Celem modułu jest wspomaganie administratora, inspektora ochrony danych i/lub podmiot przetwarzający w prowadzeniu rejestru czynności przetwarzania i/ub rejestru kategorii czynności przetwarzania zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Rozporządzenie zasadniczo zmienia filozofię ochrony danych osobowych. W nowych przepisach zrezygnowano z rejestracji zbiorów danych osobowych, które nie zaskutkowały wdrażaniem przez przedsiębiorców skutecznych metod ochrony danych osobowych. Procedura rejestracji zbiorów danych osobowych powodowała też nieadekwatne do rezultatów koszty administracyjne. Drugim poważnym problemem wynikającym z poprzednich przepisów były sztywnie określone mechanizmy ochrony danych osobowych. Ze względu na szybki rozwój teleinformatyczny, tego typu rozwiązanie powodowało, że nawet ściśle stosując się do określonych wymagań nie było gwarancji bezpieczeństwa informacji. W nowym Rozporządzeniu zaś to na administratorze ciąży obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanych danych osobowych. Jednym z elementów ułatwiającym nadzór nad przetwarzanymi danymi osobowymi jest natomiast prowadzony przez administratora rejestr czynności przetwarzania,czy prowadzony przez podmiot przetwarzający rejestr kategorii czynności przetwarzania. Zakres poszczególnych rejestrów reguluje art. 30 RODO.
Zgodnie z RODO rejest czynności przetwarzania powinien zawierać co najmniej:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; 4.5.2016 L 119/50 Dziennik Urzędowy Unii Europejskiej PL
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Natomiast prowadzony przez podmiot przetwarzający rejestr kategorii czynności powinien zawierać:
- imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Program eSEKTOR wspomaga proces rejestracji ww. rejestrów. Po zarejestrowaniu czynności przetwarzania jest on dostępny w innych modułach programu. W zaewidencjonowanych pozycjach rejestru można też w dowolnym czasie dokonywać zmian z zachowaniem pełnej historii aktualizacji rejestrów. Poza tym nadzorujący ma bieżący wgląd w rejestr osób upoważnionych do danej czynności przetwarzania danych osobowych (z bezpośrednim dostępem do upoważnień tych osób), czy aplikacji wspomagających dany proces przetwarzania danych osobowych.