Rejestr czynności przetwarzania – obowiązek czy dobra praktyka?

BySylwia Ostrowska
rejestr czynnościCzym jest rejestr czynności przetwarzania?

Art. 30 RODO stanowi, czym jest rejestr czynności przetwarzania, co powinien zawierać oraz kto musi go prowadzić. Określa on, nomen omen czynności przetwarzania dokonywane przez administratora danych osobowych. Musi zawierać dane samego administratora, cele przetwarzania, opis kategorii danych oraz ich podmiotów, kategorie odbiorców, informacje na temat przekazywania danych do państwa trzeciego lub organizacji międzynarodowych, planowany termin usunięcia danych oraz opis technicznych i organizacyjnych środków bezpieczeństwa wskazanych w art. 32 ust. 1 RODO. Naturalnie, nic nie stoi na przeszkodzie, aby zakres informacji zawartych w rejestrze rozszerzyć ponad te wymagane przez prawo. Uznaje się to za dobrą praktykę. Przykładowo, bardzo pomocne przy analizowaniu poszczególnych czynności jest wskazanie, na jakiej podstawie prawnej dane są przetwarzane. Przy identyfikacji źródła naruszeń ochrony danych osobowych użyteczne jest zawarcie w rejestrze informacji na temat działu odpowiedzialnego za daną czynność. Te kwestie nie są jednak problematyczne – kłopoty pojawiają się przy określeniu podmiotów zobowiązanych do realizacji obowiązków wskazanych w art. 30.

Obowiązek prowadzenia rejestru

Zgodnie z ust. 5 art. 30 RODO, obowiązek prowadzenia rejestru czynności nie ma zastosowania do podmiotów zatrudniających mniej niż 250 pracowników. Są jednak następujące wyjątki od tej reguły:

  • przetwarzanie danych dokonywane przez ten podmiot może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą lub
  • obejmuje dane wskazane w art. 9 albo 10 bądź
  • nie ma charakteru sporadycznego.

Pierwsze dwa wyjątki nie budzą większych wątpliwości. Jeżeli analiza ryzyka dokonana przez dany podmiot wykaże wystąpienie istotnej możliwości naruszenia praw lub wolności podmiotów danych, to rejestr trzeba prowadzić. Podobnie klarowna jest kwestia przetwarzania danych szczególnie chronionych. Problem pojawia się przy trzecim wyjątku – zdaje się on być nie tylko bardzo ogólny, jak również obejmujący swoim zakresem niezwykle szerokie spektrum różnych podmiotów.

Sporadyczny charakter przetwarzania danych osobowych

Idąc za powszechnym rozumieniem słowa „sporadyczny”, trudno znaleźć podmiot, który tylko w ten sposób przetwarzałby dane. Na przykład, rolnik prowadzący gospodarstwo, bez pracowników, przetwarza dane osobowe jedynie wystawiając faktury kontrahentom, co robi nieregularnie. Czasem sprzedaje swoje produkty co dwa tygodnie, czasem co miesiąc, a czasem nawet rzadziej. W takim razie, rolnik ten w teorii nie byłby zobowiązany do prowadzenia rejestru czynności przetwarzania. Jednakże, po zakończeniu transakcji, faktury nie są niezwłocznie usuwane przez podmiot je wystawiający. Rolnik musi przechowywać faktury, stanowiące dokument księgowy przez 5 lat. Od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Wymaga się tego na gruncie krajowych przepisów prawa podatkowego i od tego obowiązku nie ma ucieczki. Zgodnie z art. 4 pkt 2 przetwarzaniem danych jest ich przechowywanie, a trwa ono w tym przypadku nieprzerwanie przez kilka lat. W tym przypadku nie mamy do czynienia ze sporadycznym charakterem przetwarzania, wręcz przeciwnie, jest ono dokonywane stale i regularnie. Oznacza to, że nasz przykładowy rolnik jednak musi prowadzić rejestr czynności przetwarzania, mimo, że tych czynności jest mało.

Obowiązek dla dużych podmiotów (i wszystkich innych)

Każdy podmiot prowadzący działalność gospodarczą (i nie tylko) przechowuje, chociażby, jakieś dokumenty księgowe zawierające dane osobowe przez okres wskazany w prawie podatkowym. Oznacza to, że przetwarzanie tych danych nie ma charakteru sporadycznego, gdyż są przechowywane przez ten okres nieustannie. W związku z tym, w praktyce niemal każdy podmiot prowadzący jakąkolwiek działalność musi prowadzić rejestr czynności. Trudno wyobrazić sobie jakąkolwiek instytucję czy podmiot prywatny, który w ramach swojej działalności nie przechowuje przez okres co najmniej kilku lat jakichś danych osobowych. W związku z tym, ust. 5 art. 30 mógłby w zasadzie nie istnieć. Tak naprawdę sprowadza się on do określenia: „rejestr czynności musi prowadzić administrator zatrudniający nie mniej niż 250 pracowników, a także wszyscy inni administratorzy”. Dlatego też, ust. 5 art. 30 z racji swojej konstrukcji zdaje się mieć zakres szerszy niż zamierzony. Niejeden administrator danych osobowych często zadaje sobie pytanie: „czy muszę prowadzić rejestr czynności przetwarzania?”. Natomiast odpowiedzią niemal zawsze jest niepewne, acz uzasadnione „tak”.