Rejestrowanie czynności przetwarzania. Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności lub rejestru kategorii czynności. Art. 30 RODO wskazuje ich obligatoryjne składniki, niemniej przepis ten może budzić wątpliwości co do znaczenia poszczególnych użytych w jego treści pojęć oraz sposobu wykonania tego obowiązku.
W celu ułatwienia realizacji tego zadania Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), przygotował szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami ich uzupełnienia oraz wyjaśnienia dotyczące sposobu realizacji tego obowiązku.
Przedstawionych szablonów rejestrów nie należy traktować jako jedynych prawidłowych wzorów. Ze względu na różnorodność administratorów, sektorów, w których działają i procesów przetwarzania danych, które prowadzą oraz innych czynników, w praktyce może występować wiele różnych modeli (struktur) rejestru czynności. Ważne, żeby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić wymagane w art. 30 ust. 1 i 2 RODO elementy w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych, w sposób czytelny i przejrzysty.
Stanowisko Grupy Art. 29
14 maja 2018 r. Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych – EROD) przyjęła stanowisko, w którym wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania.
W związku z licznymi pytaniami kierowanymi do krajowych organów nadzorczych przez przedsiębiorców, Grupa Robocza Art. 29, skupiająca unijnych rzeczników ochrony danych osobowych, w tym Prezesa UODO (dawniej GIODO), przyjęła stanowisko, w którym wskazuje, w jakich przypadkach administratorzy lub podmioty przetwarzające zatrudniające mniej niż 250 pracowników, muszą prowadzić rejestr czynności przetwarzania.
Obowiązek ten trzeba realizować, gdy przetwarzanie:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
- nie ma charakteru sporadycznego,
- obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
Przy czym dla jego powstania wystarczy, że zachodzi którakolwiek z tych sytuacji samodzielnie.
Rejestr czynności przetwarzania trzeba jednak prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania.
Jako przykład Grupa Robocza Art. 29 podaje przypadek małej organizacji, która najprawdopodobniej systematycznie przetwarza dane dotyczące swoich pracowników. Jak wskazuje, „w rezultacie takie przetwarzanie nie może być uznane za „sporadyczne” i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. Jednak inne czynności przetwarzania, które w rzeczywistości mają charakter „sporadyczny”, nie muszą być zawarte w rejestrze czynności przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób fizycznych, i nie obejmują szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych”.