Rejestr czynności przetwarzania w praktyce

Rejestr czynności przetwarzania to jeden z niewielu dokumentów, o którym RODO mówi wprost. Co do zasady każdy administrator powinien prowadzić tego typu rejestr. Jedynym wyjątkiem jest sytuacja, gdy zatrudnia on mniej niż 250 osób (art. 30 ust. 5 RODO). Jednak nawet w takim przypadku, gdy przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO, konieczne jest posiadanie rejestru. Dlatego należy uznać, że powyższe wyłączenie jest iluzoryczne i będzie miało zastosowanie bardzo rzadko. W związku z tym, typowe przedsiębiorstwa powinny skupić się na stworzeniu poprawnego dokumentu niż szukaniu przyczyn, które mogłyby uzasadniać rezygnację z jego posiadania.

Zgodnie z art. 30 ust. 1 RODO rejestr czynności przetwarzania powinien zawierać:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Jak widać, są to najistotniejsze informacje pozwalające w łatwy i szybki sposób sprawdzić te obszary działalności administratora, które wiążą się z przetwarzaniem danych osobowych. Oczywiście w razie potrzeby rejestr można rozbudować. Uważam, że dobrym rozwiązaniem jest dodanie informacji o podstawach prawnych przetwarzania, podmiotach przetwarzających, pracownikach odpowiedzialnych za określone procesy biznesowe, w których przetwarzane są dane, programach służących do przetwarzania czy sposobach gromadzenia danych.

Sporym ułatwieniem jest możliwość prowadzenia rejestru w formie elektronicznej, o czym mowa w art. 30 ust. 3 RODO. Wydaje się, że najczęściej będzie on przybierał formę arkusza kalkulacyjnego.

Należy pamiętać, że rejestr nie jest dokumentem ogólnodostępnym. Nie trzeba go nigdzie publikować np. na stronie internetowej swojej firmy. Rejestr należy natomiast udostępniać na żądanie organu nadzorczego. Jest to zatem dokument, który ma ułatwić skontrolowanie administratora, ale również pomóc administratorowi w zarządzaniu przetwarzaniem danych osobowych.

Sądzę, że największe wątpliwości dotyczące prowadzenia rejestru będą dotyczyły jego szczegółowości. We wzorze rejestru opublikowanego przez Urząd Ochrony Danych Osobowych (https://uodo.gov.pl/pl/123/214) możemy zauważyć bardzo dokładne rozpisanie celów przetwarzania związanych z zatrudnieniem. Jednak moim zdaniem takie podejście jest zbyt restrykcyjne. Uważam, że wystarczające jest w miarę ogólne określenie celów przetwarzania np. poprzez odniesienie się do zatrudnienia pracowników, zleceniobiorców itp. W przypadku wątpliwości, warto wyodrębnić te czynności, z którymi wiąże się wypełnianie obowiązków informacyjnych określonych w art. 13 RODO. W efekcie typowy rejestr powinien zawierać pozycje takie jak: zatrudnienie pracowników, rekrutacja, prowadzenie księgowości, zawarcie i wykonanie umowy z klientem, zakup towarów/usług od dostawców, ewidencja korespondencji.

Oczywiście dopiero decyzje organów nadzorczych pokażą, jak należy poprawnie konstruować rejestr. Na razie najważniejsze jest to, aby administrator posiadał taki dokument i umieścił w nim najistotniejsze informacje. Lepiej prowadzić w miarę ogólny rejestr, który jesteśmy w stanie na bieżąco aktualizować niż bardzo szczegółowy, do którego strach jest zajrzeć ze względu na jego rozmiary.