Przejdź do głównej zawartości

Jak wypełnić rejestr Czynności przetwarzania?

Wprowadzenie do przepisów RODO

Zgodnie z art. 30 ust. 5 RODO obowiązku prowadzenia rejestru czynności przetwarzania nie mają przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Podpowiedź

Zachęcamy wszystkie firmy do prowadzenia rejestru czynności przetwarzania danych osobowych. Stworzenie takiego rejestru jest stosunkowo proste i nie zajmie dużo czasu.

Zgodnie z art. 30 RODO, rejestr czynności przetwarzania powinni prowadzić zarówno administratorzy danych osobowych, jak i podmioty przetwarzające dane. Przepisy te określają minimalne wymagania dotyczące treści rejestru.

Informacje wymagane w rejestrze

Zgodnie z art. 30 ust. 1 RODO, każdy administrator oraz gdy ma to zastosowanie, przedstawiciel administratora, prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. Rejestr powinien zawierać następujące informacje:

  • imię i nazwisko lub nazwę oraz dane kontaktowe - imię i nazwisko lub nazwa administratora oraz - w razie potrzeby - przedstawiciela administratora i inspektora ochrony danych,
  • cele przetwarzania - jasne określenie, w jakim celu dane są przetwarzane,
  • opis kategorii osób - opis osób, których dane dotyczą, oraz rodzaj przetwarzanych danych osobowych,
  • kategorie odbiorców - kategorie odbiorców, którym dane zostały lub będą ujawnione, w tym z państw trzecich lub organizacji międzynarodowych,
  • przekazanie danych - do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń,
  • terminy usunięcia poszczególnych kategorii - planowane terminy usunięcia poszczególnych kategorii danych, jeśli są znane,
  • opis technicznych i organizacyjnych środków bezpieczeństwa - ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Zgodnie z art. 30 UST. 2 RODO Rejestrowanie czynności przetwarzania, każdy podmiot przetwarzający oraz gdy ma to zastosowanie, przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
  • przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń,
  • opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Zgodnie z art. 30 ust. 3 RODO, rejestry mogą być prowadzone w formie elektronicznej, co ułatwia ich aktualizację i dostępność.

Udostępnianie rejestru

Na podstawie art. 30 ust. 4 RODO, administratorzy oraz podmioty przetwarzające muszą udostępniać rejestr na żądanie organu nadzorczego, co podkreśla znaczenie transparentności w przetwarzaniu danych osobowych.

Jak zarządzać rejestrem Czynności przetwarzania w programie?

Aby otworzyć rejestr w Wapro RODO, przejdź do widoku RODO | Czynności przetwarzania. Na ekranie wyświetli się główne okno przeglądarki rejestru. W górnej części okna widoczna jest główna lista rejestru, natomiast w dolnej części szczegółów można wyświetlić niektóre informacje dla zaznaczonej na górnej liście pozycji. Klikając ikonę ikona-podglad, możesz zapoznać się z danymi konkretnej pozycji.

Ikony ikona-edytowanie oraz ikona-usuwanie pozwalają kolejno na modyfikację i usunięcie wpisu.

czynnosci-przetwarzania-glowny-widok

Filtrowanie danych

Dzięki filtrom z prawej strony głównego okna, masz możliwość wyszukania konkretnych informacji. W tym celu kliknij ikonę ikona-lejek. Po określeniu wszystkich danych w polach filtra, widok w oknie listy zostanie odpowiednio zawężony. Aby wyczyścić okno filtrowania, kliknij ikonę ikona-gumka.

czynnosci-przetwarzania-fitr

Jak dodać nową pozycję?

Warto wiedzieć

Rejestr Czynności przetwarzania może zostać utworzony wyłącznie w kontekście jednego zbioru przetwarzanych danych. Jeżeli taki zbiór nie został jeszcze dodany do rejestru zbiorów przetwarzanych danych, najpierw należy go dodać.

Jeżeli w zbiorze znajdują się dane osobowe bardzo się różniące kategoriami przetwarzania lub terminami usuwania kategorii danych, w rejestrze dla jednego zbioru przetwarzanych danych, dla każdej kategorii można utworzyć osobny zapis.

Wybierz zbiór danych, do którego chcesz dodać nową czynność i kliknij ikonę ikona-dodawanie.

Warto wiedzieć

Budowa rejestru zależy od tego, czy zbiór przetwarzanych danych wybrany w polu Zbiór, jest przetwarzany przez administratora danych osobowych, czy też przez podmiot przetwarzający.

Na zakładce Dane podstawowe uzupełnij wymagane dane. Część z nich została automatycznie uzupełniona na podstawie informacji zapisanych w rejestrze Zbiory przetwarzanych danych.

czynnosci-przetwarzania-podstawowe

Zakładka Kategorie osób umożliwia przypisanie rodzajów osób zdefiniowanych w słowniku Kategorie osób. Kliknij ikonę ikona-dodawanie i wybierz kategorię z listy. Wybraną kategorię możesz usunąć z listy, klikając ikonę ikona-usuwanie.

czynnosci-przetwarzania-kategorie-osob

Podobnie możesz wybrać kategorie na zakładce Kategorie odbiorców (zdefiniowane w słowniku Kategorie odbiorców i przypisane do Twojego zbioru danych).

czynnosci-przetwarzania-kategorie-odbiorcow

Na zakładce DPIA (ang. Data Protection Impact Assessment), czyli oceny skutków dla ochrony danych, masz możliwość dokumentowania wyników przeprowadzonej analizy dotyczącej wpływu przetwarzania danych osobowych na prawa podmiotów danych. Zgodnie z artykułem 35 ust. 1 RODO, w przypadku przetwarzania, które może wiązać się z istotnym ryzykiem dla praw i wolności osób fizycznych – szczególnie gdy wykorzystane są nowe technologie – administrator danych jest zobowiązany do przeprowadzenia szczegółowej oceny skutków przed rozpoczęciem przetwarzania.

Warto podkreślić, że ocena skutków powinna uwzględniać charakter, zakres, kontekst i cele przetwarzania. Jeśli różne operacje przetwarzania danych mają podobne cechy i niosą ze sobą wysokie ryzyko, istnieje możliwość przeprowadzenia jednej, kompleksowej oceny dla tych działań. Dzięki temu administratorzy mogą lepiej zarządzać ryzykiem i zapewnić odpowiednią ochronę danych osobowych, co jest kluczowe w kontekście przestrzegania przepisów RODO.