Procedura prowadzenia rejestrów czynności przetwarzania danych osobowych

Postępowanie dotyczące sporządzania rejestru czynności przetwarzania danych oraz rejestru kategorii czynności przetwarzania

CEL PROCEDURY

Zapewnienie przez administratora zgodności z RODO (art. 30 RODO), czyli ze wskazanymi w tym akcie prawnym zasadami i warunkami przetwarzania danych osobowych.

ODPOWIEDZIALNI ZA WYKONANIE PROCEDURY

Kierownicy komórek organizacyjnych – w zakresie aktualności i poprawności informacji zawartych w rejestrach cząstkowych w ramach realizowanych procesów przetwarzania danych osobowych w zarządzanej komórce organizacyjnej. W przypadku przetwarzania danych powierzonych przez innych administratorów, Kierownicy komórek organizacyjnych odpowiadają za prowadzenie rejestru kategorii czynności przetwarzania realizowanych przez ich komórkę.

Dyrektor Działu IT – w zakresie koordynowania oraz prowadzenia nadzoru nad prowadzeniem rejestru czynności przetwarzania dla Firma "Przykładowa Sp. z o.o.".

Inspektor ochrony danych - w zakresie okresowej weryfikacji rejestrów oraz aktualizacji rejestrów w przypadku otrzymania stosownych informacji od Kierowników komórek organizacyjnych.

POSTANOWIENIA OGÓLNE PROCEDURY

1. Rejestr czynności przetwarzania RCP i rejestr kategorii czynności przetwarzania RKCP tworzy się na podstawie rejestrów cząstkowych tworzonych przez każdą komórkę organizacyjną.

2. Za sporządzenie rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania odpowiada Dyrektor Działu IT.

3. RCP i RKCP sporządza się i aktulizuje na podstawie przeprowadzonej inwentaryzacji czynności przetwarzania danych, w oparciu o przekazane przez Dyrektora Działu IT do komórek organizacyjnych projekty rejestrów, o których mowa w ust. 1, zgodnie z właściwością, celem ponownego uzgodnienia zapisów oraz ewentualnego uaktualnienia.

4. Inspektor ochrony danych co najmniej raz w kwartale występuje do komórek organizacyjnych o zweryfikowanie aktualności RCP i RKCP. W przypadku zmian, dokonuje aktualizacji RCP i RKCP.

5. Kierownicy komórek organizacyjnych mają obowiązek na bieżąco informować IOD o wszelkich zmianach w procesach przetwarzania danych osobowych realizowanych w swoich komórkach, w szczególności dotyczących:

1) celów i podstaw przetwarzania danych;

2) kategorii osób, których dane są przetwarzane;

3) zakresu przetwarzania danych;

4) podmiotów przetwarzających, którym dane są powierzane;

5) odbiorców danych, którym dane są udostępnione, w tym odbiorców w Stanach Zjednoczonych lub będących organizacją międzynarodową.

6. Kierownicy komórek organizacyjnych prowadzą RKCP, poprzez wprowadzenie do nich danych z zawartych umów powierzenia przetwarzania danych w imieniu innych administratorów. W RKCP zamieszcza się w szczególności:

1) Jan Kowalski lub Firma "Księgowa Sp. z o.o." oraz NIP: 123-456-78-90 podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

2) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

3) gdy ma to zastosowanie - przekazania danych osobowych do Kanady lub organizacji międzynarodowej, w tym nazwa organizacji międzynarodowej "Global Corp", a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

4) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.