Rejestr czynności przetwarzania.

W zeszłym tygodniu otrzymałem ciekawe pytanie. Otóż, podczas szkolenia jeden z uczestników zapytał, czy prawdą jest, że pod rządami RODO rejestr czynności przetwarzania będzie musiał obejmować wskazanie wszystkich czynności związanych z przetwarzaniem danych? W związku z moim zdziwieniem, uczestnik dodał, że czytał gdzieś, że w rejestrze trzeba będzie wpisywać, np. że dokument z danymi został, np. skserowany, zarchiwizowany, zabrany wraz z podaniem daty każdej z tych operacji.

Całe szczęście, taki obowiązek wcale nie został zawarty w RODO. Podana wyżej informacja wynika zapewne z nieprawidłowej interpretacji art. 30 RODO, który ustanawia rejestr czynności przetwarzania. Zgodnie z tym przepisem powinien on obejmować wszystkie następujące informacje:

  1. a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  2. b) cele przetwarzania;
  3. c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  6. f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Także w przypadku podmiotu przetwarzającego nie ma obowiązku odnotowywania wszystkich czynności dokonywanych na danych osobowych. Art. 30 ust. 2 RODO stanowi bowiem, że „każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

  1. a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  2. b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  3. c) gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  4. d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Realizacja wskazanego powyżej obowiązku zbliżona jest do prowadzenia przez Administratora Bezpieczeństwa Informacji jawnego rejestru zbiorów danych.

Z żadnego przepisu nie wynika jednak umieszczenia w rejestrze konkretnych operacji na danych wraz z datą ich wykonania. Swoja drogą, przyjęcie takiej interpretacji skutkowałoby znaczącym wzrostem nakładów finansowych, organizacyjnych i technicznych związanych z przetwarzaniem danych osobowych.

Z poważaniem,
Tomasz Cygan

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

four × 3 =