Jednym z obowiązków wynikających z rozporządzenia o ochronie danych osobowych (czyli RODO), jest obowiązek prowadzenia rejestru czynności przetwarzania. W dzisiejszym wpisie omówię czym jest rejestr czynności przetwarzania oraz kto powinien go prowadzić.

Po wejściu w życie RODO, co do zasady, administratorzy danych osobowych  (przedstawiciele administratorów) powinni prowadzić rejestr czynności przetwarzania danych osobowych, za które odpowiadają.

Kto ma obowiązek prowadzić taki rejestr?

Obowiązek prowadzenia rejestru czynności przetwarzania nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób.

Wyjątkowo podmioty zatrudniające mniej niż 250 osób będą mieć obowiązek prowadzenia takiego rejestru, jeżeli przetwarzanie, którego dokonują:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą nie ma charakteru sporadycznego lub
  • obejmuje szczególne kategorie danych osobowych:
    • dane, o których mowa w art. 9 ust. 1 RODO (pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby),  lub
    • dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Podkreślić należy, że przedsiębiorcy zatrudniający mniej niż 250 osób mają obowiązek prowadzeniu rejestru czynności przetwarzania wyłącznie w zakresie danych wskazanych powyżej. Nawet, jeżeli w ramach prowadzonej działalności przetwarzają inne dane, nie mają obowiązku prowadzenia dla nich rejestru.

Na szczególną uwagę zasługuje przesłanka braku sporadycznego charakteru przetwarzania danych. Oznacza ona bowiem, że nawet w przypadku, jeżeli przedsiębiorca zatrudnia wyłącznie kliku pracowników, ale przetwarzanie danych którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą nie ma charakteru sporadycznego, ma on obowiązek prowadzenia takiego rejestru.

Warto zapoznać się ze stanowiskiem grupy roboczej artykułu 29 ds. ochrony danych w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust. 5 RODO:

„Przykładem tego może być mała organizacja, która najprawdopodobniej systematycznie przetwarza dane dotyczące swoich pracowników. W rezultacie takie przetwarzanie nie może być uznane za „sporadyczne” i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. Jednak inne czynności przetwarzania, które w rzeczywistości mają charakter „sporadyczny”, nie muszą być zawarte w rejestrze czynności przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób fizycznych, i nie obejmują szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.”

Rejestr czynności przetwarzania

Jakie dane zawiera rejestr czynności przetwarzania?

W rejestrze tym należy zamieścić następujące informacje:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów (oraz przedstawiciela administratora i inspektora ochrony danych, jeżeli powinni zostać powołani),

b) cele przetwarzania,

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione (w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych),

e) fakt przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (również nazwa kraju lub organizacji oraz dokumentacja odpowiednich zabezpieczeń),

f) planowane terminy usunięcia poszczególnych kategorii danych (w przypadku, jeżeli jest to możliwe)

g) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Forma prowadzenia rejestru

Co ważne – rejestr powinien mieć formę pisemną lub elektroniczną.

Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego mają obowiązek udostępnić rejestr na żądanie organu nadzorczego.

Prawnik z kilkunastoletnim doświadczeniem i doradca podatkowy (nr wpisu 12564) specjalizujący się w prawie podatkowym, celnym oraz ubezpieczeniach społecznych. Kierownik Działu Specjalistów inFakt