Rejestr kategorii przetwarzania danych osobowych - co powinien zawierać?

Rejestr kategorii przetwarzania zgodny z RODO

Najłatwiej powiedzieć, że rejestr kategorii przetwarzania, to spis umów powierzenia danych osobowych prowadzony przez procesora (podmiot, któremu dane są powierzane). Jest to bardzo pomocne narzędzie, pomagające “zapanować” nad powierzanymi danymi. Nie każdy podmiot przetwarzający ma obowiązek prowadzenia rejestru kategorii przetwarzania, jednak polecamy klientom, aby to robili (tak samo polecamy im opracowanie i prowadzenie rejestru czynności przetwarzania. Są to dwa narzędzia, które pomagają administratorom danych zapewnić skuteczny nadzór nad zgodnością przetwarzania danych z RODO.

Jak wspomniałam, nie każdy podmiot przetwarzający ma obowiązek prowadzenia rejestru kategorii przetwarzania. Dokładanie tak samo, jak przy rejestrze czynności zwolnione są te podmioty, które zatrudniają mniej niż 250 pracowników (chyba że przetwarzanie nie ma charakteru sporadycznego i może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą; lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1; lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO).

Polecamy: RODO - ochrona danych osobowych. Przewodnik po zmianach

Jednak z doświadczenia wiem, że te wyłączenia nie do końca są trafione. Mam klientów, którzy spełniają warunki zwolnienia z prowadzenia rejestru kategorii przetwarzania, ale liczba umów powierzenia sięga kilkuset i więcej. Wówczas rejestr kategorii przetwarzania pomaga im skutecznie zarządzać powierzonymi danymi.

Zgodnie z art. 30 RODO rejestr kategorii przetwarzania zawiera co najmniej:

• imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
• kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
• gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

W praktyce zalecamy klientom dodanie (nieobowiązkowych) informacji, przykładowo:

• numer umowy
• data podpisania umowy
• czas trwania umowy
• co należy zrobić z powierzonymi danymi po zakończeniu umowy (zazwyczaj usuwa się lub zwraca)
• dane podmiotów, którym podpowierzono dane
• podstawę prawną przetwarzania powierzonych danych
• cel przetwarzania danych
• zakres powierzonych danych
• kategorie danych (zwykłe / szczególnej kategorii)
• lokalizację danych (jeżeli klient korzysta z wielu baz danych, różnych podwykonawców)
• czas na zawiadomienie o naruszeniu poufności (czasami klienci mają indywidualne wymagania w tym zakresie)
• ewentualna kara wskazana w umowie.

Moim zdaniem dodatkowe informacje dają pełną wiedzę o powierzonych danych, szczególnie jeżeli klient jest agencją reklamową, która bardzo dużo danych przetwarza na polecenie administratorów danych i ma je tylko przez krótki okres czasu (np. kilka dni). Przez rok umów może nazbierać się setki. Dodatkowo dzięki rejestrowi kategorii prowadzonemu na bieżąco, osoby które zajmują się obsługą klientów, mogą sprawdzić, czy formalności zostały załatwione i można realizować zlecenie.

Polecamy serwis: RODO w firmie