Rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania – czym się różnią

Rejestr czynności przetwarzania, zgodnie z art. 30 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO) ma zawierać takie informacje, jak:

a) nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów,

b) cele przetwarzania,

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Rejestr czynności przetwarzania prowadzi administrator danych. Jest on obowiązkowy dla podmiotów określonych w art. 30 ust. 5 RODO. Można go porównać do obecnego rejestru zbiorów danych, jaki są zobowiązani prowadzić powołani administratorzy bezpieczeństwa informacji (ABI).

Angielski zapis z RODO „Records of processing activities” powinno się tłumaczyć jako „zapis aktywności przetwarzania” i moim zdaniem dotyczy to procesów lub czynności takich, jak na przykład: rekrutacja pracowników, wysyłanie newslettera, zapisy do programu lojalnościowego itp. W art. 30 RODO nie ma mowy o operacjach wykonywanych na danych osobowych. Gdyby wymagać rozpisania każdej operacji do każdego zbioru/aktywności, to przekroczylibyśmy w wielu przypadkach granice absurdu, zwłaszcza w sytuacji przetwarzania danych w dziesiątkach czy wręcz setkach różnych zbiorów danych.

Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora prowadzi każdy podmiot przetwarzający (procesor). Zawiera się tam następujące informacje:

a) nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,

b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów (np. cel i zakres usługi, umowy powierzenia),

c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego,

d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Jest to więc wykaz podmiotów, które zleciły wykonawcy jakieś usługi (np. obsługa informatyczna) i w tym celu powierzyły określone dane do przetwarzania – art. 30 ust. 2 RODO.