Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dalej jako „RODO” nakłada na administratora danych osobowych szereg obowiązków. Jednym z nich jest m.in. konieczność prowadzenia rejestru  czynności przetwarzania danych osobowych (art. 30 ust. 1 RODO) i dotyczy on czynności przetwarzania, za które administrator (ewentualnie również współadministrator) odpowiada.

Wspomniany powyżej art. 30 RODO wymienia elementy obligatoryjne takiego rejestru, tj.:

1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
2. cele przetwarzania;
3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Otóż nie. Obowiązek prowadzenia rejestru czynności przetwarzania przez administratora (lub jego przedstawiciela) nie dotyczy przedsiębiorców (zgodnie z definicją zawartą w art. 4 pkt 18 RODO przedsiębiorca oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą) lub podmiotów zatrudniających mniej niż 250 osób.

Zaznaczyć jednak należy, że zwolnienie z obowiązku prowadzenia rejestru nie będzie jednak miało zastosowania co do tych przedsiębiorców lub podmiotów w przypadku gdy:

• przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
• nie ma charakteru sporadycznego, lub
• obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Zauważyć dodatkowo należy, że art. 35 ust. 4 RODO nakłada na administratora danych obowiązek udostępnienia rejestru organowi nadzorczemu (w przypadku zgłoszenia przez ten organ żądania w tym zakresie).

Warto rozważyć prowadzenie ww. rejestru, w przypadku nawet braku obowiązku, jako że jest to dobre narzędzie do oceny procesów przetwarzania przez danego administratora.

Rejestr czynności przetwarzania zgodnie z art. 30 ust. 3 RODO powinien mieć formę pisemną, w tym formę elektroniczną.

Brak prowadzenia rejestru czynności przetwarzania (w przypadku, gdy administrator na podstawie RODO jest do powyższego zobligowany) stanowi przesłankę do nałożenia (niższe – ale nadal jednak wysokiej!) administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 lit. a RODO (w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).