Rejestr czynności przetwarzania danych osobowych

Rejestr czynności przetwarzania

Na podstawie art. 30 ust. 1 RODO administratorzy zobowiązani są do prowadzenia rejestru czynności przetwarzania. Jest to jeden z podstawowych obowiązków dokumentacyjnych nałożonych przepisami rozporządzenia ogólnego.

Jest to instrument służący realizacji zasad rozliczalności i przejrzystości przetwarzania danych¹, a także wspierający urzeczywistnianie praw podmiotów danych oraz weryfikowalność w toku następczych kontroli prowadzonych przez organ nadzoru.

Podmiotami zobowiązanymi są administratorzy z Unii oraz przedstawiciele administratorów, którzy wprawdzie nie mają siedziby na terytorium UE, ale podlegają regulacji na podstawie art. 3 ust. 2 RODO².

Rejestr czynności przetwarzania ma być prowadzony w formie pisemnej lub elektronicznej.

Podmiot prowadzący rejestr ma obowiązek udostępniać go organowi nadzorczemu na wniosek, a zatem forma prowadzenia musi to umożliwiać, szczególnie jeśli do prowadzenia rejestru jest wykorzystywany system informatyczny.

Zakres danych w rejestrze czynności

W rejestrze czynności obligatoryjnie powinny się znaleźć m.in. następujące informacje:

a) Jan Kowalski, Nowak, [email protected] (oraz współadministratorów, przedstawiciela administratora, inspektora ochrony danych),

b) cele przetwarzania danych,

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych ich dotyczących,

d) kategorie odbiorców, którym dane zostały lub zostaną ujawnione, w szczególności odbiorców w państwach trzecich,

e) gdy ma to zastosowanie, o transferach danych do państw trzecich lub organizacji międzynarodowych ze wskazaniem tych państw/organizacji (wraz z udokumentowaniem odpowiednich środków bezpieczeństwa),

f) jeżeli jest to możliwe, o planowanych w ciągu 2 lat usunięcia poszczególnych kategorii danych,

g) jeżeli jest to możliwe, o ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Katalog informacji sformułowany w art. 30 ust. 1 RODO nie jest jednak katalogiem zamkniętym i wyznacza jedynie minimalny zakres informacji.

¹ RODO/2016/679

² Zob. rozdz. 1.2.2. Chodzi tu o administratorów spoza Unii, którzy przetwarzają dane osób, których dane dotyczą, przebywających w Unii, jeżeli „czynności przetwarzania wiążą się z: a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii” (art. 3 ust. 2 RODO).

Celem prowadzenia rejestru dokumentowaniem czynności przetwarzania danych, za które odpowiadają administratorzy. Nie chodzi jednak o poszczególne operacje na danych a o procesy przetwarzania dokonywane przez administratora lub w jego imieniu ujęte w kategorie, wyznaczane wspólnym celem. Czynność przetwarzania jest zatem zbiorczym oznaczeniem wielu różnych operacji przetwarzania, które łączy realizacja tego samego celu³.

Pierwszą czynnością administratora umożliwiającą sporządzenie rejestru jest zatem uprzednie mapowanie działań biznesowych, w których zaangażowane jest przetwarzanie danych osobowych i przez ten pryzmat wydzielenie relewantnych procesów, np. procesów rekrutacyjnych, HR, marketingowych, sprzedażowych itp. Liczba procesów zależy m.in. od złożoności struktury organizacyjnej, wykorzystywanych narzędzi, zaangażowanych podmiotów wewnętrznych i zewnętrznych.

Takie podejście pozwala na ocenę danego procesu przez pryzmat celu, a konsekwencji weryfikacji zasady celowości i minimalizacji. Ponadto umożliwia analizę pod kątem spełnienia przesłanek legalizacyjnych, podlegania obowiązkom realizacji poszczególnych praw podmiotów danych zależnych od podstaw legalizacyjnych itd.

Wokół czynności przetwarzania (procesów przetwarzania) skonstruowany jest cały system ochrony danych, ponieważ czynności przetwarzania dotyczy też analiza ryzyka, którą administrator zobowiązany jest wykonywać uwzględniając zawarte w rejestrze informacje dotyczące procesu oraz dodatkowe elementy, jak podatności, zagrożenia i wagi wynikające z kontekstu przetwarzania, jego zakresu, celu i charakteru.

Konstruując rejestr czynności przetwarzania i mając na uwadze wolę zapewnienia mu większej funkcjonalności, administrator powinien rozważyć zawarcie w nim nie tylko elementów obligatoryjnych, wymagane przepisami art. 30 ust. 1 rozporządzenia, ale także elementów fakultatywnych, m.in. ułatwiających realizację zasady rozliczalności, jak choćby opisu charakteru czy kontekstu przetwarzania.

Prowadzenie rejestru w bardziej rozbudowanej formie, a zatem zawierającej elementy szersze niż tylko wynikające z art. 30 ust. 1, zależnie od decyzji administratora, może być operacyjnie korzystniejsze, jako że pozwala na zaimplementowanie tego narzędzia, w pewnym zakresie, do procesów analitycznych. W takich sytuacjach po podaniu ogólnych informacji na temat administratora, IOD, wspólnych dla wszystkich procesów ich lista mogłaby wyglądać w następujących sposób (przykładowy proces). Podkreślić jednak należy, że to do administratora należy decyzja, zwłaszcza w zakresie stosowanej metodologii analizy ryzyka i jej składowych, zaś prawodawca unijny nie narzuca jednego modelu analitycznego. Przedstawiony przykład obejmujący swym zakresem również wstępne działania analityczne jest zatem jednym z możliwych rozwiązań, choć nie wyczerpuje nałożonych na administratora wymagań w zakresie oceny ryzyka czy oceny skutków dla ochrony danych.

Rejestr w przedstawionym kształcie składa się z części wspólnej, w której wskazany zostaje administrator, inspektor ochrony danych, jeśli jest powołany, a także osoba odpowiedzialna za prowadzenie rejestru. W dalszej części opisane mają zostać poszczególne procesy przetwarzania danych, numerowane wedł