Rejestr czynności przetwarzania danych jako załącznik do polityki bezpieczeństwa – czy to wygodne rozwiązanie

Każdy administrator oraz - gdy ma to zastosowanie - przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;
• cele przetwarzania;
• opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
• gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO. Rejestr ma formę pisemną, w tym formę elektroniczną (art. 30 ust. 1 i 3 RODO).

Jeżeli w polityce ochrony danych wskazano jedynie na wzór takiego rejestru, wówczas co oczywiste nie ma konieczności nowelizowania polityki. Jeśli jednak postąpiono w ten sposób, że załącznikiem do polityki jest rejestr jako taki, wówczas każda aktualizacja jego treści wymaga wydania nowego zarządzenia (lub innego wewnątrzfirmowego aktu prawnego) przez podmiot, który wprowadził politykę. Jest to bardzo niewygodne rozwiązanie, wobec czego warto rozważyć wydzielenie rejestru jako odrębnego dokumentu, z ewentualnym pozostawieniem w polityce jedynie jego wzoru (choć to nie jest to obowiązkowe).