Od 25 maja 2018 roku administratorzy danych mają nowe obowiązki w związku z nowymi przepisami dotyczącymi ochrony danych osobowych. Jednym z nich jest konieczność prowadzenia Rejestru Czynności Przetwarzania. Obowiązek prowadzenia rejestru czynności wynika z art. 30 ust. 1 RODO, który stanowi, „ Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają̨”. W myśl dalszej części tego artykułu rejestr ten powinien zawierać następujące informacje:
- a) imię̨ i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
- b) cele przetwarzania;
- c) opis kategorii osób, których dane dotyczą̨, oraz kategorii danych osobowych;
- d) kategorie odbiorców, którym dane osobowe zostały lub zostaną̨ ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań́, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń́;
- f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
W praktyce nasuwa się jednak wiele wątpliwości. Pierwszą z nich jest pytanie czym są w ogóle „czynności przetwarzania”? Choć RODO nie definiuje tego pojęcia to używa jednak jego w różnych kontekstach m.in. w motywie 32 „Zgoda powinna dotyczyć́ wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach.” lub w motywie 24 „Aby stwierdzić́, czy czynność́ przetwarzania można uznać́ za monitorowanie zachowania osób, których dane dotyczą̨, należy ustalić́, czy osoby fizyczne są̨ obserwowane w Internecie w tym także czy później potencjalnie stosowane są̨ techniki przetwarzania danych polegające na profilowaniu osoby fizycznej w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.”
Wskazówka leży natomiast w definicji słowa “przetwarzanie”, którego definicję możemy odnaleźć w art. 4 pkt 2. Przetwarzanie obejmuje zatem operacje lub zestaw operacji na danych, takich jak np. zbieranie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Ponadto, anglojęzyczna wersja RODO mówi o “records of processing activities” co wskazuje jednoznacznie, że rejestrować należy pewne zbiory operacji.
Jak zatem słusznie wskazuje Urząd Ochrony Danych Osobowych “czynności przetwarzania to zespół powiązanych ze sobą̨ operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić́ w sposób zbiorczy, w związku z celem, w jakim te czynności są̨ podejmowane”.
