Poradnik Przedsiębiorcy

Rejestr czynności przetwarzania – wzór z omówieniem

RODO wprowadza w swoich przepisach obowiązek prowadzenia rejestrów czynności przetwarzania i rejestrów kategorii czynności. Rejestry te stanowią dokumentację związaną z przetwarzaniem danych. Forma przewidziana dla tego typu dokumentacji określona została jako forma pisemna. Rejestry mogą więc być prowadzone w zwykłej papierowej formie, jak i elektronicznie. Czym różni się rejestr czynności przetwarzania od rejestru kategorii czynności? Sprawdźmy!

Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania – kto ma obowiązek ich prowadzenia?

Obowiązek prowadzenia rejestru czynności przetwarzania nałożony jest na administratorów  oraz, gdy ma to zastosowanie, na przedstawicieli administratorów. Natomiast obowiązek prowadzenia rejestru kategorii czynności przetwarzania spoczywa na podmiotach przetwarzających oraz, gdy ma to zastosowanie, na przedstawicielach podmiotu przetwarzającego.

Należy przy tym mieć na uwadze, że w każdym przypadku, kiedy mowa jest o współadministratorach, obowiązek prowadzenia rejestru spoczywa na każdym z nich.

Pobierz darmowy wzór rejestru czynności przetwarzania w formacie pdf i docx!

Do pobrania:

pdf
Rejestr czynności przetwarzania - bezpłatny wzór.pdf druk do ręcznego wypełnienia
docx
Rejestr czynności przetwarzania -bezpłatny wzór.docx edytowanie, wydrukowanie, zapisywanie

Czy w każdym przypadku należy prowadzić rejestr czynności przetwarzania oraz rejestr kategorii czynności?

Podkreślić należy także, że przepisy RODO (art. 30 ust. 5) wskazują na pewne wyłączenia co do obowiązków prowadzenia rejestrów. Przede wszystkich obowiązek prowadzenie rejestru czynności czy rejestru kategorii czynności odpada w przypadku przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że czynności przetwarzania, które wykonują:

  • mogą powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;

  • nie mają charakteru sporadycznego lub obejmują szczególne kategorie danych osobowych, o których mowa w art. 9 ust 1 (tj. dane ujawniające m.in. pochodzenie rasowe, poglądy polityczne czy przekonania religijne);

  • dotyczą wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Na czym polega różnica między rejestrem czynności przetwarzania a rejestrem kategorii czynności przetwarzania?

W odniesieniu do obu rejestrów celem ich rozróżnienia warto wskazać na dwa pojęcia: czynności przetwarzania i kategorii czynności przetwarzania. I tak kategoria czynności przetwarzania to rodzaj usługi, która realizowana jest przez podmiot przetwarzający na zlecenie administratora, która to usługa związana jest ze zleconymi czynnościami przetwarzania. Przykładem takich usług są:

  • udostępnianie administratorowi określonej platformy programistycznej (np. serwera www do prowadzenia własnej strony internetowej),

  • przechowywanie dokumentacji podatkowej czy medycznej,

  • niszczenie nośników informacji.

Z kolei pojęcie czynności przetwarzania definiowana jest jako zespół powiązanych ze sobą operacji na danych (operacji takich jak m.in. zbieranie, przechowywanie, modyfikowanie, przeglądanie), które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane, np.: rekrutacja pracowników czy prowadzenie rozliczeń z pracownikami.

Jakie są elementy rejestru czynności przetwarzania?

Zgodnie z treścią przywołanych wyżej przepisów, w rejestrze czynności przetwarzania obligatoryjnie powinny znaleźć się takie informacje jak:

a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie, przedstawiciela administratora oraz inspektora ochrony danych;

b) cele przetwarzania;

c) opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwy tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g)jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1, tj. m.in.:

  • pseudonimizację i szyfrowanie danych osobowych;

  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Jakie są elementy rejestru kategorii czynności przetwarzania?

Z kolei rejestr kategorii czynności przetwarzania powinien zawierać co najmniej takie informacje jak:

a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w którego imieniu działa podmiot przetwarzający, a gdy ma to zastosowanie, przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

c) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwy tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

[alert-info]Wymienione powyżej składniki rejestru są obligatoryjne, lecz nie mają charakteru zamkniętego. Oznacza to, że jeżeli administrator uzna, że właściwe byłoby zamieszczenie w rejestrze innych elementów, takich jak np: źródła pozyskania danych czy informacje dotyczące przeprowadzonej oceny skutków dla ochrony danych, to może umieścić w rejestrze takie informacje. Także i podmiot przetwarzający może pozwolić sobie na poszerzenie elementów będących składowymi rejestru kategorii czynności o np: czas trwania umowy czy dane kontaktowe podmiotów, którym podpowierzono dane kontaktowe.

Jaką funkcję pełnią rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania?

Ważne, aby przy prowadzeniu rejestrów mieć na uwadze, że jedną z ich funkcji jest umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania. Z przepisów wynika, że zarówno administrator, jak i podmiot przetwarzający obowiązani są do udostępnienia organowi konrolującemu informacji o przetwarzaniach w sposób jednolity, czytelny i uproszczony, tak, aby możliwe było dokonanie szybkiej weryfikacji i przeglądu.

Wzór rejestru czynności przetwarzania i funkcja rejestru kategorii czynności przetwarzania

Na stronie GIODO znajdziemy odesłanie do plików PDF, które stanowią szablony do rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania wraz z przykładami ich uzupełnienia.

Rejestr czynności przetwarzania, zaprezentowany na stronie GIODO przykładowo dla Szkoły, w zakresie informacji o poszczególnych czynnościach przetwarzania zawiera w pierwszej kolumnie nazwy czynności przetwarzania. Pozostałe kolumny rozmieszczone są w taki sposób, że w odniesieniu dla każdej czynności pozwalają na określenie:

  • jednostki organizacyjnej (dokonującej tej czynności),

  • celu przetwarzania,

  • kategorii osób, których dotyczy czynność przetwarzania,

  • kategorii danych,

  • podstawy prawnej dokonywanych czynności,

  • źródła danych,

  • planowanego terminu usunięcia kategorii danych,

  • nazwy współadministratora i danych kontaktowych,

  • nazwy podmiotu przetwarzającego i danych kontaktowych,

  • kategorii odbiorców,

  • nazwy systemu lub oprogramowania,

  • ogólnego opisu technicznego i organizacyjnego,

  • oceny skutków planowanych operacji przetwarzania (DPIA),

  • transferu do kraju trzeciego lub organizacji międzynarodowej (art. 30 ust. 1 RODO).

W załącznikach (wzory) przedstawiamy tabelę obrazującą układ tych elementów w rejestrze czynności przetwarzania. Wypełnienia tabeli należy dokonywać indywidualnie pod kątem struktury danego podmiotu.

Z kolei rejestr kategorii czynności przetwarzania zaprezentowany na stronie GIODO przykładowo dla Szkoły, w zakresie informacji o poszczególnych kategoriach czynności przetwarzania w odniesieniu do danej kategorii przetwarzania, zawiera takie kolumny, które pozwalają określić:

  • ogólny opis techniczny i organizacyjny środków bezpieczeństwa,

  • nazwe i dane kontaktowe administratora, współadministratora, przedstawiciela administratora,

  • IOD,

  • czas trwania przetwarzania,

  • nazwy państw trzecich lub organizacji międzynarodowych, do których dane są przekazywane,

  • dokumentację odpowiednich zabezpieczeń danych osobowych oraz określenie podmiotu podpowierzającego (art. 30 ust. 2 RODO).

Tabela obrazująca układ elementów kategorii czynności powinna wyglądać więc analogicznie jak tabela rejestru czynności przetwarzania z uwzględnieniem jednak informacji, o których mowa w art. 30 ust. 2 RODO.

Forma prowadzenia rejestru w przepisach Rozporządzenia oznaczona jest jako forma pisemna. Rejestry mogą więc być prowadzone w zwykłej papierowej formie, jak i elektronicznie.