Zupełnie nowym obowiązkiem wprowadzonym przez RODO jest obowiązek rejestrowania czynności przetwarzania. Obowiązek ten spoczywa na administratorze danych lub podmiocie przetwarzającym, a jego celem jest zachowanie zgodności przetwarzania z przepisami RODO (zob. motyw 83 preambuły do RODO oraz art. 30 RODO). Obowiązek ten zastępuje dotychczasowy obowiązek rejestrowania zbiorów danych w GIODO.
Realizacja obowiązku rejestrowania czynności przetwarzania następuje poprzez prowadzenie jednego z dwóch rejestrów, tj.:
1) rejestru czynności przetwarzania przez administratora danych lub
2) rejestru kategorii czynności przetwarzania przez podmiot przetwarzający (czyli podmiot, który przetwarza dane w imieniu administratora na podstawie umowy powierzenia)
RODO określa szczegółowo, jakie elementy muszą zawierać oba rejestry.
Rejestr czynności przetwarzania musi zawierać:
a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Z kolei rejestr kategorii czynności przetwarzania musi zawierać:
a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
c) gdy ma to zastosowanie -przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Rejestry te mają mieć formę pisemną, przy czym może to być również forma elektroniczna (plik zawierający rejestr powinien jednak nadawać się do wydruku w formie papierowej). Administrator lub podmiot przetwarzający oraz - gdy ma to zastosowanie - przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego. Rejestr taki będzie musiał być zatem udostępniony na żądanie GIODO.
Obowiązek prowadzenia ww. rejestrów nie jest bezwzględny i nie obejmuje przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób. Z założenia więc rejestry mają prowadzić tylko podmioty prowadzące działalność na większą skalę. Zwolnienie to nie ma jednak zastosowania, gdy: (1) przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, (2) nie ma charakteru sporadycznego lub (3) obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Na uwagę zasługuje zwłaszcza przesłanka wskazana w pkt 2. Przedsiębiorca, który nie przetwarza danych jedynie sporadycznie, będzie musiał prowadzić rejestr nawet wówczas, gdy zatrudnia mniej niż 250 osób. Należy przyjąć, że prowadzenie sklepu internetowego czy innej działalności, z którą wiąże się stałe pozyskiwanie danych od klientów w celu realizacji zamówień czy wysyłki newslettera nie jest sporadycznym przetwarzaniem danych osobowych. Pozyskiwanie takich danych jest bowiem niezbędne w bieżącej działalności i odbywa się nieustannie, każdego dnia. Takie podmioty mogą więc zostać uznane za podmioty zobowiązane do prowadzenia rejestrów, a ich brak może skutkować nałożeniem kary finansowej do 10 mln euro lub 2% rocznego obrotu.
Chcesz otrzymać profesjonalne wzory rejestrów? Skontaktuj się z nami.