Polecenie: Czynności przetwarzania
Podstawy prawne
Zgodnie z art. 30 ust. 5 RODO obowiązku prowadzenia rejestru czynności przetwarzania nie mają przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Mimo to zachęcamy do prowadzenia przez wszystkie firmy przetwarzające dane osobowe rejestrów przetwarzania danych. Budowa rejestru nie jest skomplikowana, zatem utworzenie go nie zajmie dużo czasu.
Zgodnie z art. 30 RODO, rejestr czynności przetwarzania powinni prowadzić zarówno administratorzy danych osobowych, jak i podmioty przetwarzające dane. Wspomniany artykuł definiuje również minimalne wymagania co do zawartości takich rejestrów.
Zgodnie z art. 30 ust. 1 RODO Rejestrowanie czynności przetwarzania, każdy administrator oraz, gdy ma to zastosowanie, przedstawiciel administratora, prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora i wszelkich współadministratorów, a także - gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Zgodnie z art. 30 UST. 2 RODO Rejestrowanie czynności przetwarzania, każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:
- imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Zgodnie z art. 30 ust. 3 rejestry, o których mowa w ust. 1 i 2, mogą mieć formę elektroniczną.
Zgodnie z art. 30 ust. 4 administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego.
Rejestr Czynności przetwarzania w programie
Aby otworzyć rejestr, z głównego menu programu należy wybrać polecenie: Zakładka: RODO | Polecenie: Czynności przetwarzania
. Na ekranie wyświetlone zostanie okno przeglądarki rejestru:
W górnej części okna widoczna jest główna lista rejestru, natomiast w dolnej części szczegółów można wyświetlić niektóre informacje dla zaznaczonej na górnej liście pozycji.
Aby:
- dodać nową pozycję do rejestru na oknie przeglądarki należy przycisnąć przycisk
Dodaj
lub użyć skrótuIns
; - dodać nową pozycję do rejestru na oknie przeglądarki należy przycisnąć przycisk
Popraw
lub użyć skrótuF2
;
Rejestr Czynności przetwarzania może zostać utworzony wyłącznie w kontekście jednego zbioru przetwarzanych danych. Jeżeli taki zbiór nie został jeszcze dodany do rejestru zbiorów przetwarzanych danych, najpierw należy go dodać.
Jeżeli w zbiorze znajdują się dane osobowe bardzo się różniące kategoriami przetwarzania lub terminami usuwania kategorii danych, w rejestrze dla jednego zbioru przetwarzanych danych, dla każdej kategorii można utworzyć osobny zapis.
Po wybraniu zbioru przetwarzanych danych, dla którego będzie tworzony zapis w rejestrze Czynności przetwarzania, dane zostaną częściowo uzupełnione na podstawie informacji zapisanych w rejestrze Zbiory przetwarzanych danych. W obu przypadkach wyświetlone zostanie okno podobne do poniższego. Budowa rejestru zależy od tego, czy zbiór przetwarzanych danych wybrany w polu Zbiór, jest przetwarzany przez administratora danych osobowych, czy też przez podmiot przetwarzający. Na poniższym przykładzie wybrana jest opcja administratora danych osobowych:
Dla podmiotów przetwarzających dane, w rejestrze nie jest wymagane określanie terminów usuwania kategorii danych, widok zakładki Podstawowe dla podmiotu przetwarzającego dane poniżej. Na zakładce, jeżeli jeszcze nie są zdefiniowane, należy uzupełnić:
- Cel przetwarzania - lista domyślnych wartości znajduje się w słowniku: Cele przetwarzania danych. W razie potrzeby można dodać do niego nowe pozycje;
- Opis technicznych i organizacyjnych środków bezpieczeństwa - pole jest opisowe, dane nie są słownikowane. Opis należy wprowadzić w to pole ręcznie.
Jak widać z porównania dwóch powyższych okien, rejestr Czynności przetwarzania różni się pozostałymi danymi dla:
- administratora danych osobowych - należy w rejestrze dodać informację o:
- kategoriach osób, których dane są przetwarzane; dane znajdują się w słowniku: Kategorie osób,
- kategoriach odbiorców danych, to znaczy, kto będzie miał dostęp do przetwarzanych danych osobowych; dane znajdują się w słowniku: Kategorie odbiorców;
- podmiotu przetwarzającego dane - należy w rejestrze dodać dane o:
- kategoriach przetwarzania, kategorii czynności, wykonywanych na danych osobowych. Dane znajdują się w słowniku: Kategorie przetwarzania.
Poniżej przykładowy widok zakładki Kategorie osób w rejestrze administratora danych:
Poniżej przykładowy widok zakładki Kategorie odbiorców w rejestrze administratora danych:
Poniżej przykładowy widok zakładki Kategorie przetwarzania w rejestrze podmiotu przetwarzającego dane:
W zakładce DPIA (Data Protection Impact Assessment - to ocena skutków dla ochrony danych) można wpisać wnioski wynikające z przeprowadzonej oceny na temat tego, jakie skutki dla podmiotów danych niesie za sobą przetwarzanie danych osobowych dla ochrony danych. Zgodnie z art. 35 ust 1 RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.