Czy Twoje studio gamedev musi prowadzić rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania? Jak prawidłowo prowadzić takie ewidencje?

studio gamedev musi prowadzić rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania

Sporządzenie odpowiedniej dokumentacji to pierwszy krok do wdrożenia RODO w Twoim studio gamedev. Druga, nie mniej ważna, sprawa to prawidłowe uzupełnianie i aktualizowanie tych dokumentów.  Na tym w znacznej mierze opiera się prawidłowe wdrożenie RODO.

W szerszej perspektywie nie chodzi tylko o zgodność działalności studia gamedev z rozporządzeniem RODO, ale też o to żeby w razie kontroli i obowiązkowego udostępnienia rejestrów na żądanie organu nadzorczego – mieć w nich porządek i móc spać spokojnie.

Kto musi prowadzić rejestry czynności przetwarzania i kategorii czynności przetwarzania?

Obowiązki, o których mowa w ust. 1 i 2 RODO, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonujesz, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, które nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, lub obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

W istocie więc (co do zasady) każde studio gamedev będzie miało obowiązek prowadzenia rejestrów, o ile jest administratorem danych i podmiotem przetwarzającym.

Forma rejestrów

Rejestry prowadzone powinny być w formie pisemnej. Jest to jedyne wymaganie ustawodawcy co do ich formy. Niemniej, w praktyce najczęściej prowadzi się je w formie arkusza (np. w Excelu czy Wordzie).

Można prowadzić je w formie drukowanej, można w elektronicznej. W praktyce częstsza jest ta druga opcja – łatwiej w taki sposób rejestry uzupełniać.

Czynności przetwarzania – co to jest?

Pewnie zastanawiasz się, czym właściwie są te czynności przetwarzania? Są to operacje na danych osobowych, które są powiązane ze sobą, wykonywane przez jedn lub kilka osób i  które mona okreli w sposób zbiorczy, w zwizku z celem, w jakim s podejmowane.

Czynnością przetwarzania będzie na przykład zawieranie umów (np. sprzedaży) czy rekrutacja pracowników.

Nieco praktyki…

Chcąc solidnie zabrać się za uzupełnianie rejestrów, musisz zebrać drużynę. Jeśli Twoje studio ma kilka działów, choćby HR, marketing i odrębnie IT – head każdego z nich pomoże Ci uzupełnić rejestr w jego zakresie.

Przede wszystkim dlatego, że ma najlepszą wiedzę (zapewne lepszą niż Ty, jako właściciel lub prezes zarządu studia) na temat tego, co się dzieje z danymi osobowymi w jego dziale.

Zmapowanie procesów, w których występują dane osobowe to kluczowe zadanie przed rozpoczęciem uzupełniania rejestrów.

Co musi zawierać rejestr czynności przetwarzania?

Rejestr czynności przetwarzania musi zawierać:

  • Nazwa i dane kontaktowe administratora (czyli Twojego studio): nazwa, adres, mail, numer telefonu.
  • Inspektor Ochrony Danych (o ile jest w Twoim studio): nazwa, adres, mail, numer telefonu.
  • Przedstawiciel (o ile ma to zastosowanie): nazwa, adres, mail, numer telefonu.
  • Informacje o poszczególnych czynnościach przetwarzania (i tu do sedna): cel przetwarzania, kategorie osób, kategorie danych, planowany termin usunicia kategorii danych, nazwa współadministratora i dane kontaktowe, nazwa podmiotu przetwarzajcego i dane kontaktowe, kategorie odbiorców, ogólny opis techniczny i organizacyjny rodków bezpieczestwa. A jeśli w Twoim studio dochodzi do transferu do kraju trzeciego lub organizacji midzynarodowej (o tym szerzej piszemy w tym poście): informacja o tym fakcie i dokumentacja odpowiednich zabezpiecze w przypadku transferu.

Co musi zawierać rejestr kategorii czynności przetwarzania?

Natomiast rejestr kategorii czynności przetwarzania musi zawierać:

  • Nazwa i dane kontaktowe procesora (czyli Twojego studio): nazwa, adres, mail, numer telefonu.
  • Inspektor Ochrony Danych (o ile jest w Twoim studio): nazwa, adres, mail, numer telefonu.
  • Przedstawiciel (o ile ma to zastosowanie): nazwa, adres, mail, numer telefonu.
  • Kategorie przetwarzania
  • Ogólny opis techniczny i organizacyjny rodków bezpieczestwa
  • Informacje o administratorze: nazwa i dane kontaktowe administratora; nazwa i dane kontaktowe współadministratora (gdy ma to zastosowanie); nazwa i dane kontaktowe przedstawiciela administratora (gdy ma to zastosowanie); inspektor ochrony danych administratora (gdy ma to zastosowanie)
  • Nazwy pastw trzecich lub organizacji midzynarodowych, do których dane s przekazywane
  • Dokumentacja odpowiednich zabezpiecze danych osobowych.

Uff… skomplikowane?

Wiemy, że tak, my też kiedyś musieliśmy się tego uczyć. Jako dodatkową podpowiedź, polecamy zajrzeć do przykładowych rejestrów – takich, które udostępnione zostały oficjalnie przez Urząd Ochrony Danych Osobowych, znajdują się one pod tymi linkami (źródło: https://uodo.gov.pl/pl/123/214):

Jeśli nadal RODO dla Ciebie czarna magia, skontaktuj się z profesjonalistą zajmującym się ochroną danych osobowych.

Podoba Ci się artykuł?

Facebook
Twitter
LinkedIn
0
    0
    Koszyk
    Twój koszyk jest pustyWróc do sklepu