Rejestr czynności przetwarzania [Wzór]

Pierwszy artykuł dotyczący uzupełniania dokumentacji. Pamiętajcie, że dokumentów nie ma wiele, ale czasem są jednak dość problematyczne do uzupełnienia. Zacznijmy od REJESTRU CZYNNOŚCI PRZETWARZANIA. Nazwa w tym przypadku może być nieco myląca. Nie rejestrujemy tutaj każdej czynności związanej z przetwarzaniem danych osobowych. W rzeczywistości jest to bardziej rozbudowana forma rejestru zbiorów. Jeśli prowadziłeś już rejestr zbiorów, nie masz przed sobą wiele pracy, jeśli nie, zaczniemy od początku:

Czy musisz prowadzić rejestr czynności przetwarzania?

 

Obowiązek prowadzenia takiego rejestru dotyczy firm/instytucji, które zatrudniają więcej niż 250 pracowników, chyba, że przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą. Więc jeżeli twoja firma zatrudnia mniejszą ilość osób, ale przetwarzacie dane wrażliwe, dane o skazaniach, przetwarzanie jest na szeroką skalę lub nie ma charakteru sporadycznego, musicie prowadzić rejestr czynności przetwarzania.

Co musimy dodatkowo ustalić?

Do uzupełnienia rejestru potrzebujemy kilka dodatkowych informacji. Określimy je, zanim przejdziemy dalej:

Klasa aktywa – Używam skali od 1-4, warto ją określić, ponieważ przyda nam się również do szacowania ryzyka.

[1] Dane osobowe zwykłe, nieprzetwarzane w dużej skali, niewykorzystywane w głównych procesach ADO; zbiór może stanowić tajemnicę przedsiębiorstwa.

[2] Dane wrażliwe, nieprzetwarzane w dużej skali, mogą być wykorzystywane w procesach głównych ADO; zbiór może stanowić tajemnicę przedsiębiorstwa.

[3]  Dane osobowe zwykłe, przetwarzane na dużą skalę, wykorzystywane w procesach głównych ADO; zbiór może stanowić tajemnicę przedsiębiorstwa.

[4] Dane osobowe wrażliwe, przetwarzane na dużą skalę, wykorzystywane w głównych procesach ADO; stanowią tajemnicę przedsiębiorstwa.

Zabezpieczenia  – Przykłady zabezpieczeń to temat na zupełnie inny artykuł, jednak warto zwrócić na nie uwagę w kilku aspektach:

  • Prawne (cel przetwarzania itp.)
  • Fizyczne (ochrona dostępów do pomieszczeń itp.)
  • Organizacyjne (struktura itp.)
  • Cybernetyczne (Informatyczne)

Jakie informacje musi zawierać rejestr?

Proponuję tutaj skorzystanie z Worda, przy większej ilości danych będzie ciężko pracować na polach w Excelu. A więc dane z rejestru zbiorów:

  1. Liczba porządkowa
  2. Nazwa zbioru
  3. Oznaczenie administratora danych (kto jest administratorem)
  4. Oznaczenie przedstawiciela administratora
  5. Podstawa prawna do prowadzenia zbioru
  6. Cel przetwarzania
  7. Opis kategorii osób, których dane dotyczą
  8. Zakres danych w zbiorze
  9. Sposób zbierania danych
  10. Oznaczenie odbiorców, którym dane mogą być przekazywane
  11. Przekazywanie danych do państwa trzeciego
  12. Budynek/adres, pod którym będą przetwarzane dane.

A teraz rozszerzenie, aby zmienić ten Rejestr zbiorów w Rejestr czynności przetwarzania:

  1. Klasa aktywa
  2. Opis zbioru
  3. Programy używane przy przetwarzaniu danych
  4. Typ danych (zwykłe/wrażliwe)
  5. Termin usunięcia danych
  6. Zabezpieczenia

Powtarzamy tę czynność dla danego zbioru. Jeśli nie wiesz, jakie zbiory znajdują się u Ciebie w firmie, zapraszam do artykułu o zbieraniu informacji w firmie link.

Spokojnie, nie musicie marnować czasu na rysowanie tabelek. Pod tym linkiem przygotowałem dla was konkretny szablon do uzupełniania:) 

Pobierz wzór rejestru czynności przetwarzania

Jeśli chcesz się dowiedzieć co dalej, zapraszam do lektury kolejnych artykułów na blogu.

Masz jakieś uwagi, lub przemyślenia? Może artykuł pomógł Ci utworzyć dokumentację? Koniecznie napisz w komentarzu!

W razie pytań zachęcam do kontaktu, nieważne czy masz jakieś pytania, chcesz się spotkać, czy po prostu blog Ci w czymś pomógł, pisz do mnie na maila: maciej.grabowski@op.pl, na 100% odpowiem!

Cześć, nazywam się Maciej Grabowski. Na co dzień zawodowo zajmuję się ochroną danych osobowych w jednej z większych spółek w Polsce. Każdego dnia mam do czynienia z danymi tysięcy osób i dbam o to, aby wszystkie ich personalia były przetwarzane w sposób bezpieczny oraz zgodny z prawem.
Napisane posty 17

Zerknij na dyskusje o :

  1. Jak się ma RODO do prowadzonego bloga o tańcu, na którym zawarte są zdjęcia dzieci z zespołu z opisem poszczególnych zajęć oraz zdjęcia z Festiwali tanecznych?

    1. Blog prawdopodobnie zbiera jakieś dane, cookies, adresy IP, maile. Tutaj musimy spełnić obowiązek informacyjny i uzyskać zgodę. Jeśli chodzi o zdjęcia tutaj sprawa jest bardziej złożona. Zazwyczaj będzie konieczna zgoda na udostepnienie wizerunku. Zasady udostępniania wizerunku się nie zmieniają. Przepis stnaowi:”
      Art. 81

      1. Rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. W braku wyraźnego zastrzeżenia zezwolenie nie jest wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie.

      2. Zezwolenia nie wymaga rozpowszechnianie wizerunku:

      1) osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych;

      2) osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.”

Dodaj komentarz

Twój adres email nie zostanie opublikowany.

Polecane artykuły

Tutaj napisz, czego szukasz... Jeśli chcesz zakończyć, kliknij ESC

Do góry