Opublikowane:
13.04.2018
Rejestr Czynności Przetwarzania Danych – czym jest i dlaczego administratorzy będą musieli go prowadzić?
5 min - średni czas potrzebny na przeczytanie artykułu
Ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych nakłada na wszystkich administratorów obowiązek prowadzenia rejestru czynności przetwarzania danych. Czym jednak jest ów tajemniczy dokument i do jakich celów ma powstać?
Co to właściwie jest Rejestr Czynności Przetwarzania Danych?
Każdy administrator danych osobowych, czyli osoba fizyczna lub prawna, organ publiczny, jednostka lub innym podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych od 25 maja 2018 r. będzie zobowiązany prowadzić rejestr czynności przetwarzania danych. Do niedawna nie było jednak wiadomo co do końca kryje się pod tym pojęciem – ustawodawca nie narzuca tu bowiem ścisłych wytycznych odnośnie wyglądu tego dokumentu. Zacznijmy więc od udzielenia odpowiedzi na pytanie czym właściwie jest ów rejestr i w zasadzie dlaczego musi powstać?
Omawiany przez nas rejestr stanowić ma dokumentacje przetwarzania danych. Powinien on być swoistym zbiorem wszystkich związanych z przetwarzaniem danych działań i nie mówimy tu o konkretnych danych, ale o każdej wyodrębnionej czynności. RODO nie podaje jednoznacznej definicji pojęcia „czynności przetwarzania”, możemy więc przyjąć, że jest to operacja lub zestaw powiązanych ze sobą operacji na danych wykonywanych przez administratora w związku z celem, w jakim te czynności zostają podjęte. Do podstawowych czynności przetwarzania można zaliczyć: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych.
Przykładowo jeśli przetwarzamy dane w celu obsługi umów sprzedaży określonych towarów i usług za „czynność przetwarzania” uznać można ogólnie np. „obsługę umów sprzedaży”. Ustawodawca nie wymaga od administratora wpisywania do rejestru cząstkowych operacji wykonywanych w ramach tego procesu, jak na przykład: zarejestrowanie danych klienta, wystawienie faktury, przechowywanie faktury itp. Równocześnie jednak ze względu na funkcje jaką pełnić ma rejestr warto uwzględnić tutaj podział zadań pomiędzy poszczególnymi pracownikami lub komórkami organizacyjnymi występującymi w danym podmiocie.
Pomimo więc, że poszczególne czynności przetwarzania można zdefiniować bardzo dokładnie ( jak zbieranie, utrwalanie, organizowanie itp.) rejestr czynności przetwarzania powinien obejmować opis poszczególnych operacji związanych zbiorczo z realizacją danego celu przetwarzania.
Dlaczego administratorzy będą musieli prowadzić rejestr czynności przetwarzania?
RODO określa dwa cele powstania i prowadzenia rejestru czynności przetwarzania danych - zapewnienie przez administratora zgodności z wskazanymi w RODO zasadami i warunkami przetwarzania danych osobowych oraz umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania. Ponad to prowadzenie tego typu dokumentacji może usystematyzować prowadzone czynności oraz lepiej kontrolować wykonywane na danych operacje. Zamieszczone w rejestrach informacje mogą również być przydatne podczas wykonywania innych obowiązków wynikających z rozporządzenia ogólnego - na przykład respektowanie koncepcji privacy by design (ochrony danych w fazie projektowania) . W końcu kolejną zaletą prowadzenia tego rejestru będzie stałą weryfikacja działalności firmy w zakresie przetwarzania danych osobowych.
Przede wszystkim jednak rejestr ma pomóc administratorowi wykazać, że respektuje on założenia RODO (zapoznanie się z rejestrem będzie jednym z pierwszych działań jakie organ nadzorczy podejmie podczas kontroli przestrzegania przepisów RODO), natomiast organowi nadzorczemu umożliwić otrzymanie jednolitej, czytelnej i uproszczonej informacji na temat wykonywanych przez podmiot operacji na danych osobowych oraz ich zweryfikowania.
Więcej o tym jak w jakiej formie należy prowadzić rejestr i co powinno się w nim znaleźć znaleźć można w drugiej części artykułu - https://properad.pl/artykul/29/Rejestr-Czynnosci-Przetwarzania-Danych-w-jakiej-formie-go-prowad.
Źródła:
https://www.giodo.gov.pl/pl/1520281/10449
https://odo24.pl/blog-post.rejestr-czynnosci-przetwarzania-nowosc-rodo
https://poradnikprzedsiebiorcy.pl/-prawnie-usprawiedliwiony-cel-przetwarzania-danych-osobowych
