Czym są czynności przetwarzania w rejestrze czynności?
Rejestr czynności przetwarzania jest tematem pojawiającym się właściwie na każdym moim szkoleniu i w większości dyskusji. O zasadach tworzenia i prowadzenia rejestru pisałam tutaj. Jednakże już na pierwszy rzut oka, można zauważyć, że przyjęłam inną zasadę tworzenia rejestru, niż podany na stronach urzędu ochrony danych osobowych wzór: wyjaśnienia Prezesa UODO jak prowadzić rejestr czynności
Na stronie zostały zamieszczone Wskazówki i wyjaśnienia dotyczące obowiązku z art. 30 ust. 1 i 2 RODO, przygotowane przez pracowników UODO, Panią Monikę Młotkiewicz oraz dr inż Andrzeja Kaczmarka. W podanym przykładzie autorzy posługują się „czynnościami na danych” bardzo szczegółowo rozbijając je dla poszczególnych zbiorów. Wynika to z interpretacji „czynności przetwarzania”, jako zespołu powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.
W 2016 roku, pod patronatem GIODO, ukazał się bardzo dobry i prosty poradnik Wykonywanie obowiązków ABI, przyszłego inspektora ochrony danych, w świetle ogólnego rozporządzenia o ochronie danych osobowych, pod redakcją „autorytetów RODO”, m.in. dr Edyty Bielak-Jomaa, Piotra Drobka, dr Macieja Kaweckiego. W poradniku jeden z rozdziałów został poświęcony zagadnieniu prowadzenia rejestru czynności przetwarzania, w którym dr inż. Andrzej Kaczmarek wyjaśnia:Wprowadzony w rodo tzw. rejestr czynności przetwarzania należy rozumieć jako wykaz przetwarzanych zbiorów danych, na które dzieli się wszystkie przetwarzane u danego administratora danych informacje ze względu na: zakres przetwarzanych danych, cele przetwarzania oraz kategorie odbiorców, którym dane zostają udostępnione.
Za takim rozumieniem pojęcia „czynności przetwarzania” przemawia, wymagany w art. 30 ust. 1 pkt a – pkt g oraz art. 30 ust. 2 pkt a do pkt d rodo opis tych czynności. Z wykazu tego jasno wynika, że przez pojęcie „czynności przetwarzania” nie należy rozumieć poszczególnych etapów przetwarzania danych w ramach danego zbioru – takich jak pozyskiwanie danych, wysyłanie do podmiotów danych określonego rodzaju informacji, usuwanie danych oraz wykonywanie na zgromadzonych danych określonego rodzaju operacji (jak np.naliczenie zobowiązania podatkowego itp.), lecz wszystkie operacje globalnie na określonym zbiorze danych. Granice takiego zbioru mają być wyznaczane nie przez poszczególne cząstkowe operacje przetwarzania, lecz przez wskaźniki wymienione odpowiednio w art. 30 ust. 1 pkt. a–g i w art. 30 ust. 2 pkt. a–d (takie jak: zakres danych, cel przetwarzania, kategorie ich odbiorców itp.), które pozwalają pogrupować wszystkie przetwarzane przez danego administratora dane w jeden lub kilka zbiorów.
Pierwsza interpretacja czynności przetwarzania, która daje przekrój wszystkich działań na danych osobowych, sprawdzi się dobrze u administratorów, którzy nie mają wielu zbiorów lub za poszczególne czynności odpowiadają u nich poszczególne działy.
Przykład rejestru opracowanego według wytycznych Prezesa UODO (uwaga! jest to rejestr niekompletny, nie zawiera wszystkich czynności przetwarzania, które należy uwzględnić w szkole). Prezes UODO podkreśla, że podany przez niego wzór nie jest wzorem obowiązującym (zresztą już ulegał drobnym modyfikacjom).
Propozycja działania po czynnościach według pierwszej interpretacji jest bardzo problematyczna do zrealizowania w dużych organizacjach. Dla przykładu urząd miasta ma około 80-100 zbiorów danych osobowych. W ramach każdego zbioru wykonywanych jest co najmniej kilka czynności przetwarzania, czasami jest ich bardzo dużo, co prowadzi do rejestru zbiorów posiadającego kilkaset pozycji. W praktyce jego stworzenie jest niesamowicie trudne i czasochłonne, a w efekcie daje zamydlenie sytuacji, zamiast ułatwiać zarządzanie danymi. U takich administratorów w praktyce sprawdza się skorzystanie z drugiej interpretacji i opracowanie rejestru czynności, bazującego na dotychczasowym wykazie zbiorów z polityki bezpieczeństwa. Taki rejestr, z czasem, można dodatkowo podzielić na czynności w ramach danego zbioru.
Chciałabym Was zachęcić, abyście tworząc rejestry czynności nie tracili z pola widzenia celu tego działania, czyli sprawowania skutecznego nadzoru nad danymi osobowymi. Rejestr powinien dawać w szybki i przejrzysty sposób informacje o zasadach, miejscu, czasie, celu, odbiorcach, itd. przetwarzanych przez administratora danych. Możesz przyjąć dowolne z podanych rozwiązań, ważne żeby było skuteczne.
A może chcesz nauczyć się robić rejestr czynności na jednym z naszych szkoleń? Już dziś znajdź szkolenie dla siebie:Kalendarz szkoleń
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.