Wdrażanie, a później przestrzeganie RODO wymaga m.in. wywiązania się z zasady rozliczalności. Oznacza to, że każdej chwili firma powinna móc "rozliczyć" się z tego w jaki sposób realizuje wymagania RODO.
W tym kontekście jednym z najważniejszych rejestrów, od którego często może zacząć się kontrola urzędników Urzędu Ochrony Danych Osobowych jest RCP.
Warto zadać sobie pytanie dlaczego?
Z jednej strony RCP jest obowiązkowe dla bardzo wielu firm, ponieważ wystarczy spełnić choć jedną przesłanek wymienionych w przepisach. Z drugiej strony RCP zawiera fundamentalne dane o procesach przetwarzania danych w firmie. Są to:
- dane kontaktowe Administratora Danych Osobowych i Inspektorach Ochrony Danych (jeśli został powołany),
- cele przetwarzania
- opis kategorii osób (np.: pracownicy, kandydaci do pracy, kontrahenci, itd.)
- opis kategorii danych osobowych (np.: imię i nazwisko, PESEL, itd.)
- kategorie odbiorców,
- informację o przekazywaniu danych poza EOG,
- planowane terminy usunięcia danych osobowych,
- opis organizacyjnych i technicznych środków bezpieczeństwa danych osobowych.
Dobrą praktyką jest wyznaczenie
Właścicieli poszczególnych procesów przetwarzania danych osobowych. Taka praktyka jest bardzo pomocna m.in. w przeprowadzaniu
Analizy Ryzyka Zasobów, w ramach której są mapowane poszczególne zasoby do procesów przetwarzania danych osobowych.
Z uwagi na fakt, że procesy przetwarzania danych osobowych nie zmieniają się w firmach dynamicznie, RCP może być prowadzony w arkuszu kalkulacyjnym (patrz obrazek niżej).
Podsumowując:
RCP jest fundamentalnym rejestrem z punktu widzenia RODO.
RCP obrazuje m.in. jakie, w jakich celach oraz jak zabezpieczenia przetwarzanie danych osobowych dana firma.
