Rejestr czynności i procesów przetwarzania danych osobowych
W dzisiejszym rozważaniu krótko o rejestrze czynności i procesów przetwarzania danych osobowych, czyli kluczowym elemencie systemu ochrony danych osobowych oraz o jego powiązaniu z upoważnieniami do przetwarzania danych osobowych.
Rejestr Czynności/Procesów/ Przetwarzania Danych Osobowych jest kluczowym elementem systemu ochrony danych osobowych, wymieniony jako jedyny dokument wprost w art. 30 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
W prowadzonym Rejestrze inwentaryzuje się i monitoruje sposób wykorzystania danych osobowych w związku z realizacją ustawowych zadań podmiotu przetwarzającego dane.
Rejestr czynności (procesów) przetwarzania danych stanowi formę dokumentowania czynności przetwarzania danych, umożliwiających realizację fundamentalnej zasady rozliczalności, na której opiera się cały opisywany w RODO system ochrony danych osobowych. Jest on także jednym z podstawowych narzędzi umożliwiających administratorowi danych rozliczenie się z większości obowiązków ochrony danych osobowych odnotowywanych w rejestrze i opisuje:
-
- cel/cele przetwarzania;
- kategorie osób i kategorie danych;
- podstawę prawną przetwarzania;
- źródło danych i sposób pozyskania,
- kategorie odbiorców,
- podmioty przetwarzające,
- organizacyjne i techniczne środki ochrony danych;
- inne dane (w razie konieczności wskazówki i uwagi dotyczące poziomu bezpieczeństwa, analizy ryzyka oraz daty i zakresy ostatniej aktualizacji.
W samym założeniu rejestr powinien być dokumentem „żywym”, uwzględniającym aktualny stan rzeczy, powiązanym z upoważnieniami dla osób przetwarzających dane osobowe. Takie powiązanie pozwala w praktyce na dobrą organizację ochrony danych, bez zmiany upoważnień przy zmianach w organizacji pracy. Jest jedynym dokumentem, w którym nanosimy i aktualizujemy informacje o osobach upoważnionych i zakresie przetwarzanych danych osobowych.
Upoważniamy osobę zatrudnioną na określonym stanowisku w związku z zatrudnieniem/realizacją umowy do przetwarzania danych osobowych i polecamy jej przetwarzanie danych osobowych w zakresie wynikającym z zajmowanego stanowiska/realizacji umowy oraz wykonywanych zadań i obowiązków przez czas trwania zatrudnienia/umowy.
Upoważnienia dają prawo, ale i nakładają określone obowiązki na osoby przetwarzające dane osobowe. Najczęściej jest to oświadczenie osoby, że znane są jej przepisy z zakresu ochrony danych osobowych oraz zasady ochrony i przetwarzania danych osobowych zawarte w dokumentacji opisującej system ochrony danych w danej jednostce, firmie czy instytucji.
Ponadto osoba taka zobowiązuje się do zachowania w tajemnicy przetwarzanych danych osobowych, sposobów ich zabezpieczenia, przetwarzania danych wyłącznie w granicach upoważnienia, w sposób zapewniający odpowiednie bezpieczeństwo danych oraz ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków organizacyjnych i technicznych.
Prowadzenie Rejestru czynności/procesów przetwarzania danych – obok realizacji wspomnianej zasady rozliczalności – pozwala na realizację drugiej kluczowej zasady ryzyka zawartej w RODO, kiedy w każdej sytuacji musimy przede wszystkim analizować ryzyko, jakie przetwarzanie danych może spowodować dla prywatności osób, których te dane dotyczą
Tak więc poszukanie, a następnie jasne i proste opisanie w rejestrach, wyżej wymienionych czynności i procesów, powiązanych z upoważnieniami i odpowiedzialnością osób, usprawnia realizację zasad ochrony prywatności osób. Trochę tak jak w życiu i znanej piosence Czerwonych Gitar z przed prawie pięćdziesięciu lat:
Droga, którą idę biegnie śladem ludzkich spraw,
Szukam swego czasu, jasnych słów, prostych prawd…
Chyba warto.
Henryk Sylwester Byzdra
Comments are closed.