Rejestrowanie czynności przetwarzania danych - nowy obowiązek podmiotów przetwarzających dane

Kategoria: Ochrona danych osobowych
Autor: Łukasz Onysyk
Data: 29-11-2016 r.

Zgodnie z unijnym rozporządzeniem o ochronie danych osobowych podmioty, które przetwarzają dane osobowe, będą musiały prowadzić rejestr czynności przetwarzania danych osobowych. Dowiedz się, jakie elementy trzeba będzie koniecznie zamieścić w takim rejestrze. Sprawdź, czy jesteś wśród podmiotów, które będą zwolnione z realizacji tego obowiązku.

Nowością, jaką wprowadzi ogólne rozporządzenie w sprawie ochrony danych osobowych (rodo), jest rejestrowanie czynności przetwarzania danych osobowych. Obowiązek ten będzie spoczywał na administratorze danych. Zgodnie z ogólnym rozporządzeniem podmiot, który przetwarza dane osobowe, będzie musiał prowadzić rejestr czynności przetwarzania danych osobowych, których jest administratorem.

Jakie elementy musi zawierać rejestr

 

Zgodnie z rodo rejestr czynności przetwarzania danych osobowych prowadzony przez administratora danych będzie składał się z siedmiu elementów:

  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
  • cele przetwarzania – czy jest to np. cel kontaktowy, marketingowy, realizacja zawartych umów, czy prowadzenie korespondencji przychodzącej i wychodzącej,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych – za odbiorców danych nie uznaje się organów publicznych, które występują w ramach konkretnego postępowania,
  • przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  • planowane terminy usunięcia poszczególnych kategorii danych (jeżeli będzie to możliwe),
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, które mają zapewnić odpowiedni stopień bezpieczeństwa przetwarzanych danych, środki te mają uwzględniać m.in. stan wiedzy technicznej, koszty wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia (jeżeli będzie to możliwe).

Nie będziesz musiał prowadzić rejestru jeśli…

Jeżeli podmiot, który przetwarza dane osobowe, zatrudnia mniej niż 250 pracowników, nie będzie musiał prowadzić rejestru czynności przetwarzania danych (jeśli jest administratorem danych) lub rejestru kategorii czynności przetwarzania (jeśli jest procesorem). Wyjątkiem będą sytuacje, gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • jest realizowane na dużą skalę (np. w przypadku instytucji finansowych, banków, danych medycznych, przy działalności marketingowej),
  • obejmuje dane wrażliwe,
  • obejmuje dane, które dotyczą wyroków skazujących i naruszeń prawa.
Łukasz Onysyk, ekspert ds. ochrony danych osobowych, zajmuje się usługami konsultingowymi z zakresu ochrony danych osobowych, doradzał ponad 200 podmiotom z sektora prywatnego i administracji publicznej
Zobacz także:

Tagi: firma, ochrona danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Prawo do informacji o przetwarzanych danych osobowych

Prawo do informacji o przetwarzanych danych osobowych »
Odpowiedzialność administratora danych osobowych

Odpowiedzialność administratora danych osobowych »
Prawo do kopii danych osobowych

Prawo do kopii danych osobowych »
Array ( [docId] => 39776 )
Array ( [docId] => 39776 )