Rejestrowanie czynności przetwarzania

Rejestrowanie czynności przetwarzania

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności przetwarzania lub rejestru kategorii czynności przetwarzania. Jak opracować powyższe rejestry?  Jakie elementy powinien zawierać każdy z nich? Zapraszam do lektury.

Na wstępie warto zaznaczyć, że nierzadko będziemy mieli do czynienia z sytuacją gdzie administrator będzie jednocześnie pełnił rolę podmiotu przetwarzającego. W takiej sytuacji może być on  zobowiązany do prowadzenia tak jednego jak i drugiego rejestru. Warto więc znać różnice pomiędzy nimi.

Rejestr czynności przetwarzania jest dokumentem prowadzonym przez administratora, w którym wykazuje on m.in. w jakich procesach w organizacji przetwarzana są dane osobowe, a także jakie to dane i przez jaki czas będą przechowywane. Rejestr ten można prowadzić w dowolnej formie jednak administrator jest zobowiązany udostępnić go na każde żądanie organu nadzorczego (Prezesa UODO).

Rejestr kategorii czynności przetwarzania musi być prowadzony przez podmiot przetwarzający przy czym jeśli podmiot taki przetwarza dane więcej niż jednego administratora może zawrzeć te procesy w jednym rejestrze.

Co prawda przepisy RODO wskazują obligatoryjne składniki rejestrów, jednak nie ma przeszkód do ich rozbudowania o elementy przydatne z punktu widzenia naszej organizacji.

W sieci można obecnie znaleźć wiele szablonów rejestru czynności przetwarzania i rejestru kategorii czynności  ich przydatność często bywa jednak dyskusyjna. Szablonów nie należy traktować jako jedynych prawidłowych wzorów. Ze względu na różnorodność administratorów, sektorów, w których działają i procesów przetwarzania danych, które prowadzą oraz innych czynników w praktyce może występować wiele różnych modeli (struktur) rejestru czynności.

Istotne jest to, aby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić wymagane w  RODO elementy w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych w sposób czytelny i przejrzysty (zgodnie z zasadą rozliczalności).

14 maja 2018 r. Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych – EROD) przyjęła stanowisko, w którym wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania.

W związku powyższym Prezes UODO wskazuje, w jakich przypadkach administratorzy lub podmioty przetwarzające zatrudniające mniej niż 250 pracowników, muszą prowadzić rejestr czynności przetwarzania.

Obowiązek ten trzeba realizować, gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Trzeba jednak pamiętać, że dla  powstania obowiązku wystarczy, że zachodzi którakolwiek z tych sytuacji samodzielnie.