Spis treści
RODO nakłada na wielu administratorów i podmioty przetwarzające dane obowiązek prowadzenia rejestru czynności przetwarzania. Dokument ten stanowi wewnętrzną ewidencję opisującą, jakie kategorie danych osobowych są przetwarzane w organizacji, w jakich celach oraz jakimi środkami.
Typowy rejestr czynności przetwarzania zawiera informacje o nazwie i danych kontaktowych administratora, celach przetwarzania, kategoriach osób i danych, kategoriach odbiorców danych, ewentualnych transferach do państw trzecich oraz planowanych terminach usunięcia poszczególnych kategorii danych.
Z perspektywy architektury systemu istotne jest, aby rejestr czynności przetwarzania odzwierciedlał rzeczywistą strukturę danych przechowywanych w systemach informatycznych — rozbieżność między dokumentacją a stanem faktycznym jest częstym źródłem problemów podczas audytów.
Dobrą praktyką jest powiązanie rejestru czynności przetwarzania z dokumentacją techniczną architektury systemu — na przykład poprzez odniesienie do konkretnych baz danych, tabel czy usług odpowiedzialnych za przechowywanie poszczególnych kategorii danych opisanych w rejestrze.
Rejestr powinien być aktualizowany za każdym razem, gdy w organizacji pojawia się nowy proces przetwarzania danych osobowych lub gdy zmienia się zakres istniejącego procesu, na przykład w wyniku wdrożenia nowego modułu systemu.
RODO przewiduje pewne wyłączenia dla mniejszych podmiotów, jednak w praktyce wiele organizacji decyduje się na prowadzenie rejestru niezależnie od tych wyłączeń, ze względu na korzyści porządkowe.
Zwykle jest to zadanie osoby lub zespołu odpowiedzialnego za zgodność z przepisami o ochronie danych, we współpracy z zespołami technicznymi.