RCPD – operacja a czynność przetwarzania danych

Przetwarzanie danych osobowych jest pojęciem zbiorczym, oznaczającym wszystkie możliwe operacje czy zestawy operacji, jakie można potencjalnie wykonywać na danych osobowych. Innymi sowy, przetwarzanie to każdy przejaw dysponowania danymi osobowymi. Natomiast konkretna działalność na danych osobowych to już operacja przetwarzania.

Termin „rejestrowanie czynności przetwarzania” oznacza w przybliżeniu to, co dotychczasowy zwrot z polskiej ustawy o ochronie danych osobowych „dokumentacja opisująca sposób przetwarzania danych”. Zasadniczo każdy administrator danych osobowych musi prowadzić taki rejestr czynności przetwarzania danych osobowych, zawierający dane administratora, cele przetwarzania, kategorie odbiorców oraz opis technicznych i organizacyjnych środków bezpieczeństwa.

W rejestrze czynności przetwarzania powinny się znaleźć takie informacje, jak:

• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
• cele przetwarzania;
• opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
• gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Jak więc widać, wbrew temu, co można byłoby się intuicyjnie spodziewać po nazwie rejestru, nie znajduje się w nim dokładny zapis każdej konkretnej operacji na danych osobowych. Mieści on jedynie generalnie określone katalogi działań na tych danych. Jednym z częstych błędów przy wdrażaniu RODO było właśnie bardzo szczegółowe prowadzenie rejestru czynności przetwarzania – z rozbiciem na konkretne operacje. Takie działanie było nie tylko bardzo pracochłonne ale także negatywnie wpływa na czytelność rejestru.

W rejestrze czynności przetwarzania należy więc rejestrować wyłącznie czynności przetwarzania, ogólne określenie na wiele operacji przetwarzania, które składają się na określony proces.

Administrator danych osobowych nie ma obowiązku umieszczać w rejestrze czynności przetwarzania adnotacji o każdej jednej operacji poczynionej na danych osobowych.