Dokumentowanie czynności przetwarzania danych - RODO 2018

Ogólne rozporządzenie o ochronie danych kładzie bardzo duży nacisk na dokumentowanie czynności przetwarzania danych. Jest to jeden z podstawowych sposobów wykazywania przez administratorów danych zgodności prowadzonych działań na danych osobowych z wymogami rozporządzenia. Warto więc pamiętać, żeby od 25 maja 2018 r. dokumentować czynności związane z przetwarzaniem danych osobowych, w tym w szczególności:

- jakie dane posiadasz i w jakich okolicznościach je pozyskałeś

– wskaż podstawę prawną przetwarzania i w jaki sposób spełniłeś swoje obowiązki informacyjne,

- komu i kiedy udostępniasz dane,

- jak raportujesz incydenty związane z naruszeniem ochrony danych,

- czy przeprowadziłeś analizę w zakresie obowiązku bądź braku obowiązku wyznaczenia inspektora ochrony danych i jakie wnioski z niej płyną,

- który organ nadzorczy będzie wiodącym dla transgranicznych operacji przetwarzania, które prowadzisz.

Zobacz również: Finanse

Rozporządzenie zresztą wprost nakłada obowiązek prowadzenia wewnętrznego rejestru czynności przetwarzania danych osobowych, za które odpowiada administrator danych. Pamiętaj, że w praktyce często to inspektor ochrony danych będzie tworzył i prowadził powyższe rejestry na podstawie danych otrzymanych od pozostałych komórek organizacji.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Pojęcie „czynności przetwarzania” nie zostało doprecyzowane w  przepisach rozporządzenia. Elementy tych rejestrów są jednak bardzo podobne do elementów zgłoszenia zbioru do rejestracji oraz lokalnego zbioru danych osobowych prowadzonego obecnie przez ABI na podstawie ustawy o  ochronie danych osobowych. Stąd też, że przez rejestrowanie czynności przetwarzania danych można rozumieć klasyfikowanie przetwarzanych danych ze względu m.in. na: zakres przetwarzanych danych, cele przetwarzania, kategorie osób, których dane dotyczą oraz - jeżeli jest to możliwe - środki bezpieczeństwa. Ze względu na swoją zawartość rejestry mogą być rzeczywiście pomocnym narzędziem w  stosowaniu zasady rozliczalności, zapewnianiu przestrzegania rozporządzenia oraz prowadzeniu prawidłowej polityki w  zakresie ochrony danych. Dlatego rejestr powinien być prowadzony w formie pisemnej, najlepiej elektronicznej.

Możliwe będzie prowadzenie również innych (np. bardziej szczegółowych) ewidencji przetwarzanych danych, jeśli wynika to z  analizy ryzyka oraz konkretnych potrzeb administratora danych. Prowadzenie tych rejestrów nie zawsze będzie jednak obowiązkowe. W określonych w rozporządzeniu sytuacjach z tego obowiązku zwolnieni będą administratorzy, którzy zatrudniają mniej niż 250 pracowników.