GoldenLine
Zaloguj się
Szymon S.

Szymon S. IOD / IBTI

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Takie pojęcie mnie ostatnio trafiło. Koś może podpowiedzieć jak to ma wyglądać i co dokładnie w tym rejestrze ma się znajdować. Może ktoś może podsunąć wzór takiego rejestru?
Link do wypowiedziLink
Arkadiusz H.

Arkadiusz H. IOD

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Również się nad tym głowię, rejestr czy rejestry?

Art. 30 RODO
ust. 1 - rejestr czynności przetwarzania danych osobowych, za które odpowiadają
ust. 2 - rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora
ust. 3 - rejestry, o których mowa w ust. 1 i 2, mają formę pisemną w tym formę elektroniczną.

Jeśli dobrze rozumiem, w niektórych przypadkach należy prowadzić 2 rejestry, w formie pisemnej i elektronicznej.

Rejestr prowadzimy osobno dla każdego zbioru czy ogólnie?
Link do wypowiedziLink
Arkadiusz H.

Arkadiusz H. IOD

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Postanowiłem zrobić przykładowy rejestr i udostępnić celem dalszej dyskusji :)

Rejestr czynności przetwarzania danych osobowychTen post został edytowany przez Autora dnia 10.05.17 o godzinie 12:49
Link do wypowiedziLink
Arkadiusz H.

Arkadiusz H. IOD

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Poszperałem trochę w necie i oto co znalazłem

Bundesdatenschutzgesetz – niemiecka ustawa o ochronie danych


§ 4e Inhalt der Meldepflicht

Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen:

1.   Name oder Firma der verantwortlichen Stelle,

2.   Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens

berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,

3.   Anschrift der verantwortlichen Stelle,

4.   Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,

5.   eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,

6.   Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,

7.   Regelfristen für die Löschung der Daten,

8.   eine geplante Datenübermittlung in Drittstaaten,

9.   eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur

Gewährleistung der Sicherheit der Verarbeitung angemessen sind..


Poniżej linki do stron na których zamieszczono "Publiczny spis procedur" zgodnie z cyt. § 4e.
http://www.kaemmerer-group.com/pl/datenschutzrichtlinien
https://www.rheinzink.pl/ochrona-danych

Podobnie miałby wyglądać rejestr czynności przetwarzania na podstawie Art.30 RODO?Ten post został edytowany przez Autora dnia 15.05.17 o godzinie 11:39
Link do wypowiedziLink
Rafał G.

Rafał G. Edukacja,
Zarządzanie
Bezpieczeństwem
Informacji

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Witam przedmówców. Nie wiem czy tylko ja mam takie skojarzenia ale dla mnie ten rejestr jest jakąś formą implementacji rejestru zbiorów danych prowadzonego obecnie przez ABI. Patrząc na konstrukcję zapisów art 30 rodo i rozporządzenia w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych widać w nich pewne podobieństwo. Techniczne widzę tutaj dwa proste rozwiązania zapisane w skoroszycie Excela z dwoma arkuszami "rejestr danych ADO" ;" rejestr danych powierzonych do przetwarzania" i odpowiednio kolumny opisane w ust.1 i ust.2. art. 30 rodo. Jak to mówią wyjdzie w praniu.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Witam,

Naszym zdaniem główną różnicą pomiędzy dzisiejszym rejestrem zbiorów a rejestrem przetwarzania jest dynamiczne podejście do tego drugiego. Tzn. nadal potrzebne jest miejsce, gdzie zbiory rejestrujemy (prowadzimy ich wykaz) a następnie łączymy je z odpowiednimi kategoriami czynności przetwarzania, które następują w czasie. Np. zbiór powierzyliśmy jednego dnia, innego dnia ten sam zbiór ujawniliśmy podmiotom upoważnionym z mocy prawa, itp.

Dodaliśmy taką funkcjonalność do naszej aplikacji ABI Administrator. Tutaj znajdą Państwo więcej szczegółów: https://abiadministrator.pl/rejestr-czynnosci-przetwarz...

Ciekaw jestem Państwa opinii i ewentualnych sugestii.

Pozdrawiamy!
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Michał S.:
łączymy je z odpowiednimi kategoriami czynności przetwarzania, które następują w czasie. Np. zbiór powierzyliśmy jednego dnia, innego dnia ten sam zbiór ujawniliśmy podmiotom upoważnionym z mocy prawa, itp.
Myślę, że zbyt dosłownie interpretujecie pojęcie 'czynności przetwarzania'. Każde kopiowanie danych ze zbioru też mamy odnotowywać? A co z czynnością przechowywania danych? Czy też jest możliwość odnotowania z programie, którego dnia przechowujemy?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Inny problem. Rozumiem, że informacje o zbiorach, incydentach itp. przetwarzane są poza siedzibą administratora danych. Jak sobie radzicie z przyjęciem prawnej odpowiedzialności za te informacje - chronione wszak ustawowo jako tajemnica danych osobowych?
Link do wypowiedziLink
Jacek W

Jacek W Administrator
Bezpieczeństwa
Informacji,
Inspektor Bezpie...

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

A co z danymi w kadrach? czy w rejestrze należy wyszczególnić osobno np. rejestracja czasu pracy, prowadzenie teczek pracowniczych, delegacje? czy zrobić to łącznie jako prowadzenie spraw pracowniczych?
Poza tym nie za bardzo wiem, czy należy te dane łączyć w jakikolwiek sposób ze zbiorami danych. Przecież w RODO nie ma nic na ten temat przy rejestrze czynności przetwarzania.
Pozdrawiam
Jacek
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Jacek W.:
A co z danymi w kadrach? czy w rejestrze należy wyszczególnić osobno np. rejestracja czasu pracy, prowadzenie teczek pracowniczych, delegacje? czy zrobić to łącznie jako prowadzenie spraw pracowniczych?
To zależy, czy chcesz mieć rejestr jako odfajkowanie obowiązku biurokratycznego, czy chcesz mieć zarządzanie procesami i ten rejestr ma mieć jakieś znaczenie funkcjonalne.
Poza tym nie za bardzo wiem, czy należy te dane łączyć w jakikolwiek sposób ze zbiorami danych.
RODO nie ma zastosowania, jeżeli przetwarzanie dokonywane jest w sposób niezautomatyzowany i dane nie mają być umieszczone w zbiorze. Precyzyjnie to art. 2 ust. 1 RODO.

Funkcjonalnie, robiąc rejestry, ja łączę to z pojęciem zbioru danych. Wyodrębniam czynności przetwarzania wg kryterium kategorii podmiotów danych (czyje dane przetwarzamy) i wg kryterium celu, czyli analogicznie jak wyodrębniałem zbiory. Dzielę to na podzbiory, żeby łatwiej różnicować sposób postępowania z danymi, gdy są różne metody zbierania/pozyskiwania danych, różne okresy retencji, różni odbiorcy danych, inna organizacja pracy ustalona wewnętrznie (np. mogą być różnice w zakresie tego, kto będzie upoważniony, jakie będą przepływy, gdzie dane się fizycznie znajdą, w jakich systemach będą przetwarzane, w jakich komórkach organizacyjnych itp.).
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Eeee....

A jakby tak popatrzeć co było i co jest? Zadam niewinne pytanie. Albo ze dwa...
1. Kto opisał swoje zbiory pod UODO/zgłosił zbiory?
2. Kto wykonał opisy przepływu danych?

I...?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Grzegorz K.:
1. Kto opisał swoje zbiory pod UODO/zgłosił zbiory?
2. Kto wykonał opisy przepływu danych?
Większość z tych, co to zrobiła, robi od nowa. Bo zagrożenie wysoka karą uświadomiło im, że teraz trzeba się przyłożyć, że ten papier ma być zgodny z rzeczywistością.

;)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Eh.... powstrzymam się od komentarza. Ale dlatego PEST i kontekst wewnętrzny jest wprowadzony do standardów zarządzania i ... do ISO 31000 - jako pierwszego. Ot P w klasycznym PEST. Czynniki polityczne i prawne... Wystarczyło monitorować, żeby wiedzieć, że będzie dalej.

A i będzie dalej też w RODO. Typuję 3-5 lat nowe rozwiązania. Znów - EWOLUCYJNE. Czyli DALEJ, a nie nowe.

Ale kto mnie słucha... ja tylko pisuję na blogach ;-)
Link do wypowiedziLink
Monika K.

Monika K. Radca prawny, xx

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Lex ma wzór (dodatkowy moduł : "ochrona danych osobowych" (plik Excel) ) - różnie jest z tymi wzorami lexa - ale wydaje się że na początek może być. Proszę "rzucić okiem" może się przyda.

> Szymon S.:
Takie pojęcie mnie ostatnio trafiło. Koś może podpowiedzieć jak to ma wyglądać i co dokładnie w tym rejestrze ma się znajdować. Może ktoś może podsunąć wzór takiego rejestru?
Link do wypowiedziLink
Jacek W

Jacek W Administrator
Bezpieczeństwa
Informacji,
Inspektor Bezpie...

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Czy w rejestrze czynności umieszczacie szczegóły: lista osób przeszkolonych (imię, nazwisko, jednostka/urząd), wydawanie biletów (imię, nazwisko, data), rejestr delegacji (imię, nazwisko, nr delegacji), rejestr wejść i wyjść (imię, nazwisko, jednostka)?
Link do wypowiedziLink
Arkadiusz H.

Arkadiusz H. IOD

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Moim zdaniem należy podać kategorie a nie zakres danych osobowych .

- kategorie osób których dane dotyczą (np. kandydaci do pracy, pracownicy, klienci, pacjenci);
- kategorie danych osobowych (np. szczególne kategorie danych osobowych, i takie zamierzam wymieniać) ;
- kategorie odbiorców (np. zew. księgowość, bez konieczności wskazywania podmiotów którym dane są udostępniane na podstawie przepisów prawa) .

Proszę zwrócić uwagę, że w art. 30 ust. 1 lit. c (RODO) dla mnie TERAZ logicznym jest umieszczenie kategorii osób oraz kategorii danych osobowych:
pacjenci <=> np. dane dotyczące zdrowia;
pracownicy <=> np. dane dotyczące zdrowia, przynależność do związków zawodowych, dane biometryczne.

To wszystko tak w dużym skrócie . . . bo pamiętajmy, że głównym wyznacznikiem będzie cel lub cele przetwarzania :)Ten post został edytowany przez Autora dnia 16.03.18 o godzinie 15:48
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Jacek W.:
Czy w rejestrze czynności umieszczacie szczegóły: lista osób przeszkolonych (imię, nazwisko, jednostka/urząd), wydawanie biletów (imię, nazwisko, data), rejestr delegacji (imię, nazwisko, nr delegacji), rejestr wejść i wyjść (imię, nazwisko, jednostka)?
Czy Ty czasem nie robisz roboty za kogoś? Rejestry czynności powinien zrobić kierownik każdej komórki organizacyjnej. Niech oni zapinkalają z tematem, a Ty zbieraj to wszystko do kupy i weryfikuj, czy dobrze zrobili. IOD to nie wół od czarnej roboty.
Link do wypowiedziLink
Jacek W

Jacek W Administrator
Bezpieczeństwa
Informacji,
Inspektor Bezpie...

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Oni to robią, ale pytają czy ma być tak szczegółowo?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

Ja każę zrobić wszystko, łącznie z kopiami danych wylosowanych osób. W ramach inwentaryzacji i oceny adekwatności.
Link do wypowiedziLink
Agnieszka Janicka-Kwiecień

Agnieszka Janicka-Kwiecień IOD

Temat: Rejestr czynności / kategorii przetwarzania danych osobowych

A ja mam pytanie dotyczące konieczności prowadzenia owego rejestru w firmach zatrudniających powyżej 250 osób, czy to liczba osób zatrudnionych na umowę o pracę, czy również na umowy cywilnoprawne? Czy 250 osób w ciągu roku czy na raz?
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj