, ale także radca prawny, adwokat, doradca podatkowy czy biegły rewident, którym dane udostępnia się w związku z wykonywaniem zawodu uregulowanego ustawowo. Uważam, że powinno się wskazywać konkretnych odbiorców danych, gdyż pozwala to zapewnić skuteczniejszą kontrolę nad przepływem danych.

25. Czy w rejestrze kategorii czynności przetwarzania trzeba wskazać podmioty, którym podpowierzono powierzone dane osobowe (podwykonawców)?

Odpowiedź: Zgodnie z art. 30 ust. 1 lit. d RODO, w rejestrze czynności przetwarzania administrator wskazuje odbiorców danych. Podmiot przetwarzający dane w imieniu administratora jest odbiorcą danych, w rozumieniu art. 4 RODO. Tym samym każdy dalszym podmiot przetwarzający, także jest odbiorcą powierzonych przez administratora danych. Rozstrzygające dla sprawy znaczenie mają dwie kwestie:

1) rejestr służy zapewnieniu skutecznego nadzoru nad procesami przetwarzania danych, w tym nad podmiotami przetwarzającymi dane osobowe;

2) administrator, zgodnie z art. 28 RODO jest informowany przez podmiot przetwarzający o każdym dalszym podmiocie przetwarzającym, zatem posiada tę wiedzę i powinien po wyrażeniu zgody lub braku sprzeciwu (w zależności od ustalonej pomiędzy stronami formy dalszego powierzenia danych) odnotować w wewnętrznej dokumentacji tę informację.

Rejestr czynności przetwarzania najczęstsze pytania do administratorów
O autorach
Sylwia-Czub-Kielczewska
Ekspert do spraw ochrony danych osobowych i bezpieczeństwa informacji, szkoleniowiec, certyfikowany audytor wewnętrzny PN-ISO/IEC 27001. Wykładowca akademicki. Posiada wieloletnie doświadczenie w koordynacji procesów bezpieczeństwa danych. Jest to nie tylko jej praca, ale także pasja: prowadzi popularnego bloga Sylwia Czub bloguje o danych osobowych (sylwiaczub.pl).
Polecane rozwiązania
1727254981-1920x1080

LEX Ochrona Danych Osobowych 

To serwis prawny, który pomoże Ci wdrożyć i należycie stosować przepisy RODO oraz innych aktów (w tym sektorowych), które dotyczą ochrony danych osobowych. Z LEX ODO przeprowadzisz także kompleksową analizę ryzyka.
Back To Top