Rejestr czynności przetwarzania danych – jak dbać o jego kompletność?
RODO wymaga utworzenia rejestru czynności przetwarzania. Z pewnością wiesz, jak szczegółowo jest on opisany i co musi zawierać. Opisuje to wprost Art. 30 RODO.
1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:
a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
RODO Art. 30 ust. 1
Jak zapanować nad taką liczbą informacji i powiązać je ze sobą?
Problem z rejestrem czynności polega na tym, że musisz zebrać dużą ilość danych, zadbać o to, by były one kompletne. Często należy także także wskazać, kto jest podmiotem przetwarzającym dane. W praktyce oznacza to konieczność stałej kontroli nad rejestrem czynności. Cele przetwarzania, podstawy, podmioty i kategorie danych, okresowe usuwanie, ocena ryzyka, osoby upoważnione, źródła czy odbiorcy, podmioty przetwarzające i umowy powierzenia… Zapewne widzisz, ile nakładających się na siebie relacji i zależności tka RODO w Twoje firmie. Jedna z kluczowych cech Systemu iGDPR polega właśnie na tym, że pomaga Ci zadbać o kompletność rejestru czynności. Co więcej, iGDPR pozwala zdefiniować relacje na różnych poziomach zarządzania RODO.
Rejestr czynności przetwarzania to kluczowe ogniwo w procesie zarządzania ochroną danych osobowych. Stanowi podstawowe odniesienie do innych funkcjonalności Systemu iGDPR, jak na przykład Retencja, Nadawanie upoważnień czy Obsługa żądań podmiotów danych. Rejestr jest również podstawowym źródłem informacji dla funkcjonalności takich, jak Klauzule informacyjne czy Umowy powierzenia. System iGDPR zapewnia utworzenie rejestru czynności przetwarzania zawierającego wszystkie wymagane przepisami informacje.
Umieścisz w nim w szczególności:
- dane administratora,
- Inspektora Ochrony Danych,
- cele przetwarzania,
- opis kategorii osób, których dane dotyczą
- kategorie danych osobowych,
- kategorie odbiorców,
- państwa trzecie, do których dane są transferowane,
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, w tym powiązanych zasobów.
Usuwanie poszczególnych kategorii danych podobnie jak planowanie usuwania, zdefiniujesz i zarządzisz nim w specjalnie utworzonym do tego celu module Retencja.
Szacowany czas czytania: 3 minuty