INFORLEX Administracja
Kodeks pracy 2019. Praktyczny komentarz z przykładami + e-book „Zmiany w prawie pracy 2018/2019”
Poradnik Gazety Prawnej 11/18 RODO w praktyceRejestr kategorii przetwarzania zgodny z RODO
Najłatwiej powiedzieć, że rejestr kategorii przetwarzania, to spis umów powierzenia danych osobowych prowadzony przez procesora (podmiot, któremu dane są powierzane). Jest to bardzo pomocne narzędzie, pomagające “zapanować” nad powierzanymi danymi. Nie każdy podmiot przetwarzający ma obowiązek prowadzenia rejestru kategorii przetwarzania, jednak polecamy klientom, aby to robili (tak samo polecamy im opracowanie i prowadzenie rejestru czynności przetwarzania. Są to dwa narzędzia, które pomagają administratorom danych zapewnić skuteczny nadzór nad zgodnością przetwarzania danych z RODO.
Jak wspomniałam, nie każdy podmiot przetwarzający ma obowiązek prowadzenia rejestru kategorii przetwarzania. Dokładanie tak samo, jak przy rejestrze czynności zwolnione są te podmioty, które zatrudniają mniej niż 250 pracowników (chyba że przetwarzanie nie ma charakteru sporadycznego i może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą; lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1; lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO).
reklama
reklama
Polecamy: RODO - ochrona danych osobowych. Przewodnik po zmianach
Jednak z doświadczenia wiem, że te wyłączenia nie do końca są trafione. Mam klientów, którzy spełniają warunki zwolnienia z prowadzenia rejestru kategorii przetwarzania, ale liczba umów powierzenia sięga kilkuset i więcej. Wówczas rejestr kategorii przetwarzania pomaga im skutecznie zarządzać powierzonymi danymi.
Zgodnie z art. 30 RODO rejestr kategorii przetwarzania zawiera co najmniej:
- imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
