Miesięcznik informatyków i menedżerów IT sektora publicznego

Jakub Rzymowski

Rejestr czynności przetwarzania danych

Na gruncie rodo konieczne jest prowadzenie rejestru czynności przetwarzania danych i rejestru kategorii przetwarzania danych. W rozporządzeniu opisano, co i w jaki sposób odnotowywać w tych dokumentach, jednak realizacja przepisów może być kłopotliwa.

Rys. B. Brosz

Artykuł 30 rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej: rodo – nosi tytuł: „Rejestrowanie czynności przetwarzania”. Z art. 30 ust. 1 rodo wynika, że administrator ma obowiązek prowadzić rejestr czynności przetwarzania danych osobowych, za które odpowiada. Z art. 30 ust. 2 rodo wynika z kolei, że podmiot przetwarzający ma obowiązek prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. Są to dwa różne rejestry, prowadzone przez dwa różne podmioty. Jeżeli podmiot jest i administratorem, i podmiotem, któremu powierzono przetwarzanie danych, to prowadzi obydwa rejestry. Należy zwrócić uwagę na fakt, że o ile administrator prowadzi rejestr czynności, o tyle podmiot przetwarzający prowadzi rejestr kategorii czynności. Brak wskazanych rejestrów może skutkować karą administracyjną na mocy art. 83 ust. 4 pkt a rodo, co stanowi dodatkową motywację do stosowania przepisu. Możliwa jest również odpowiedzialność cywilna na podstawie art. 82 rodo.

Kłopotliwa realizacja przepisów

Prowadzenie rejestru kategorii czynności przez podmiot przetwarzający jest łatwe, za to trudne czy wręcz niemożliwe jest prowadzenie rejestru czynności przez administratora danych. Prowadzenie rejestru czynności oznaczałoby, że należy w nim odnotowywać wszystkie czynności związane z danymi osobowymi, które się wydarzyły, np.: odebranie od Jana Xińskiego informacji o jego danych osobowych w celu wystawienia faktury, wystawienie faktury Janowi Xińskiemu, wydanie oryginału faktury Janowi Xińskiemu, włożenie kopii faktury do teczki, odebranie od Jana Ygrekowskiego informacji o jego danych osobowych w celu wystawienia faktury, wystawienie faktury Janowi Ygrekowskiemu, wydanie oryginału faktury Janowi Ygrekowskiemu, włożenie kopii faktury do teczki... I tak bez końca. Prowadzenie rejestru czynności przetwarzania danych osobowych jest, jak widać, niemożliwe (absurdalne), należy zatem w obydwu przypadkach, zarówno w przypadku administratora, jak i w przypadku podmiotu przetwarzającego, prowadzić rejestry kategorii przetwarzania danych osobowych.

Rozumowanie to wsparte jest tym, że w rejestrze należy umieścić opis kategorii osób, których dane dotyczą, oraz opis kategorii danych osobowych. Z ostrożności w odniesieniu do administratora rejestr należy nazwać rejestrem czynności przetwarzania danych osobowych, po czym trzeba odnotowywać w nim oczywiście nie czynności, a kategorie czynności przetwarzania danych osobowych. Z uwagi na zakaz wykładni synonimicznej rejestr czynności powinien różnić się czymś od rejestru kategorii czynności. Niewątpliwie różni się kategoriami zbieranych danych, gdyby jednak ta różnica wydawała się niewystarczająca, to należy przyjąć, że pozycje w rejestrze czynności są bardziej szczegółowe niż w rejestrze kategorii czynności. W rejestrze czynności zapisujemy zatem odpowiednie czynności, np. z art. 2 pkt 2 rodo i inne, zaś w rejestrze kategorii czynności odnotowujemy nazwy kategorii, do których możemy zaliczyć czynności wskazane oraz wszystkie inne czynności.

Pierwszy sposób prowadzenia rejestru

Problem związany z opisywanym rejestrem polega na tym, że w kolejnych punktach artykułu 30 ust. 1 rodo wymienione są informacje, jakie należy odnotowywać w rejestrze. Nie przewidziano tam jednak miejsca dla czynności przetwarzania danych. Przykładowe czynności przetwarzania danych osobowych wymienione są w art. 2 pkt 2 rodo, są to: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Należy pamiętać, że w art. 2 pkt 2 rodo wymieniono czynności przykładowe, jeżeli zatem administrator lub podmiot przetwarzający wykonują inną niż wymieniona czynność przetwarzania danych osobowych, to czynność tę należy odnotować w odpowiednim rejestrze.

Czynność należy odnotować w rejestrze, po czym dla każdej kategorii należy odnotować wszystkie informacje wymienione odpowiednio w art. 30 rodo. Podmiot publiczny może stosować swoją instrukcję kancelaryjną jako źródło informacji o tym, jakie czynności przetwarzania danych wykonuje. Podmiot medyczny może analogicznie posługiwać się odpowiednim rozporządzeniem regulującym prowadzenie dokumentacji medycznej. Oczywiście można też dokonać analizy czynności przetwarzania danych w naturze i w oparciu o nią tworzyć rejestr.

Zawartość rejestru

Jako pierwsza pozycja rejestru prowadzonego przez administratora widnieje w przepisie: imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych.

[...]

Autor jest adiunktem w Katedrze Europejskiego Prawa Gospodarczego Wydziału Prawa i Administracji Uniwersytetu Łódzkiego.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej