Osoba przygotowująca dokumentację przy komputerze w biurze

Spis treści

Obowiązek prowadzenia rejestru

RODO nakłada na wielu administratorów i podmioty przetwarzające dane obowiązek prowadzenia rejestru czynności przetwarzania. Dokument ten stanowi wewnętrzną ewidencję opisującą, jakie kategorie danych osobowych są przetwarzane w organizacji, w jakich celach oraz jakimi środkami.

Zawartość rejestru

Typowy rejestr czynności przetwarzania zawiera informacje o nazwie i danych kontaktowych administratora, celach przetwarzania, kategoriach osób i danych, kategoriach odbiorców danych, ewentualnych transferach do państw trzecich oraz planowanych terminach usunięcia poszczególnych kategorii danych.

Rejestr a systemy IT

Z perspektywy architektury systemu istotne jest, aby rejestr czynności przetwarzania odzwierciedlał rzeczywistą strukturę danych przechowywanych w systemach informatycznych — rozbieżność między dokumentacją a stanem faktycznym jest częstym źródłem problemów podczas audytów.

Powiązanie z architekturą systemu

Dobrą praktyką jest powiązanie rejestru czynności przetwarzania z dokumentacją techniczną architektury systemu — na przykład poprzez odniesienie do konkretnych baz danych, tabel czy usług odpowiedzialnych za przechowywanie poszczególnych kategorii danych opisanych w rejestrze.

Aktualizacja rejestru

Rejestr powinien być aktualizowany za każdym razem, gdy w organizacji pojawia się nowy proces przetwarzania danych osobowych lub gdy zmienia się zakres istniejącego procesu, na przykład w wyniku wdrożenia nowego modułu systemu.

Articles published on this website summarize publicly available information, industry research and educational materials.

Najczęstsze pytania

Czy każda organizacja musi prowadzić rejestr czynności przetwarzania?

RODO przewiduje pewne wyłączenia dla mniejszych podmiotów, jednak w praktyce wiele organizacji decyduje się na prowadzenie rejestru niezależnie od tych wyłączeń, ze względu na korzyści porządkowe.

Kto w organizacji powinien odpowiadać za aktualizację rejestru?

Zwykle jest to zadanie osoby lub zespołu odpowiedzialnego za zgodność z przepisami o ochronie danych, we współpracy z zespołami technicznymi.