Od 25 maja 2018 r. na podstawie Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 administratorzy danych osobowych (ADO) lub podmioty przetwarzające będą zobowiązani do prowadzenia rejestrów czynności przetwarzania.
Każdy administrator lub podmiot przetwarzający dane osobowe w ramach współpracy z organem nadzorczym (w naszym przypadku z GIODO) - na jego żądanie - zobowiązany będzie do udostępniania rejestru w celu monitorowania operacji przetwarzania danych pod kątem ich bezpieczeństwa oraz zgodności z obowiązującymi przepisami prawa.
Z obowiązku prowadzenia rejestrów czynności przetwarzania zwolnione będą podmioty zatrudniające mniej niż 250 osób; chyba, że przetwarzanie, którego dokonują może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których jest mowa w art. 9 ust. 1 rozporządzenia 2016/679, lub dane osobowe dotyczą wyroków skazujących i naruszeń prawa (w art. 10 rozporządzenia 2016/679).[1]
Zapisy rejestru, w sposób przejrzysty, ukazywać powinny rzeczywisty stan bezpieczeństwa przetwarzania z uwzględnieniem wdrożonych środków technicznych i organizacyjnych.
Większość informacji, jakie zawierać powinien rejestry dziś znaleźć można w obowiązującej dokumentacji ochrony danych osobowych, lecz są one rozproszone w różnych dokumentach. Po wejściu w życie rozporządzenia ogólnego o ochronie danych informacje te zostaną zgromadzone i uporządkowane w jednym dokumencie – rejestrze czynności przetwarzania.
Rejestr zawierał będzie w przypadku administratorów danych osobowych następujące informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszystkich współadministratorów - a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit 2 rozporządzenia 2016/679, dokumentację odpowiednich zabezpieczeń;
- jeżeli jest to możliwe planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rozporządzenia 2016/679.[2]
W przypadku podmiotów przetwarzających rejestr zawierać powinien następujące informacje:
- imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora w imieniu, którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- gdy ma to zastosowanie – przekazania danych osobowych do państw trzecich lub organizacji międzynarodowych, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi rozporządzenia 2016/679, dokumentację odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rozporządzenia 2016/679.[3]
Rejestry powinny być prowadzone w formie pisemnej, w tym formie elektronicznej. Podmioty, które z mocy prawa zobowiązane będą do prowadzenia rejestrów czynności przetwarzania na bieżąco weryfikować będą aktualność i zgodność jego zapisów ze stanem faktycznym przetwarzania danych.
