W jaki sposób prowadzić rejestr czynności przetwarzania?

Dowiedz się, jak robić to poprawnie

Rejestr czynności przetwarzania jest jednym z podstawowych dokumentów, który powinien opracować Administrator Danych Osobowych. Celem prowadzenia rejestru jest usystematyzowanie czynności przetwarzania, jakie dokonywane są na danych. Naruszenie przez Administratorów tego obowiązku może skutkować poważnymi konsekwencjami, takimi jak wysokie kary pieniężne. Z tego artykułu dowiesz się, w jaki sposób postępować z rejestrami czynności przetwarzania.

Czym jest rejestr czynności przetwarzania?

Rejestr czynności przetwarzania jest kluczową częścią dokumentacji związanej z przetwarzaniem danych osobowych. Jego wprowadzenie zastąpiło wymagania, jakie przewidywała Ustawa o ochronie danych osobowych z 1997 r., czyli obowiązek zgłaszania zbiorów danych do organu nadzorczego, a także jawny rejestr Administratora Bezpieczeństwa Informacji.

Rejestr ma charakter wewnętrzny, co oznacza, że Administrator Danych Osobowych nie ma obowiązku nigdzie go ujawniać. Należy w nim wskazać wszystkie czynności związane z przetwarzaniem danych osobowych, jakie mają miejsce w danym przedsiębiorstwie. Powinno się jednak pamiętać o odróżnieniu czynności przetwarzania (należy na nie patrzeć z perspektywy celu, dla którego dane osobowe są przetwarzane) i operacji przetwarzania (jak zbieranie czy usuwanie danych osobowych).

W jakim celu prowadzi się rejestr?

Motyw 82 RODO wskazuje na dwa główne cele prowadzenia rejestrów: zachowanie zgodności z przepisami RODO oraz umożliwienie organowi nadzorczemu monitorowania procesów przetwarzania danych w przedsiębiorstwach. Administratorzy Danych Osobowych lub podmioty przetwarzające mają obowiązek udostępniania rejestrów na każde żądanie organu nadzorczego.

Prawidłowo skonstruowany rejestr pozwala na kompleksową ocenę wykonywanych procesów przetwarzania danych osobowych pod względem ich zgodności z wymogami prawnymi. Prowadzenie rejestru ułatwia Administratorom Danych Osobowych realizację zasady rozliczalności, będącej jedną z podstawowych zasad polityki RODO. Ponadto takie rejestry systematyzują wykonywane czynności przetwarzania oraz pomagają w monitorowaniu prowadzonych operacji przetwarzania danych pod względem zgodności nie tylko z wymaganiami prawnymi, ale też celami biznesowymi.

Inspektor Ochrony Danych

Kto jest zobowiązany do prowadzenia rejestru czynności przetwarzania?

odnie z art. 30 ust. 1 Rozporządzenia Ogólnego o Ochronie Danych Osobowych obowiązek prowadzenia i aktualizowania rejestru czynności przetwarzania danych osobowych spoczywa na każdym Administratorze Danych Osobowych oraz – w uzasadnionych przypadkach – na jego przedstawicielu.

Prowadzenie rejestru czynności przetwarzania jest obowiązkowe, gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw bądź wolności osób, których określone dane dotyczą,
  • nie ma charakteru sporadycznego (cechuje się określoną cyklicznością),
  • obejmuje szczególne kategorie danych osobowych (takie jak np.  pochodzenie rasowe, etniczne, przekonania religijne czy poglądy polityczne) lub też dotyczy danych osobowych związanych z wyrokami skazującymi i czynami zabronionymi.

Obowiązek prowadzenia rejestru omija przedsiębiorców i podmioty zatrudniające mniej niż 250 osób w przypadku, gdy przetwarzanie, którego dokonują, nie dotyczy trzech wskazanych sytuacji. Zwolnienie to znajduje zastosowanie przede wszystkim w przypadku jednoosobowych działalności gospodarczych i mniejszych przedsiębiorstw produkcyjnych.

Wymogi formalne rejestrów przetwarzania czynności

Polityka bezpieczeństwa zgodna z RODO pozwala na prowadzenie rejestrów w formie papierowej lub elektronicznej (art. 30 ust. 3 Rozporządzenia). Ustawodawca nie podaje jednak konkretnego szablonu, według którego powinno się przygotowywać rejestry – administratorzy danych oraz podmioty przetwarzające mogą je sporządzać według własnych schematów.
W celu ułatwienia realizacji tego obowiązku Prezes Urzędu Ochrony Danych Osobowych przygotował gotowe szablony wraz z przykładami ich uzupełnienia.

Dla każdego wpisu w rejestrze na pierwszej pozycji należy umieścić nazwę czynności przetwarzania, a następnie pozostałe informacje na temat danej czynności. Ważne, żeby administrator lub podmiot przetwarzający był w stanie przedstawić elementy wymagane w art. 30 ust. 1 i 2 RODO w odniesieniu do wszystkich prowadzonych w organizacji procesów przetwarzania danych osobowych. Musi to być zapewnione w sposób czytelny i przejrzysty.

Kategorie czynności przetwarzania

Kategorie przetwarzanych danych osobowych można klasyfikować na dwa sposoby: poprzez wskazanie typów oraz rodzajów danych (np. dane kontaktowe, dane identyfikacyjne) lub poprzez wskazanie zakresu informacji (np. imię, nazwisko, adres). Przy uwzględnieniu zasady rozliczalności zasadnym dla Administratorów Danych wydaje się przyjęcie drugiego ze wskazanych rozwiązań. Warto także rozważyć określenie, czy mamy do czynienia z danymi zwykłymi, ze szczególnymi kategoriami danych osobowych (art. 9 ust. 1 RODO), czy też
z danymi, które podlegają szczególnym warunkom przetwarzania (art. 10 RODO).

Jak usprawnić pracę z rejestrem czynności przetwarzania?

Rejestr czynności przetwarzania danych osobowych jest głównym i zarazem najważniejszym rejestrem w programie RODOprotektor. Są w nim ewidencjonowane wszystkie prowadzone czynności. RODOprotektor pozwala na wskazanie takich części składowych, jak nazwy czynności przetwarzania, cel przetwarzania i kategorie osób.

Pracę z systemem RODOprotektor rozpoczyna się od podania stałego numeru ewidencyjnego dla czynności i głównego procesu. Następnie należy wskazać nazwę czynności, którą można wybrać z rozwijalnej listy. W razie potrzeby można dodać, zmodyfikować lub usunąć wprowadzony wcześniej wpis. W tej części należy podać także właściciela procesu, którym może być jednostka organizacyjna bądź wyznaczony pracownik odpowiedzialny za proces przetwarzania i opis.

W kolejnej części należy wybrać nazwę administratora, a system w sposób automatyczny uzupełnia informację o danych kontaktowych administratora oraz właściwym Inspektorze Danych Osobowych. Możliwym jest także podanie większej liczby administratorów.
W dalszym toku należy wybrać współadministratora danych oraz podać jego nazwę. Tutaj także istnieje możliwość podania współadministratorów.

Kolejne kwestie stanowią te związane z danymi osobowymi. Rozwijalna lista zapewnia szerokie możliwości wyboru. W tej części wskazuje się dane takie jak zbiory, analityka danych, kategorie danych, opis kategorii osób oraz źródła pozyskania danych.

Następnym krokiem jest przypisanie programów i zasobów, w których dochodzi do przetwarzania danych osobowych oraz szczegółowych informacji dot. celu przetwarzania, kategorii odbiorców i odpowiedniej podstawy prawnej. W tej części należy uzupełnić także kwestie związane z przekazywaniem danych do państwa trzeciego lub organizacji międzynarodowej wraz z podaniem nazwy i kategorii odbiorców w państwach trzecich lub
w organizacjach międzynarodowych. Dodatkowo należy uzupełnić także rubryki „Podmioty” i „Powierzone czynności”.

Ostatni punkt stanowi wykaz środków bezpieczeństwa, zgodny z art. 30 ust. 1 pkt G i wskazanie okresu retencji danych, do którego określenia służą stosowne podstawy prawne. Na końcu można także dodać stosowne załączniki. Po utworzeniu rejestru pojawia się możliwość wygenerowania raportu, który może być zapisany w wybranym rozszerzeniu, bądź też wydrukowany.

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość