Jaka forma rejestru czynności przetwarzania danych osobowych będzie właściwa

Informacje, jakie ma zawierać rejestr czynności przetwarzania danych osobowych, określa art. 30 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych (RODO), są to:

1) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,

2) cele przetwarzania,

3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,

4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,

5) przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie),

6) planowane terminy usunięcia poszczególnych kategorii danych – jeżeli to możliwe,

7) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – jeśli to możliwe.

Jak najbardziej rejestr czynności przetwarzania danych osobowych może być prowadzony w postaci oddzielnych kart dla każdego z przetwarzanych zbiorów danych. Ja osobiście będę w niektórych przypadkach adaptował i odpowiednio przerabiał na tą okoliczność dotychczasowy wniosek zgłoszenia zbioru danych do rejestracji u Generalnego Inspktora Ochrony Danych Osobowych.

Tam, gdzie będzie to wystarczające, rejestr czynności przetwarzania danych osobowych może być prowadzony podobnie, jak określa to rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. W niektórych organizacjach może to być jednak niewystarczające ze względu na dużą liczbę procesów, zbiorów danych, grup informacji.