Jak wypełnić rejestr kategorii czynności przetwarzania danych

Podmiot przetwarzający ma obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora”, który winien zawierać 

• imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
• kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
• gdy ma to zastosowanie -przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (art. 30 ust. 2 RODO).

Rejestru kategorii czynności przetwarzania nie musi prowadzić procesor zatrudniający mniej niż 250 osób, chyba że przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Trudności w wypełnianiu rejestru kategorii czynności przetwarzania danych pojawiają się przy pojęciach „kategorie czynności przetwarzania”, czy „kategorie przetwarzań”, ponieważ RODO ich nie definiuje w żadnej sposób. Dlatego też Grupa Robocza art. 29 oraz Prezes Urzędu Ochrony Danych Osobowych (który umieścił interpretację tych pojęć na stronach internetowych urzędu) wskazuje, że kategorie czynności przetwarzania jest to “wskazanie (nazwanie) poszczególnych powierzeń (zleceń), a zatem rodzaju usług, jakie podmiot przetwarzający na podstawie zawartych umów wykonuje na rzecz poszczególnych administratorów. Uporządkowanie czynności wykonywanych w ramach powierzenia w kategorie, czyli ich pogrupowanie pod względem rodzaju usług świadczonych przez podmiot przetwarzający, umożliwi łatwy przegląd „powierzeń” zwłaszcza w przypadku podmiotów, które działają na rzecz wielu administratorów danych lub świadczą wiele różnych usług w zakresie przetwarzania danych.

W praktyce oznacza to, że kategorie przetwarzań to nazwa usługi, jaka jest realizowana przez podmiot przetwarzający dane na zlecenie administratora. Tytułem przykładu Prezes UODO wskazuje takie kategorie zleceń jak:

• przechowywanie danych klienta (administratora) czy też udostępnienie miejsca na przechowywanie przez administrator danych osobowych – czyli np. udostępnienie zamawiającemu określonej przestrzeni dyskowej w infrastrukturze przetwarzającego na przechowywanie danych, dostarczanie infrastruktury informatycznej, udostępnienie serwerów itp.;
• wykonywania na zamówienie klienta (administrator danych) określonych usług (księgowe, administracyjne, konserwacyjne, programistyczne, serwisowe itp.);
• przechowywanie dokumentacji klienta (administratora danych);
• prowadzenie dokumentacji podatkowej, księgowej, kadrowej;
• archiwizacja dokumentacji (w tym danych elektronicznych);
• skanowanie i digitalizacja danych;

To oczywiście przykładowe kategorie przetwarzania czynności – ogólnie rzecz ujmując podmiot przetwarzający musi nazwać usługę, z którą wiążą się jakieś czynności przetwarzania danych osobowych.

Kolejne wątpliwości wiążą się z opisem zabezpieczenia przetwarzania danych przez procesora. Wymagane jest by w rejestrze opisać te zabezpieczenia w sposób ogólny (posiłkując się zagadnieniami wynikającymi z art. 32 ust. 1 RODO) oraz wskazać ogólną informację o rodzaju zastosowanych zabezpieczeń (np. kontrola dostępu w oparciu o identyfikator i hasło, zastosowanie certyfikatów, szyfrowanie komunikacji itp.) można także – jeśli w firmie istnieje dokumentacja opisująca sposoby zarządzania zabezpieczeniami – odesłać do tej dokumentacji. Zdaniem Prezesa UODO opis ten powinien zawierać również informacje o zastosowanych środkach kontroli dostępu do przetwarzanych danych, a także zastosowanych środkach ochrony kryptograficznej.