Takie pytanie pojawia się, gdy wspominam o nim klientom. Rejestr kategorii jest często mylony z rejestrem czynności przetwarzania i… W sumie się nie dziwię, bo nazwa jest łudząco podobna. O rejestrze czynności przetwarzania napisałem już tutaj 👉KLIK! Oba rejestry mają swoje różnice i podobieństwa, a dzisiaj odpowiem na kilka pytań z tym związanych.
Kto prowadzi rejestr kategorii czynności przetwarzania?
O ile rejestr czynności przetwarzania prowadzą administratorzy, to prowadzenie rejestru kategorii czynności przetwarzania dotyczy podmiotów przetwarzających. Może więc się zdarzyć, że będziesz zobowiązany do prowadzenia obu tych rejestrów. Jednego w odniesieniu do czynności, które realizujesz jako administrator, np. związanych z zatrudnieniem pracowników, a drugiego w odniesieniu do czynności, które powierzyli Ci inni administratorzy, np. gdy prowadzisz biuro rachunkowe.
Co powinien zawierać rejestr kategorii czynności przetwarzania?
Rejestr powinien obejmować wszystkie kategorie czynności przetwarzania, które wykonujesz w imieniu innego administratora. A czym właściwie są te czynności? To rodzaj usług, jakie świadczysz na rzecz konkretnego administratora.
Koniecznie uwzględnij w nim wymagane przez RODO elementy:
- tożsamość podmiotu przetwarzającego (swoją) i wszelkich innych, które biorą udział w przetwarzaniu, a także dane kontaktowe;
- tożsamość administratorów, którzy powierzyli Ci przetwarzanie oraz ich dane kontaktowe;
- kategorie przetwarzań dokonywanych w imieniu administratora;
- jeżeli ma to zastosowanie – informacje o zamiarze przekazania danych poza Europejski Obszar Gospodarczy i dokumentację odpowiednich zabezpieczeń;
- jeżeli to możliwe – ogólny opis technicznych i organizacyjnych środków zabezpieczeń.
W jakiej formie prowadzić rejestr kategorii czynności przetwarzania?
Tak samo jak rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania powinien być prowadzony w formie pisemnej, w tym elektronicznej.
Kto nie musi prowadzić rejestru kategorii czynności przetwarzania?
Również tutaj zasady prezentują się analogicznie do rejestru czynności przetwarzania. Co do zasady nie będziesz więc musiał prowadzić rejestru dopóki nie zatrudniasz powyżej 250 osób.
Wyjątkami są sytuacje, gdy przetwarzanie, którego dokonujesz może powodować ryzyko naruszenia praw lub wolności osób, których ono dotyczy, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, będziesz zobowiązany do prowadzenia rejestru czynności przetwarzania. Tak samo będzie w przypadku przetwarzania przez Ciebie danych osobowych dotyczących wyroków skazujących i czynów zabronionych.