Rejestr czynności przetwarzania

Rejestr czynności przetwarzania

Dla wszystkich Administratorów Danych prowadzących Rejestr Zbiorów, twórcy RODO mają dobrą wiadomość: obowiązek rejestracji zbiorów danych znika! Jednak w związku z prawdziwością powiedzenia, że „w przyrodzie nic nie ginie”, obowiązek prowadzenia Rejestru Zbiorów nie znika zupełnie, a zostaje zastąpiony obowiązkiem prowadzenia Rejestru Czynności Przetwarzania.

Czym rejestr ten będzie się różnił od swojego poprzednika?

Przede wszystkim, każdy administrator oraz procesor jest zobowiązany rejestr prowadzić. W każdym rejestrze powinny znaleźć się informacje dotyczące administratora oraz współadministratorów, przedstawiciela administratora oraz inspektora ochrony danych. Nie może zabraknąć też informacji o celu i sposobach technicznych zabezpieczających przetwarzanie, kategoriach osób, których dane dotyczą i co oczywiste, kategoriach samych danych. Wymienić należy także kategorie odbiorców, którym dane zostaną ujawnione i przekazane, zwłaszcza tych w państwach trzecich. Co ciekawe, w Rejestrze powinny znaleźć się także informacje dot. planowanego terminu usunięcia poszczególnych kategorii danych.

Rejestr może być prowadzony zarówno w sposób elektroniczny, jak i papierowy. Ważne, by można było go w razie kontroli organu uprawnionego, bez przeszkód udostępnić. Organ nadzorczy będzie dokonywał kontroli rejestrów w ramach monitorowania prowadzonych operacji związanych z przetwarzaniem.

Od obowiązku prowadzenia rejestru istnieją wyjątki. Przepisy zwalniają z konieczności prowadzenia Rejestru administratorów, którzy zatrudniają mniej niż 250 pracowników. Ponadto, zwolnienie z obowiązku będzie dotyczyło administratorów, którzy przetwarzają dane w sposób sporadyczny, przetwarzanie nie niesie za sobą ryzyka naruszenia praw lub wolności osób, których dane dotyczą, przetwarzanie nie obejmuje szczególnych kategorii danych osobowych lub kategorii danych dotyczących wyroków skazujących i naruszeń prawa, zgodnie z art. 10 RODO.

Mając na uwadze powyższe wyliczenia, zdecydowana większość administratorów danych osobowych będzie zobowiązana prowadzić Rejestr Czynności Przetwarzania. Co do procesorów, przepisy RODO nie przewidują zwolnienia ich z obowiązku prowadzenia Rejestru, tak więc muszą go prowadzić w każdym przypadku.

Angelika Niezgoda

Autor

Angelika Niezgoda

Od kilku lat zajmuje się tematyką ochrony danych osobowych i bezpieczeństwa informacji. Jako certyfikowany Inspektor Ochrony Danych prowadzi audyty bezpieczeństwa danych i czuwa nad projektowaniem i wdrażaniem procedur ochrony danych osobowych zgodnych z wymogami RODO.