Szkolenia RODO przeznaczone są dla osób przetwarzających dane osobowe, w szczególności dla administratorów danych oraz ich pracowników. To również początek ścieżki kariery Inspektora Danych Osobowych. Zgodnie z tematyką szkoleń, przedstawiamy dzisiaj jedno z najbardziej podstawowych zagadnień związanych z RODO, czyli rejestr czynności przetwarzania danych osobowych. A także rejestr kategorii czynności przetwarzania danych osobowych.

Czym jest rejestr czynności przetwarzania?

Zacznijmy od tego, że samo RODO nie definiuje wprost, czym jest rejestr czynności przetwarzania danych osobowych (RCP), jednak jest to pojęcie często występujące w tej tematyce. Rejestr powinien mieć formę szybkiego dostępu do danych dotyczących przetwarzania i powinien zostać utworzony dla każdego procesu przetwarzania danych osobowych jako odrębny rejestr. Ponadto na wezwanie organu nadzorczego powinien być natychmiast udostępniony. Prowadzeniem rejestru powinny zajmować się osoby uprawnione, czyli administrator danych i procesor. A także, jeśli występuje w danej firmie przedstawiciel RODO.

Wykaz przetwarzanych zbiorów danych, na które dzieli się wszystkie przetwarzane u danego administratora danych informacje ze względu na: zakres przetwarzanych danych, cele przetwarzania oraz kategorie odbiorców, którym dane zostaną udostępnione. – interpretacją dr inż. Andrzeja Kaczmarka

Natomiast Prezes Urzędu Ochrony Danych Osobowych (PUODO) odniósł się do czynności przetwarzania, określając je jako zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób. Wszystkie czynności, które sprowadzają się do przetwarzania danych osobowych takie jak; rekrutacja pracowników, ewidencja pracowników, czy ewidencja wypłat należy umieścić w rejestrze czynności przetwarzania danych osobowych.

Szkolenia RODO i uzupełnienie informacji, czyli kategoria czynności przetwarzania

W RODO funkcjonuje również pojęcie rejestru kategorii czynności przetwarzania (RKCP), które tak jak RCP nie zostało zdefiniowane, ale funkcjonuje. RKCP nie stanowi jednak uzupełnienia RCP, ani nie jest jego zamiennikiem. Co znaczy, że RKCP i RCP nie prowadzi się zamiennie, a jednocześnie, jeśli jest taki obowiązek. Ponadto, jak sama nazwa wskazuje RKCP odnosi się do kategorii czynności, a nie do samych czynności przetwarzania.

Rejestr kategorii czynności przetwarzania (RKCP) to dokumenty wraz z podstawową i dodatkową dokumentacją podmiotu przetwarzającego dane (procesora). Wynikających z przetwarzania danych przez procesora na rzecz innych podmiotów.

Jak należy prowadzić rejestry?

W związku z tym, iż RODO nie określa postaci, ani układu zawartych informacji w RCP i RKCP, należy przyjąć, że forma prowadzenia rejestrów jest dowolna – papierowa lub elektroniczna. Należy jednak mieć na uwadze, aby zachować przejrzystość dokumentu i zadbać o estetyczną prezentację zamieszczonych w rejestrze informacji.

Jakie dane muszą znaleźć się w rejestrze

Zgodnie z art. 30 ust. 2 RODO – “Procesor” zobowiązany jest do zamieszczenia w swoim rejestrze określonych informacji:

1. Imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego, przedstawiciela podmiotu przetwarzającego oraz inspektora ochrony danych.
2. Imię i nazwisko lub nazwa oraz dane kontaktowe każdego administratora, w imieniu którego działa podmiot przetwarzający, przedstawiciela administratora oraz inspektora ochrony danych.
3. Przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń.
4. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Ponadto procesor zobowiązany jest do wskazania, jakich środków ochrony danych użył, a także przedstawić stosowną dokumentację. Dotyczy się to zarówno dokumentów w rozumieniu ogólnym np. polityka prywatności, jak i dokumentacji technicznej, jeśli taka ma miejsce np. serwery i hosting strony internetowej.