Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych ciąży na ich administratorach. Wszelkie regulacje dotyczące tego zagadnienia zostały wskazane w art. 30 rozporządzenia RODO. Zgodnie z zawartymi tam przepisami wspomniany katalog musi być dostępny w formie pisemnej. Dlatego warto poznać zasady jego przygotowywania. Zainteresowany? Zapraszamy do lektury!
Rejestr danych osobowych – cel prowadzenia i podmiot odpowiedzialny
Dokumenty rejestrowe dotyczące czynności przetwarzania danych osobowych opracowuje się w określonym celu. Mają one przede wszystkim zagwarantować zachowanie przez administratora i podmiot przetwarzający zgodności z przepisami zawartymi w RODO. Ponadto rejestr ułatwia organom nadzorczym regularne monitorowanie prowadzonych w tym zakresie działań. Udostępniane przedstawicielom tych instytucji dane mają przystępną formę i układ, dzięki czemu można je szybko i sprawnie przeanalizować oraz wyciągnąć z nich odpowiednie wnioski. Na ich podstawie często dokonuje się oceny zrealizowanych czynności przetwarzania pod kątem ich zgodności zarówno z obowiązującymi przepisami prawnymi, jak i celami biznesowymi.
Prowadzeniem rejestrów danych osobowych zajmują się ich administratorzy, a także podmioty przetwarzające (lub wyznaczeni przez nich przedstawiciele, jeśli wspomniane instytucje nie mają swoich jednostek organizacyjnych na terenie Unii Europejskiej). Przygotowywanie dokumentów rejestrowych jest obowiązkowe wtedy, gdy przetwarzanie odbywa się systematycznie z określoną częstotliwością i związane jest z ryzykiem naruszenia praw i wolności osób, do których się odnosi. Rejestry są obligatoryjne także w przypadku szczególnych kategorii danych osobowych (np. odnoszących się do wyroków skazujących).
Obowiązkowe elementy rejestru danych osobowych
Prowadzona przez administratora i podmiot przetwarzający dokumentacja rejestrowa nie jest taka sama. Ten pierwszy zobowiązany jest bowiem do udzielania w przygotowywanych wykazach takich informacji, jak:
- cele przetwarzania danych osobowych;
- imię i nazwisko, nazwa, adres, numer telefonu administratora;
- kategorie osób, których dotyczą czynności przetwarzające oraz kategorie danych osobowych;
- lista odbiorców, którym planuje się przekazanie informacji o klientach;
- przewidywane terminy usunięcia poszczególnych danych z baz;
- charakterystyka zastosowanych organizacyjnych i technicznych środków bezpieczeństwa.
Z kolei rejestr danych osobowych przygotowywany przez podmiot przetwarzający musi zawierać:
- dane identyfikacyjne organizacji i administratora, w którego imieniu wykonuje ona określone czynności;
- kategorie wykonanych przetwarzań;
- opis wykorzystanych środków bezpieczeństwa.
Jeśli dane osobowe są przekazywane instytucjom spoza Unii Europejskiej lub organizacjom międzynarodowym zarówno administrator, jak i podmiot przetwarzający muszą wskazać w rejestrach nazwy tych państw bądź organów administracyjnych, a także wykaz stosownych zabezpieczeń.
Rejestr czynności przetwarzania danych osobowych
Wskazane elementy mają charakter obowiązkowy. Ze względu jednak na pewne niejasności definicyjne Urząd Ochrony Danych Osobowych opracował szablony takich rejestrów wraz ze szczegółowym omówieniem zawartych w nich podpunktów oraz praktycznymi przykładami ich uzupełniania. Żaden administrator ani podmiot przetwarzający nie są jednak zobligowani do korzystania z tych szablonów. W praktyce bowiem każdy rejestr czynności przetwarzania danych osobowych przygotowany w formie pisemnej, z zachowaniem wyszczególnionych reguł może zostać uznany za ważny. Nie ma też znaczenia forma, w jakiej został on sporządzony. Może to być zarówno tradycyjny papierowy dokument, jak i formularz elektroniczny.