Rejestr czynności przetwarzania danych osobowych

Administrator danych osobowych, który zamierza przetwarzać lub przetwarza dane osobowe, musi zapewnić, by dane osobowe zbierane i posiadane w jego organizacji były przetwarzane z zachowaniem zasad poufności, integralności oraz dostępności przetwarzanych danych osobowych. Zapewnienie powyższych atrybutów wymaga wprowadzenia mechanizmów i procesów kontroli ich przetwarzania, zabezpieczenia, udostępniania, w szczególności kontroli, komu zostały one udostępnione lub powierzone.

Punktem wyjściowym tego procesu jest pełna identyfikacja przetwarzanych zasobów danych osobowych, inwentaryzacja posiadanych lub tworzonych zbiorów, sposobu pozyskiwania danych. Proces ten jest trudny i wymaga dokładnego i szczegółowego zbadania jednostki organizacyjnej oraz określenia, jakie dane są przetwarzane, w jakim celu są przetwarzane, gdzie są przetwarzane, kto je przetwarza i w jakim zakresie.

Nadzór nad procesami przetwarzania danych osobowych wymaga identyfikacji rodzajów zasobów chronionych (zbiory danych), procesów przetwarzania (gdzie i jak są gromadzone, jak są przesyłane, jakie czynności są na nich wykonywane, czy są udostępniane), osób dokonujących przetwarzania (nadawanie upoważnień i uprawnień do konkretnych zasobów i procesów), miejsc przetwarzania (pomieszczeń lub części pomieszczeń).

Wymienione czynności powinny być dokładnie opisane w rejestrze czynności przetwarzania danych osobowych, który uszczegóławia te procesy i dokładnie je opisuje. Należy też pamiętać, że nie jest błędem stworzenie nowej polityki bezpieczeństwa przetwarzania danych osobowych, której uzupełnieniem w odniesieniu do konkretnych przetwarzanych w jednostce zbiorów danych będzie rejestr. Polityki bezpieczeństwa oraz instrukcje zarządzania systemami informatycznymi identyfikują procesy funkcjonujące w organizacji, natomiast rejestr czynności szczegółowo określa procesy w odniesieniu do konkretnych zbiorów danych. Za jego pomocą jesteśmy w stanie sprecyzować, jakie zbiory danych osobowych są przetwarzane oraz jakim podlegają one procesom.

Ważne!

Obecnie istnieje również obowiązek informowania organu nadzorującego (GIODO) o procesach przetwarzania (dane sensytywne), które zachodzą w organizacji. Wyjątek stanowiły procesy zwolnione na podstawie art. 43 ust. 1 i 1a. GIODO na bazie otrzymanych zgłoszeń prowadził jawny rejestr przetwarzania danych osobowych.

Kontrola GIODO odbywa się po wpłynięciu zgłoszenia zbioru do rejestracji i polega na dokonaniu oceny m.in. podstaw prawnych prowadzenia danego zbioru oraz zakresu i celu przetwarzania danych pod względem adekwatności i proporcjonalność do określonego celu, któremu ma służyć to przetwarzanie.

Dotychczasowe przepisy nakładające ten obowiązek powodowały obciążenie administracyjne dla organu nadzorczego i nie zawsze przyczyniały się do poprawy ochrony danych osobowych. RODO zniosło ten obowiązek i zastąpiło go dużo skuteczniejszymi procedurami i mechaniz­mami koncentrującymi się na rodzajach operacji przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Obecnie prawie wszystkie operacje przetwarzania obejmują w szczególności operacje, które wiążą się z użyciem nowych technologii, systemów teleinformatycznych itp.

WAŻNE!

To administrator danych osobowych musi skupić się na ocenie skutków przetwarzania danych, a nie organ nadzorujący czynności. RODO nie znosi całkowicie obowiązku prowadzenia rejestru zbiorów danych osobowych. Obowiązek ten zostaje przerzucony z GIODO na administratorów danych, którzy we własnym zakresie
muszą kontrolować procesy przetwarzania, samodzielnie prowadzić rejestry przetwarzania danych osobowych.