Rejestr czynności przetwarzania danych osobowych

Prawo

dane

Kategoria

dokumentacja

Instrukcja

Należy rozpocząć od uzupełnienia podstawy prawnej, na której opiera się obowiązek prowadzenia rejestru, w miejscu [PRZEPIS PRAWNY]. Następnie należy wpisać zasady przetwarzania danych, które rejestr ma wspierać, w miejsce [ZASADY]. W polu [CZYJE PRAWA] należy określić, czyje prawa wspiera prowadzenie rejestru. W miejscu [KTO JEST ZOBOWIĄZANY] należy wskazać podmioty zobowiązane do prowadzenia rejestru. W polu [FORMA] należy określić formę prowadzenia rejestru. W miejscu [KOMU] należy wskazać, komu rejestr ma być udostępniany. W sekcji "Zakres danych w rejestrze czynności" należy uzupełnić szczegółowe informacje dotyczące administratora w miejscu [DANE ADMINISTRATORA], cele przetwarzania w miejscu [CELE PRZETWARZANIA], opis kategorii osób i danych w miejscu [OPIS KATEGORII OSÓB I DANYCH], kategorie odbiorców w [KATEGORIE ODBIORCÓW], informacje o transferach danych w [INFORMACJE O TRANSFERACH DANYCH], informacje o usunięciu danych w [INFORMACJE O USUNIĘCIU DANYCH] oraz opis środków bezpieczeństwa w [OPIS ŚRODKÓW BEZPIECZEŃSTWA]. W przykładowym rejestrze należy uzupełnić dane administratora w miejscu [DANE ADMINISTRATORA], dane inspektora ochrony danych w [DANE IOD] oraz dane osoby odpowiedzialnej za aktualizację rejestru w [DANE OSOBY]. Dla każdego procesu przetwarzania danych należy podać nazwę procesu w [NAZWA PROCESU], numer wpisu w [NUMER WPISU], cel przetwarzania w [CEL PRZETWARZANIA], charakter przetwarzania w [CHARAKTER PRZETWARZANIA], podstawę przetwarzania w [PODSTAWA PRZETWARZANIA], kategorie osób, których dane dotyczą w [KATEGORIE OSÓB], zakres przetwarzanych danych w [ZAKRES DANYCH], kontekst przetwarzania danych w [KONTEKST PRZETWARZANIA], kategorie odbiorców w [KATEGORIE ODBIORCÓW], informacje o współadministrowaniu w [INFORMACJE O WSPÓŁADMINISTRACJI], informacje o transferach danych w [INFORMACJE O TRANSFERACH], informacje o retencji w [INFORMACJE O RETENCJI], opis środków bezpieczeństwa w [OPIS ŚRODKÓW BEZPIECZEŃSTWA], prawdopodobieństwo naruszenia praw w [PRAWDOPODOBIEŃSTWO], wagę naruszenia w [WAGA NARUSZENIA], poziom ryzyka w [POZIOM RYZYKA], ocenę zasadności dokonania oceny skutków w [OCENA ZASADNOŚCI], informacje o konsultacjach w [INFORMACJE O KONSULTACJACH], informacje o kodeksie postępowania w [INFORMACJE O KODEKSIE] oraz informacje dodatkowe w [INFORMACJE DODATKOWE]. Na koniec należy uzupełnić informacje o zwolnieniu z obowiązku prowadzenia rejestrów w miejscu [INFORMACJE O ZWOLNIENIU].

Dane

cele przetwarzania, charakter przetwarzania, czyje prawa, dane administratora, dane iod, dane osoby, forma, informacje dodatkowe, informacje o kodeksie, informacje o konsultacjach, informacje o retencji, informacje o transferach, informacje o transferach danych, informacje o usunięciu danych, informacje o współadministracji, informacje o zwolnieniu, kategorie odbiorców, kategorie osób, komu, kontekst przetwarzania, kto jest zobowiązany, nazwa procesu, numer wpisu, ocena zasadności, opis kategorii osób i danych, opis środków bezpieczeństwa, podstawa przetwarzania, poziom ryzyka, prawdopodobieństwo, przepis prawny, waga naruszenia, zakres danych, zasady

Rejestr czynności przetwarzania danych osobowych to dokument, który należy prowadzić zgodnie z przepisami prawa. Jest to istotny instrument służący realizacji zasad przetwarzania danych oraz wspierający prawa osób danych. Rejestr zawiera m.in. dane administratora, cele przetwarzania, kategorie danych i odbiorców, informacje o transferach danych oraz środki bezpieczeństwa.

Rejestr czynności przetwarzania

Na podstawie [PRZEPIS PRAWNY] administratorzy zobowiązani są do prowadzenia rejestru czynności przetwarzania. Jest to jeden z podstawowych obowiązków dokumentacyjnych nałożonych przepisami.

Jest to instrument służący realizacji zasad [ZASADY] przetwarzania danych, a także wspierający urzeczywistnianie praw [CZYJE PRAWA] oraz weryfikowalność w toku następczych kontroli.

Podmiotami zobowiązanymi są [KTO JEST ZOBOWIĄZANY].

Rejestr ma być prowadzony w formie [FORMA]. Podmiot prowadzący rejestr ma obowiązek udostępniać go [KOMU] na wniosek, a zatem forma prowadzenia musi to umożliwiać.

Zakres danych w rejestrze czynności

W rejestrze czynności obligatoryjnie powinny się znaleźć m.in. następujące informacje: a) [DANE ADMINISTRATORA] (oraz współadministratorów, przedstawiciela administratora, inspektora ochrony danych), b) [CELE PRZETWARZANIA], c) [OPIS KATEGORII OSÓB I DANYCH], d) [KATEGORIE ODBIORCÓW], e) [INFORMACJE O TRANSFERACH DANYCH], f) [INFORMACJE O USUNIĘCIU DANYCH], g) [OPIS ŚRODKÓW BEZPIECZEŃSTWA].

Katalog informacji wyznacza jedynie minimalny zakres informacji.

Celem prowadzenia rejestru jest dokumentowanie czynności przetwarzania danych. Nie chodzi jednak o poszczególne operacje na danych a o procesy przetwarzania dokonywane przez administratora ujęte w kategorie, wyznaczane wspólnym celem.

Pierwszą czynnością administratora umożliwiającą sporządzenie rejestru jest uprzednie mapowanie działań, w których zaangażowane jest przetwarzanie danych.

Takie podejście pozwala na ocenę danego procesu przez pryzmat celu.

Konstruując rejestr czynności przetwarzania, administrator powinien rozważyć zawarcie w nim nie tylko elementów obligatoryjnych, ale także elementów fakultatywnych, ułatwiających realizację [ZASADY].

Rejestr w przedstawionym kształcie składa się z części wspólnej, w której wskazany zostaje administrator, inspektor ochrony danych, a także osoba odpowiedzialna za prowadzenie rejestru. W dalszej części opisane mają zostać poszczególne procesy przetwarzania danych.

Rejestr czynności przetwarzania – przykład

Administrator i jego dane kontaktowe: [DANE ADMINISTRATORA] Dane inspektora ochrony danych: [DANE IOD] Osoba odpowiedzialna za aktualizację rejestru: [DANE OSOBY]

Nazwa procesu: [NAZWA PROCESU] Numer wpisu: [NUMER WPISU] Cel przetwarzania danych: [CEL PRZETWARZANIA] Charakter przetwarzania danych: [CHARAKTER PRZETWARZANIA] Podstawa przetwarzania: [PODSTAWA PRZETWARZANIA] Kategorie osób, których dane dotyczą: [KATEGORIE OSÓB] Zakres przetwarzanych danych: [ZAKRES DANYCH] Kontekst przetwarzanych danych: [KONTEKST PRZETWARZANIA] Kategorie odbiorców / Odbiorcy danych: [KATEGORIE ODBIORCÓW] Współadministrowanie: [INFORMACJE O WSPÓŁADMINISTRACJI] Transfery danych: [INFORMACJE O TRANSFERACH] Retencja: [INFORMACJE O RETENCJI] Opis środków technicznych i organizacyjnych: [OPIS ŚRODKÓW BEZPIECZEŃSTWA] Prawdopodobieństwo naruszenia praw podmiotów danych: [PRAWDOPODOBIEŃSTWO] Waga Naruszenia: [WAGA NARUSZENIA] Poziom prawdopodobieństwa wystąpienia ryzyka: [POZIOM RYZYKA] Ocena zasadności dokonania oceny skutków: [OCENA ZASADNOŚCI] Uprzednie konsultacje: [INFORMACJE O KONSULTACJACH] Zastosowanie kodeksu postępowania: [INFORMACJE O KODEKSIE] Informacje dodatkowe: [INFORMACJE DODATKOWE]

Zwolnienie z obowiązku prowadzenia rejestrów

[INFORMACJE O ZWOLNIENIU]

Rejestr czynności przetwarzania danych osobowych to kluczowy dokument w dokumentacji organizacji, obejmujący informacje o procesach przetwarzania danych i zabezpieczeniach. Jego prowadzenie jest obowiązkowe dla administratorów danych, mających możliwość udostępnienia go na żądanie. Rejestr pozwala zapewnić zgodność z przepisami prawnymi dotyczącymi ochrony danych osobowych.