Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

RODOwskaz prowadzenia rejestru czynności przetwarzania

25-09-2017 Autor: Mariola Więckowska

Za niecały rok, 25 maja 2018 r., zacznie obowiązywać rodo. Jak wynika z badania przeprowadzonego w maju 2017 r. przez Dimensional Research, 61% firm nie rozpoczęło jeszcze wdrożenia przygotowań do rodo.

 

Jednym z wymogów rodo (art. 30) jest obowiązek prowadzenia aktualnego rejestru czynności przetwarzania (dalej: RCP) przez administratora. Rekordy tego rejestru powinny zawierać następujące informacje:

A. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
B. cele przetwarzania;
C. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
D. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
E. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
F. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
G. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rodo.

Wymóg prowadzenia RCP dotyczy również podmiotów przetwarzających w zakresie ograniczonym do A, C, E, G.

 

Kto musi prowadzić rejestr


Obowiązek prowadzenia rejestru nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie:

  • może prowadzić do ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • nie jest sporadyczne lub
  • obejmuje specjalne kategorie danych, o których mowa w art. 9 i 10 rodo.

Niestety, prawodawca unijny w rodo nie wyjaśnia, kiedy przetwarzanie jest okazjonalne lub kiedy istnieje ryzyko naruszenia praw lub wolności. Wydaje się słuszne, że dopóki nie ma oficjalnych wytycznych, decyzja o tym, czy prowadzić RCP, powinna wynikać z oceny skutków dla ochrony danych i analizy ryzyka, dzięki czemu wykazane zostanie stosowanie zasady rozliczalności.

 

Praktyczne wskazówki prowadzenia RCP


Prowadzenie rejestru wszystkich czynności przetwarzania danych, które odbywają się w organizacji, może być wyzwaniem, szczególnie gdy czynności przetwarzania odbywają się w złożonym środowisku, w różnych departamentach lub komórkach organizacyjnych. Jak można najlepiej koordynować pozyskiwanie informacji z takiego środowiska, jak czynności przetwarzania powinny być ewidencjonowane i, co najważniejsze, w jaki sposób te zapisy powinny być utrzymywane i aktualizowane? Oto kilka praktycznych wskazówek.

 

Zaangażuj najwyższe kierownictwo


Przy wsparciu kierownictwa zidentyfikuj osoby odpowiedzialne za wprowadzanie zmian już na etapie początkowego opracowywania lub projektowania produktu, procesu, systemu, aplikacji lub projektu. Osoby te w fazie projektowania zmiany ustalają, do jakich czynności przetwarzania danych będzie dochodziło, stąd ich wiedza powinna być wykorzystana do tworzenia i zarządzania zmianami RCP.

 

Określ jasno role i odpowiedzialność w prowadzeniu RCP

 

Po ustaleniu osób, które będą uczestniczyły w procesie tworzenia i aktualizacji RCP, kolejnym krokiem jest opracowanie zasad procesu, w którym RCP powinien być utrzymywany. Wiele wymaganych informacji prawdopodobnie będzie już zawartych w ocenie skutków dla ochrony danych (OSOD)  lub wstępnej ocenie (WOSOD) i można je będzie uwzględniać w procesie aktualizacji RCP.

[...]

Autorka pracuje w Grupie Allegro jako ABI; pomaga wykorzystywać nowe technologie informatyczne w zgodzie z obowiązującymi zasadami ochrony i bezpieczeństwa danych osobowych.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.