Powrót do strony głównej „Wytyczne dotyczące ochrony danych dla organizatorów”
Wytyczne dotyczące ochrony danych – pytanie 7
Jak przygotować rejestr czynności przetwarzania danych?
Dotyczy scenariusza 2 (przedstawiciel występuje w roli wyłącznego administratora danych), z wyjątkiem korzystania z opracowanej przez Komisję usługi wymiany plików
Prowadzenie rejestru jest prawnie wymagane szczególnie w przypadku przetwarzania danych wrażliwych.
Rejestr czynności przetwarzania to pisemny dokument, który powinien zawierać przede wszystkim następujące elementy:
- imię i nazwisko oraz dane kontaktowe administratora danych i inspektora ochrony danych, jeżeli został ustanowiony
- kategorie osób, których dane dotyczą, oraz kategorie przetwarzanych danych osobowych
- cele przetwarzania i odniesienia do odpowiedniej inicjatywy
- odbiorców tych danych osobowych, tj. podmioty, którym dane zostały lub zostaną ujawnione (w tym przypadku: wyłącznie odpowiednie organy państw członkowskich odpowiedzialne za weryfikację i poświadczenie deklaracji poparcia)
- daty i kanały przekazywania danych
- planowane terminy usunięcia danych
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, takich jak szyfrowanie, zdolność do przywrócenia danych, testowanie i środki zapewniające poufność, integralność, dostępność i odporność, środki bezpieczeństwa fizycznego (zob. pytania dotyczące bezpieczeństwa w kontekście zbierania deklaracji w formie papierowej oraz przekazywania zebranych deklaracji poparcia państwom członkowskim do celów weryfikacji.
UWAGA:
Nie ma konieczności tworzenia osobnego rejestru obejmującego operacje przetwarzania prowadzone w ramach współadministrowania z Komisją, ponieważ takie przetwarzanie jest już objęte rejestrem czynności przetwarzania ustanowionym przez Komisję (zob. scenariusz 1) oraz korzystanie z opracowanej przez Komisję usługi wymiany plików w ramach scenariusza 2). W swojej dokumentacji/na swojej stronie internetowej należy umieścić link do rejestru Komisji.
Odniesienia: