Rejestr czynności przetwarzania

Rejestr czynności przetwarzania

Rozporządzenie PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nakłada na administratora danych lub podmiot przetwarzający obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiadają.

Zawartość rejestru czynności przetwarzania przypomina rejestr zbiorów danych osobowych prowadzony obecnie przez ABI na podstawie ustawy o ochronie danych osobowych. Zawartość rejestru przetwarzania określona jest w art. 30 RODO. Rejestr różni się w zależności od tego czy dane przetwarzane są przez administratora lub podmiot przetwarzający.

Jeżeli rejestr prowadzony jest przez administratora umieszcza się w nim następujące dane:

1.        Imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych.

2.       Cele przetwarzania.

3.       Opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych.

4.       Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych.

5.       Gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń.

6.       Jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych.

7.       jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

1.       imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych.

2.       Kategorie przetwarzań dokonywanych w imieniu każdego z administratorów.

3.       Gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń.

4.       Jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Rejestry mają formę pisemną w tym formę elektroniczną. Rejestr udostępnia się na żądanie organu nadzorczego.

Warto podkreślić również, że prowadzenie rejestru nie jest czynnością obligatoryjną. Zwolnieni z prowadzenia rejestru są przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Art. 9 ust 1 odnosi się co do zasady, do zakazu przetwarzana danych sensetywnych. Zgodnie z nim zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. W art. 9 ust 2 wymieniony jest katalog przypadków, kiedy przetwarzanie danych sensetywnych jest dozwolone.

Za pomocą oprogramowania eABI możemy prowadzić rejestr czynności przetwarzania wymagany art. 30 RODO.

rejestrczynnoscipng

Rysunek 1 Rejestr czynności przetwarzania

Jak wspomniano wyżej rejestr prowadzi administrator oraz podmiot przetwarzający. Rejestry różnią się zawartością pól.


dodajnowypng

Rysunek 2 Nowa pozycja rejestru


Dodając nową pozycję rejestru mamy do wyboru czy dopisujemy rejestr dla administratora (ADO) czy Podmiotu przetwarzającego (Podmiot).

W zależności od wybranej opcji otwiera się odpowiedni formularz


rejestrdodajpng

Rysunek 3 Dodaj rejestr dla ADO

Program umożliwia wybranie zbioru danych oraz wypełnienie poszczególnych pól poprzez przepisanie już posiadanych danych w bazie programu eABI.

Opis środków technicznych można wpisać ręcznie lub zaznaczyć odpowiednie opcje wynikające z art. 32 RODO.


rejestrpodmiotaddpng

Rysunek 4 Dodaj rejestr dla Podmiotu

Funkcjonalność rejestru:

1. Dodawanie, poprawianie i usuwanie pozycji rejestru danych.
2. Zmianę typu wpisu z ADO na Podmiot i odwrotnie.
3. Wydrukowanie rejestrów osobno dla ADO i Podmiotu.

Poniżej przedstawiono przykład rejestru administratora danych.


rejestradopng

Rysunek 5 Przykład - Rejestr czynności przetwarzania ADO


rejestrpodmiotpng
Rysunek 6 przykład - Rejestr czynności przetwarzania podmiotu przetwarzającego

Zapraszamy do zakupu oprogramowania eABI.
Ochrona danych osobowych z eABI - to proste!
www.eabi.pl