Rejestr czynności przetwarzania danych

Rejestr czynności przetwarzania danych

Administratorzy mają obowiązek prowadzić rejestr czynności przetwarzania. Obejmuje on firmy zatrudniające powyżej 250 pracowników, a mniejszych przedsiębiorców w kilku przypadkach: jeśli przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych – mogą to być na przykład dane kadrowe.

 

Rejestr czynności przetwarzania powinien zawierać:

 

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

b) cele przetwarzania;

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e) gdy ma to zastosowanie, informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej;

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

 

Rejestr czynności może być prowadzony pisemnie, także w formie elektronicznej. Przedsiębiorca musi okazać go na żądanie organu nadzorczego.