Wątpliwości wielu podmiotów przetwarzających budzi sposób wypełnienia rejestru kategorii czynności przetwarzania danych. Trudności rodzą się m.in. z wypełnianiem takich rubryk jak nazwa kategorii czynności przetwarzania czy środki bezpieczeństwa. Sprawdź, jak wypełnić rejestr kategorii czynności przetwarzania.
Podmiot przetwarzający ma obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora”, który winien zawierać
Rejestru kategorii czynności przetwarzania nie musi prowadzić procesor zatrudniający mniej niż 250 osób, chyba że przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
Trudności w wypełnianiu rejestru kategorii czynności przetwarzania danych pojawiają się przy pojęciach „kategorie czynności przetwarzania”, czy „kategorie przetwarzań”, ponieważ RODO ich nie definiuje w żadnej sposób. Dlatego też Grupa Robocza art. 29 oraz Prezes Urzędu Ochrony Danych Osobowych (który umieścił interpretację tych pojęć na stronach internetowych urzędu) wskazuje, że kategorie czynności przetwarzania jest to “wskazanie (nazwanie) poszczególnych powierzeń (zleceń), a zatem rodzaju usług, jakie podmiot przetwarzający na podstawie zawartych umów wykonuje na rzecz poszczególnych administratorów. Uporządkowanie czynności wykonywanych w ramach powierzenia w kategorie, czyli ich pogrupowanie pod względem rodzaju usług świadczonych przez podmiot przetwarzający, umożliwi łatwy przegląd „powierzeń” zwłaszcza w przypadku podmiotów, które działają na rzecz wielu administratorów danych lub świadczą wiele różnych usług w zakresie przetwarzania danych.
W praktyce oznacza to, że kategorie przetwarzań to nazwa usługi, jaka jest realizowana przez podmiot przetwarzający dane na zlecenie administratora. Tytułem przykładu Prezes UODO wskazuje takie kategorie zleceń jak:
To oczywiście przykładowe kategorie przetwarzania czynności – ogólnie rzecz ujmując podmiot przetwarzający musi nazwać usługę, z którą wiążą się jakieś czynności przetwarzania danych osobowych.
Kolejne wątpliwości wiążą się z opisem zabezpieczenia przetwarzania danych przez procesora. Wymagane jest by w rejestrze opisać te zabezpieczenia w sposób ogólny (posiłkując się zagadnieniami wynikającymi z art. 32 ust. 1 RODO) oraz wskazać ogólną informację o rodzaju zastosowanych zabezpieczeń (np. kontrola dostępu w oparciu o identyfikator i hasło, zastosowanie certyfikatów, szyfrowanie komunikacji itp.) można także – jeśli w firmie istnieje dokumentacja opisująca sposoby zarządzania zabezpieczeniami – odesłać do tej dokumentacji. Zdaniem Prezesa UODO opis ten powinien zawierać również informacje o zastosowanych środkach kontroli dostępu do przetwarzanych danych, a także zastosowanych środkach ochrony kryptograficznej.
Na stronie internetowej UODO znajdują się przykładowe rejestry wraz z objaśnieniami, które mogą być pomocne przy tworzeniu własnego rejestru. Oczywiście podkreślić należy, że nie istnieje jeden powszechnie obowiązujący szablon, stąd każdy podmiot przetwarzający musi przygotować go sobie sam, ale w oparciu o już istniejące wzory.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
