Rejestr kategorii przetwarzania

RODO rozróżnia dwa rejestry, tzn. rejestr czynności przetwarzania danych oraz rejestr kategorii przetwarzania danych:

  • rejestr czynności prowadzi administrator danych dla swoich danych,
  • rejestr kategorii przetwarzania prowadzi podmiot przetwarzający dla danych, które zostały mu powierzone.

WAŻNE!

Rejestr kategorii przetwarzania to dodatkowy rejestr, który nie zastępuje rejestru czynności przetwarzania danych osobowych. Podmiot przetwarzający powierzone dane ma także dane, dla których jest on sam administratorem.

Rejestr kategorii przetwarzania musi zawierać (art. 30 RODO):

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych; koniecznie należy podać administratora danych, który powierzył dane;
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów, z uwzględnieniem, czy są to dane zwykłe, czy wrażliwe;
  • informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi – dokumentację odpowiednich zabezpieczeń; 
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 (można odnieść się do zapisów z polityki bezpieczeństwa).

 

Podmiot przetwarzający nie może dopisać kolejnych zbiorów danych powierzonych mu przez innego administratora do rejestru czynności przetwarzania danych osobowych założonego dla administrowanych przez niego danych osobowych, ponieważ zbiory powierzone nie są zbiorami administrowanymi przez niego. Niemniej jednak musi on stworzyć rejestr kategorii przetwarzania danych osobowych powierzonych mu przez innych administratorów. Rejestr ten zastąpi obecnie prowadzony wykaz zbiorów danych osobowych, a jego zawartość merytoryczna będzie tożsama z zawartością prowadzonego wykazu zbiorów danych osobowych. Zbiory danych powierzonych do przetwarzania ujęte w rejestrze kategorii powinny zawierać wskazane w RODO rekordy oraz takie informacje:

  • dane administratora danych, który powierzył dane,
  • datę zawarcia umowy powierzenia,
  • czas trwania umowy powierzenia,
  • zasady zakończenia współpracy pomiędzy administratorem a przetwarzającym (np. zniszczenie danych, oddanie danych),
  • dane podmiotu, któremu podpowierzono dane.