Spośród dokumentów wchodzących w skład systemu ochrony danych osobowych na szczególną uwagę zasługuje z pewnością rejestr czynności przetwarzania. Przez jednych odbierany jako bezsensowną papierologię, przez innych wykorzystywany w codziennej pracy i ułatwiający kontrolę nad danymi osobowymi w organizacji.
Niezależnie od oceny przydatności rejestru czynności przetwarzania jest on jednym z dokumentów, które są wymagane przez RODO. Choćby dlatego warto omówić, czym właściwie jest, co powinien zawierać i do czego może się przydać. Tym właśnie zajmiemy się w tym artykule.
Czym jest rejestr czynności przetwarzania?
Zgodnie z przepisem art. 30 RODO, każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. Rejestr czynności przetwarzania jest więc zestawieniem tych czynności, które zawiera wymagane przez RODO informacje.
Warto w tym miejscu nadmienić, że rejestr powinien być prowadzony w formie pisemnej, w tym elektronicznie. Polecam Twojej szczególnej uwadze formę elektroniczną, która przewyższa papierową możliwościami poruszania się po rejestrze. Już teraz wspomnę, że samo utworzenie rejestru to za mało. To proces, który wymaga większej uwagi. Nie zniechęcaj się jednak, bo prawidłowo wykorzystany może być przydatnym narzędziem.
Kto nie musi prowadzić rejestru czynności przetwarzania?
Zanim przejdziemy do elementów, z których składa się rejestr czynności przetwarzania, odpowiem na pytanie, kto rejestru prowadzić nie musi. Zgodnie z RODO będziesz zasadniczo zwolniony z tego obowiązku w przypadku, gdy zatrudniasz mniej niż 250 osób.
Jeżeli jednak przetwarzanie, którego dokonujesz może powodować ryzyko naruszenia praw lub wolności osób, których ono dotyczy, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, będziesz zobowiązany do prowadzenia rejestru czynności przetwarzania. Tak samo będzie w przypadku przetwarzania przez Ciebie danych osobowych dotyczących wyroków skazujących i czynów zabronionych.
Elementy rejestru czynności przetwarzania
Minimalny zakres informacji, które powinny znaleźć się w rejestrze czynności przetwarzania został określony przepisem art. 30 RODO. Jeżeli jednak uznasz, że dodanie jakichś informacji będzie dla Ciebie przydatne, śmiało rozszerz swój rejestr. Chodzi o to, aby miał dla Ciebie jak największą wartość praktyczną.
Wśród informacji, które powinny znaleźć się w rejestrze czynności przetwarzania należy wskazać:
- tożsamość i dane kontaktowe administratora lub współadministratorów;
- cele przetwarzania;
- opis kategorii danych osobowych i kategorie osób, których one dotyczą;
- kategorie odbiorców danych, a więc podmiotów, którym ujawniasz dane;
- jeżeli przekazujesz dane poza EOG lub do organizacji międzynarodowych – nazwa kraju lub organizacji i dokumentacja odpowiednich zabezpieczeń;
- planowane terminy usunięcia danych – jeżeli to możliwe;
- ogólny opis środków ochrony danych – jeżeli to możliwe.
Poza wskazanymi elementami polecam dodać do rejestru czynności przetwarzania datę ostatniej aktualizacji, abyś mógł ustalić kiedy ostatnio wprowadziłeś zmiany w rejestrze. Przydatne może być też wskazanie podstawy prawnej przetwarzania, co przyda Ci się choćby w realizacji obowiązku informacyjnego lub ustalaniu możliwości zrealizowania praw osób, których dotyczy przetwarzanie.
Rejestr czynności przetwarzania to proces – wątpliwości administratorów
Wielu administratorów podchodzi do rejestru czynności przetwarzania niechętnie, traktując go jako smutną konieczność albo zbędną papierologię. To prowadzi do tego, że raz opracowany rejestr czynności przetwarzania pozostaje w tym samym brzmieniu przez długi czas, nie zważając na zmiany w organizacji.
I o ile zgadzam się, że prowadzenie rejestru to kolejny z obowiązków prawnych, na których brak żaden przedsiębiorca nie może narzekać (sam coś o tym wiem), to jego niespełnienie może spowodować przykre konsekwencje. Wiedz, że jesteś zobowiązany także do udostępnienia rejestru na żądanie organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych.
Dlatego uważam, że w tym rozrachunku warto taki rejestr przygotować i wykorzystać maksymalnie praktycznie dla prowadzonej działalności. Z moich doświadczeń wynika, że samo utworzenie rejestru potrafi otworzyć oczy na procesy firmy, a w konsekwencji odciąć lub usprawnić te, które są niewydolne lub nie działają wcale. Może się więc okazać, że zrealizowanie smutnego obowiązku RODO przyniesie Twojej firmie poprawę funkcjonowania, a nawet oszczędności.
W tym miejscu stawiam kropkę, a jeżeli masz pytania związane z ochroną danych osobowych w Twojej firmie, zapraszam do kontaktu.😉
Pingback: Rejestr kategorii czynności przetwarzania? - Zdrowe Dane