Obowiązkowe rejestrowanie czynności przetwarzania danych
Rejestr czynności przetwarzania danych jest obowiązkowym elementem dokumentacji ochrony danych, którą prowadzić powinien administrator lub jego przedstawiciel. Wspomniany rejestr zawierać powinien następujące dane:
• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych (IOD);
• cele przetwarzania;
• opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
• gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.
Każdy podmiot przetwarzający dane powinien odnotowywać w rejestrze:
• imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
• kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
• gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.
Rejestr może być prowadzony w formie pisemnej lub w postaci elektronicznej. W takiej postaci należy go udostępnić na żądanie organu nadzorczego.
W przypadku, gdy przedsiębiorstwo zatrudnia mniej niż 250 osób, nie ma obowiązku prowadzenia rejestru czynności, chyba że przetwarzanie, którego dokonują:
• może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
• nie ma charakteru sporadycznego
• obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.