Rejestr czynności przetwarzania prowadzi administrator, a rejestr kategorii czynności przetwarzania podmiot przetwarzający dane w imieniu administratora. Oba rejestry różnią się zakresem informacji. Przykładem czynności przetwarzania może być np. rekrutacja pracowników lub wysyłka newslettera.
Rejestr czynności przetwarzania, zgodnie z art. 30 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO) ma zawierać takie informacje, jak:
a) nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów,
b) cele przetwarzania,
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Rejestr czynności przetwarzania prowadzi administrator danych. Jest on obowiązkowy dla podmiotów określonych w art. 30 ust. 5 RODO. Można go porównać do obecnego rejestru zbiorów danych, jaki są zobowiązani prowadzić powołani administratorzy bezpieczeństwa informacji (ABI).
Angielski zapis z RODO „Records of processing activities” powinno się tłumaczyć jako „zapis aktywności przetwarzania” i moim zdaniem dotyczy to procesów lub czynności takich, jak na przykład: rekrutacja pracowników, wysyłanie newslettera, zapisy do programu lojalnościowego itp. W art. 30 RODO nie ma mowy o operacjach wykonywanych na danych osobowych. Gdyby wymagać rozpisania każdej operacji do każdego zbioru/aktywności, to przekroczylibyśmy w wielu przypadkach granice absurdu, zwłaszcza w sytuacji przetwarzania danych w dziesiątkach czy wręcz setkach różnych zbiorów danych.
Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora prowadzi każdy podmiot przetwarzający (procesor). Zawiera się tam następujące informacje:
a) nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów (np. cel i zakres usługi, umowy powierzenia),
c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego,
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Jest to więc wykaz podmiotów, które zleciły wykonawcy jakieś usługi (np. obsługa informatyczna) i w tym celu powierzyły określone dane do przetwarzania – art. 30 ust. 2 RODO.
Często będzie tak, że jedna firma, jako administrator swoich danych, będzie zobowiązana prowadzić rejestr czynności przetwarzania, a jako podmiot przetwarzający dane w imieniu innych administratorów (jako procesor) będzie jednocześnie prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
