Praktyczna ochrona danych osobowych. Czy rejestr czynności przetwarzania danych prowadzi administrator, a rejestr kategorii czynności przetwarzania podmiot przetwarzający dane w imieniu administratora?

„Urząd gminy i ochrona danych osobowych – rejestr kategorii i czynności. Mam problem ze zrozumieniem jak mają wyglądać rejestr czynności i rejestr kategorii które mają prowadzić jednostki przetwarzające dane wrażliwe? Czym się one różnią i kiedy coś w nie wprowadzać? Rejestr czynności o ile dobrze zrozumiałem to rejestr baz danych, rejestrów z danymi osobowymi. W tym rejestrze rejestrujemy raz takie dane o zbiorze, który będziemy przetwarzać. Czy może jak baza danych zawiera dane np. podatników i np. kontrahentów to mamy wpisać dwie oddzielne czynności? Rejestr kategorii o ile dobrze rozumiem to taki rejestr, do którego wpisuję jeżeli cokolwiek robiłem z danymi osobowymi, np. drukowałem jakieś decyzje, robiłem kopię bezpieczeństwa itd. Mam nadzieję że w przypadku wydruku 100 decyzji mogę tam wpisać jedną czynność mówiącą ogólnie o wydruku decyzji w jakimś dniu, a nie rejestrować każdy ze 100 wydruków. Czy dobrze rozumiem?”

W ocenie Eksperta rozumowanie przez Czytelnika ujętych w pytaniu spostrzeżeń jest …

(…) zasadniczo prawidłowe. Jednak trzeba mieć na względzie, że na chwilę obecną brak jest jednoznacznych interpretacji zapisów niewiążącego rozporządzenia, które lada moment wejdzie w życie (25.05.2018 r.). Niezależnie od tego, zgodnie z zapisami art. 30 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tzw. ogólnego rozporządzenia o ochronie danych (RODO) – rejestr czynności przetwarzania prowadzi administrator, a rejestr kategorii czynności przetwarzania podmiot przetwarzający dane w imieniu administratora.

Oba rejestry różnią się zakresem informacji. Podstawowym celem prowadzenia rejestru jest dokumentowanie czynności przetwarzania danych osobowych. Rejestr czynności przetwarzania danych osobowych i rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora są to dwa różne rejestry, prowadzone przez dwa różne podmioty. Jeżeli podmiot jest jednocześnie administratorem i podmiotem, któremu powierzono przetwarzanie danych, to prowadzi obydwa rejestry.

Należy zwrócić uwagę na fakt, że o ile administrator prowadzi rejestr czynności, o tyle podmiot przetwarzający prowadzi rejestr kategorii czynności. Brak jest przepisów wykonawczych odnoszących się do sposobu tworzenia i prowadzenia rejestru przetwarzania, więc administrator danych sam podejmuje decyzję jak to robić. Można wyróżnić dwie: albo oddzielny rejestr, tożsamy do obecnego zbioru danych administratora bezpieczeństwa informacji, albo rozszerzenie tabeli z wykazem zbiorów w polityce bezpieczeństwa o dodatkowe kolumny.

Paweł Nowak – prawnik prawa pracy i prawa oświatowego

Podstawa prawna:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – Dz.Urz. UE L 119/1.