Rejestr czynności przetwarzania – kogo dotyczy obowiązek według RODO?

Rozporządzenie o Ochronie Danych Osobowych weszło w życie 25 maja 2018 roku i jak dotąd, nieustannie powraca jako temat gorących dyskusji, szczególnie w kręgach biznesowych. Jednym z poruszanych aspektów, jest obowiązek nałożony na podmioty, które przetwarzają dane oraz ich administratorów – obowiązek prowadzenie rejestrów czynności przetwarzania danych. Temat wydaje się trochę skomplikowany, dlatego postaramy się dokładnie wyjaśnić, o co chodzi. 

Rejestr czynności przetwarzania danych w RODO

RODO samo w sobie zmieniło perspektywę patrzenia na bezpieczeństwo przetwarzanych danych, wymuszając liczne zmiany formalne i proceduralne w organizacjach. Po dokładnym zapoznaniu się z zapisami Rozporządzenia, można dostrzec, że ten element ma logiczne uzasadnienie. Artykuł 82 RODO określa dwa cele takiego rejestru:

  • zachowanie zgodności pomiędzy środkami ochrony danych a obowiązującymi przepisami (dotyczy administratorów danych),
  • umożliwienie monitorowania operacji przetwarzania danych organowi nadzorczemu (dla Polski to Urzęd Ochrony Danych Osobowych).

W ramach tego zapisu, czynności przetwarzania mogą być opisywane zbiorczo, tzn. uwzględniać kolektywnie działania z danej grupy, np. sprzedaż towarów, proces zatrudnienia pracowników, działania marketingowe itp. Rejestr jest więc spisem osób, procesów, danych i procedur, które odbywają się w ramach ich przetwarzania. 

Rejestr czynności przetwarzania danych  – kogo dotyczy?

Przepisy RODO zawarte w art. 30 ust. 5 jasno wskazują, w jakich przypadkach przedsiębiorcy i inne podmioty są zobowiązani do prowadzenia rejestrów czynności przetwarzania. Przedsiębiorcy powinni rozważyć wprowadzenie powyższego rejestru w celu spełnienia tego obowiązku. Dotyczy to także mikro i małych firm zatrudniających pojedyncze osoby, z racji styczności z danymi szczególnymi. Do prowadzenia rejestru zobligowani są przedsiębiorcy, którzy:

  • często przetwarzają dane,
  • przetwarzają dane osobowe obejmujące szczególne kategorie danych (dane biometryczne, dane dotyczące zdrowia, związki zawodowe, itp.),
  • prowadzą przetwarzanie danych, gdzie istnieje ryzyko naruszenia praw lub wolności osób poddawanych temu procesowi,
  • zatrudniają więcej niż 250 osób.
RODO - rejestr czynności przetwarzania

Rejestr czynności przetwarzania danych – co powinien zawierać

W konsekwencji przepisów zawartych w RODO, podmioty przetwarzające dane są zobligowane do prowadzenia rejestrów czynności przetwarzania. Rejestr prowadzony przez administratora danych, będzie miał mniejszy zakres niż podmiot przetwarzający. Wynika to z zależności między tymi dwoma instytucjami. Podmiot działa na zlecenie administratora i przetwarza dane w podanym przez niego zakresie. 

RODO jasno określa, administratora jako osobę fizyczną lub prawną (także jednostkę, podmiot lub organ publiczny), która ustala cele i sposoby przetwarzania danych osobowych. Z perspektywy rozporządzenia, administratorami będą również przedsiębiorcy, którzy dodatkowo mają obowiązek prowadzenia i zawarcia w rejestrze poniższych informacji:

  • dane administratorów, inspektora danych osobowych (dane osobowe i kontaktowe),
  • cel przetwarzania danych,
  • opis grupy osób, których dane będą przetwarzane,
  • kategorie danych osobowych, które w danym procesie będą przetwarzane,
  • kategorie odbiorców tych danych (komu będą ujawniane),
  • przypuszczalne terminy usunięcia wybranych kategorii danych po ich przetworzeniu,
  • ogólny opis środków bezpieczeństwa przetwarzania danych (elementy techniczne i organizacyjne). 

Wymienione elementy nie stanowią całego katalogu informacji, które powinny znaleźć się w rejestrze. Jest to zbiór otwarty, a co za tym idzie, przedsiębiorca może zamieścić w nim dane wychodzące poza obowiązkowy spis wynikający z RODO. Dotyczy to np. danych, które mogą wprowadzić ułatwienia organizacyjne lub przetwarzane kategorie o szczególnym charakterze. Te informacje są obligatoryjne. 

Forma prowadzenia rejestru czynności przetwarzania

Na podstawie przepisów zawartych w art. 30 ust. 3 RODO, wiemy że rejestry mają przyjmować pisemną formę, z uwzględnieniem formy elektronicznej. Dzięki temu przedsiębiorca ma większą elastyczność w tym zakresie. Wersja elektroniczna, wydaje się najwygodniejszym rozwiązaniem, głównie ze względu na możliwości edycji konkretnych fragmentów w dowolnym czasie. Aby uzyskać przejrzystość rejestru, warto stworzyć tabelę zawierającą wszystkie wymagane elementy w programie tekstowym (np. typu Excel), jego odpowiedniku lub zastosować gotowe narzędzia zawarte w programach/ platformach do zarządzania i przesyłania danych firmowych. 

Nie ma bezpośrednich wskazań, by dokumenty elektroniczne musiały być jednocześnie zbierane w formie wydrukowanej. Warto jednak w regularnych interwałach tworzyć kopie zapasowe. Szczególnie dotyczy to rejestru czynności przetwarzania danych i pozostałej dokumentacji nt. ochrony danych osobowych w organizacji. W mikro i małych przedsiębiorstwach, które przetwarzają małą ilość danych osobowych i poruszają się w stałych obszarach działania, można zrezygnować z formy elektronicznej i ograniczyć się do metody pisemnej. 

Rejestr czynności przetwarzania danych w RODO – podsumowanie

Rejestr czynności przetwarzania danych, to obowiązkowy element wynikający z 82 art. RODO. Na jego podstawie, administrator danych/ podmiot przetwarzający, są zobowiązani do przekazania rejestru organowi nadzorczemu (w PL – Urząd Ochrony Danych Osobowych), za każdym razem gdy organ tego zażąda. Odmówienie udostępnienia lub brak prowadzenia rejestru dla UODO, może wiązać się z sankcjami i karami finansowymi dla organizacji. Należy jednocześnie pamiętać, że choć przedsiębiorcy są zobligowani do tego formalnie, cały proces rejestrowania czynności przetwarzania danych, ma na celu dobro użytkowników udostępniających te dane.  

Rejestry czynności przetwarzania w LOG
Zarządzanie Rejestrem czynności przetwarzania w systemie LOG

Powiązane artykuły