Rejestr czynności przetwarzania danych to podstawowy dokument, którego co do zasady powinien posiadać każdy administrator danych osobowych. W praktyce problemem jest wypełnienie tego rejestru. Administratorzy zastanawiają się czy do rejestru powinna zostać wpisana każda operacja przetwarzania danych osobowych czy też wystarczy ogólne ujęcie czynności przetwarzania. Które rozwiązanie jest prawidłowe? Odpowiedź znajdziesz w artykule.
Przetwarzanie danych osobowych jest pojęciem zbiorczym, oznaczającym wszystkie możliwe operacje czy zestawy operacji, jakie można potencjalnie wykonywać na danych osobowych. Innymi sowy, przetwarzanie to każdy przejaw dysponowania danymi osobowymi. Natomiast konkretna działalność na danych osobowych to już operacja przetwarzania.
Termin „rejestrowanie czynności przetwarzania” oznacza w przybliżeniu to, co dotychczasowy zwrot z polskiej ustawy o ochronie danych osobowych „dokumentacja opisująca sposób przetwarzania danych”. Zasadniczo każdy administrator danych osobowych musi prowadzić taki rejestr czynności przetwarzania danych osobowych, zawierający dane administratora, cele przetwarzania, kategorie odbiorców oraz opis technicznych i organizacyjnych środków bezpieczeństwa.
Jak wyjaśniał to jeszcze Generalny Inspektor Ochrony Danych Osobowych, „czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane”. Rozważania te GIODO poczynił na gruncie obowiązku prowadzenia rejestru czynności przetwarzania.
W rejestrze czynności przetwarzania powinny się znaleźć takie informacje, jak:
Jak więc widać, wbrew temu, co można byłoby się intuicyjnie spodziewać po nazwie rejestru, nie znajduje się w nim dokładny zapis każdej konkretnej operacji na danych osobowych. Mieści on jedynie generalnie określone katalogi działań na tych danych. Jednym z częstych błędów przy wdrażaniu RODO było właśnie bardzo szczegółowe prowadzenie rejestru czynności przetwarzania – z rozbiciem na konkretne operacje. Takie działanie było nie tylko bardzo pracochłonne ale także negatywnie wpływa na czytelność rejestru.
W rejestrze czynności przetwarzania należy więc rejestrować wyłącznie czynności przetwarzania, ogólne określenie na wiele operacji przetwarzania, które składają się na określony proces.
Administrator danych osobowych nie ma obowiązku umieszczać w rejestrze czynności przetwarzania adnotacji o każdej jednej operacji poczynionej na danych osobowych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
