Zgodnie z art. 4 RODO oprócz administratora również podmiot przetwarzający (procesor) musi rejestrować czynności przetwarzania danych osobowych, podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Do procesorów można zaliczyć głównie firmy związane z outsourcingiem usług (np. księgowość, kadry, serwisy IT, archiwizacja).
Art. 30 ust 2 RODO stanowi, że podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. W systemie RODO-ONLINE.EU znajdą Państwo obligatoryjne i dodatkowe elementy potrzebne do pełnej funkcjonalności takiego rejestru zgodnie z powyższym artykułem RODO – zakładka „Rejestr kategorii”. Rejestr ten nie jest udostępniany publicznie, ale stanowi cenne źródło merytorycznego wywiązywania się przez podmiot przetwarzający z realizacji odpowiedzialnego przetwarzania danych osobowych.
Obowiązki, o których mowa powyżej, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.
RKCP jest podstawową dokumentacją podmiotu przetwarzającego ukazującą przetwarzanie danych osobowych w imieniu innego podmiotu, odnosi się do kategorii (rodzaju usługi), a nie do samej czynności. Rejestr taki powinien odzwierciedlać realizowanie zawieranych umów powierzenia z Administratorem/ami.