Jak stworzyć rejestr czynności przetwarzania?

Zasady tworzenia rejestru czynności przetwarzania określa art. 30 RODO, zgodnie z którym rejestr musi zawierać:

Zasady tworzenia rejestru czynności przetwarzania określa art. 30 RODO, zgodnie z którym rejestr musi zawierać:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania, np. przeprowadzenie procesu rekrutacji;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych (kategoria osób to np. uczestnicy rekrutacji, natomiast przy kategorii danych należy wskazać, czy są to dane zwykłe czy wrażliwe);
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych – RODO zezwala na wskazanie tylko kategorii odbiorców, jednak należy wskazać konkretnych odbiorców, da to możliwość rozliczalności danych osobowych;
  • informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi – dokumentację odpowiednich zabezpieczeń;
  • planowane terminy usunięcia poszczególnych kategorii danych (przetwarzanie danych powinno być celowe i ograniczone czasowo);
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 (można odnieść się do zapisów z polityki bezpieczeństwa).

 

Obecne przepisy wykonawcze nie odnoszą się do sposobu tworzenia i prowadzenia rejestru przetwarzania, tak więc administratorzy danych są zobowiązani sami podejmować decyzje dotyczące tego, jak taki rejestr przygotować i prowadzić. Warto wykorzystać obecne rozwiązanie, czyli obecny rejestr zbiorów danych prowadzony przez ABI, rozszerzony o dodatkowe kolumny.

WAŻNE!

Przepisy RODO nie narzucają administratorom formy prowadzenia rejestru. Rejestr czynności przetwarzania danych osobowych może być prowadzony w formie papierowej lub elektronicznej.