Opublikowane:
20.04.2018
Rejestr kategorii czynności przetwarzania czym jest i co powinien zawierać?
5 min - średni czas potrzebny na przeczytanie artykułu
Wchodzące w życie 25 maja 2018 roku postanowienia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych wprowadza obowiązek prowadzenia rejestru nie tylko na administratorów danych osobowych. Podobny wymóg nałożony zostanie na podmioty przetwarzające dane osobowe. Rejestr kategorii czynności przetwarzania, bo taką nazwą opatrzony został ów rejestr, jest co prawda prostszą formą rejestru czynności przetwarzania danych – prowadzenie go jednak może być dla wielu podmiotów kłopotliwe.
Czym jest Rejestr kategorii czynności przetwarzania ?
Obowiązek prowadzenia rejestrów kategorii czynności spoczywa na podmiotach przetwarzających, a wiec osób fizycznych lub prawnych, organów publicznych, jednostek lub innych podmiotów, które przetwarzają dane osobowe należące do administratora.
Nowe rozporządzenie nie podaje jednoznacznych rozwiązań i definicji. Również w zakresie „kategorii czynności przetwarzania”. Z angielskiej wersji ustawy, w której termin ten określony został jako „Records of processing activities” kategorie czynności przetwarzania możemy przetłumaczyć jako „zapis aktywności przetwarzania”. Będzie to więc rodzaj usługi realizowanej przez podmiot przetwarzający dla administratora, ściśle związana z celem przetwarzania danych. Rekordy w naszym rejestrze dotyczyć więc będą poszczególnych grup czynności jakich dokonujemy na bazach administratorów, na przykład: przechowywanie i prowadzenie dokumentacji podatkowej, archiwizacja danych elektronicznych, rekrutacja pracowników, wysyłanie newslettera, rozliczenia z kontrahentami itp.
Jeśli podmiot przetwarza dane więcej niż jednego administratora nie musi on prowadzić kilku rejestrów, jeden dokument ma bowiem obejmować wszystkie kategorie czynności przetwarzania dokonywane w imieniu wszystkich administratorów.
W jakiej formie rejestr powinien być prowadzony?
Podobnie jak w przypadku rejestr czynności przetwarzania danych nie ma tu jednej właściwej recepty na wygląd rejestru kategorii przetwarzania. Musi on być jednak sporządzony w formie pisemnej (w postaci papierowej lub elektronicznej). Można skorzystać tu ze wzoru, zamieszczonego przez GIODO udostępnionego tutaj - https://www.giodo.gov.pl/pl/1520281/10449.
Co powinno znajdować się w rejestrze ?
W rejestrze kategorii czynności przetwarzania powinny być zawarte:
a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w niektórych przypadkach także dokumentacja odpowiednich zabezpieczeń;
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Jak łatwo zauważyć rejestr kategorii czynności przetwarzania stanowi krótszą formę rejestru czynności przetwarzania i w odróżnieniu od niego nie musi zawierać celów przetwarzania; opisu kategorii osób, których dane dotyczą, kategorii danych osobowych; oraz kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione. Zarejestrowanie tych dodatkowych informacji spoczywa bowiem na administratorze lub współadministratorach jako podmiotów, które są decyzyjne w zakresie celów i sposobów przetwarzania danych. Oczywiście rejestr kategorii czynności przetwarzania może zawierać więcej informacji, jeśli taka jest wola podmiotu przetwarzającego dane, tutaj ustawodawca nie przewiduje limitów.
Wielu administratorów danych podejmuje również czynności związane z przetwarzaniem danych osobowych, w praktyce oznacza to więc, że są oni zobligowani do prowadzenia zarówno rejestru kategorii czynności przetwarzania jak też rejestru czynności przetwarzania danych, o którym więcej pisaliśmy w poprzednich artykułach : https://properad.pl/artykul/28/Rejestr-Czynnosci-Przetwarzania-Danych-czym-jest-i-dlaczego-admi, https://properad.pl/artykul/29/Rejestr-Czynnosci-Przetwarzania-Danych-w-jakiej-formie-go-prowad.
Źródła:
https://www.giodo.gov.pl/pl/1520281/10449
https://odo24.pl/blog-post.rejestr-czynnosci-przetwarzania-nowosc-rodo
https://poradnikprzedsiebiorcy.pl/-prawnie-usprawiedliwiony-cel-przetwarzania-danych-osobowych