Stanowisko Grupy Roboczej art. 29 w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust. 5 RODO

Grupa Robocza Art. 29 przeanalizowała przewidziany na mocy artykułu 30 RODO obowiązek prowadzenia przez administratorów i podmioty przetwarzające rejestru czynności przetwarzania. Niniejszy dokument określa stanowisko GR Art. 29 w sprawie wyjątków od tego obowiązku.

Motyw 13 RODO stanowi:

"Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników".

Artykuł 30 ust. 5 doprecyzowuje motyw 13. Stanowi on, że obowiązek prowadzenia rejestru czynności przetwarzania nie ma zastosowania do 'przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10'.

Wydaje się konieczne zapewnienie wyjaśnień dotyczących interpretacji tego przepisu, na co wskazuje duża liczba wniosków kierowanych przez przedsiębiorstwa otrzymanych w ciągu ostatnich kilku miesięcy przez krajowe organy nadzorcze.

Wyjątek przewidziany w artykule 30 ust. 5 nie ma charakteru bezwzględnego. Istnieją trzy rodzaje przetwarzania, do których nie ma on zastosowania. Należą do nich:

- Przetwarzanie, które może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą.

- Przetwarzanie, które nie ma charakteru sporadycznego.

- Przetwarzanie, które obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

GR Art. 29 podkreśla, że brzmienie artykułu 30 ust. 5 jasno przewiduje, że trzy rodzaje przetwarzania, do których wyjątek nie ma zastosowania, mają charakter alternatywny ("lub") i wystąpienie któregokolwiek z nich samodzielnie wywołuje obowiązek prowadzenia rejestru czynności przetwarzania.

W związku z tym, mimo zatrudniania mniej niż 250 pracowników, administratorzy danych lub podmioty przetwarzające, którzy znajdują się w sytuacji przetwarzania, które może powodować ryzyko (nie tylko wysokie ryzyko) naruszenia praw lub wolności osób, których dane dotyczą, albo przetwarzania danych osobowych, które nie ma charakteru sporadycznego, albo przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących, o których mowa w art. 10, są zobowiązani do prowadzenia rejestru czynności przetwarzania.

Jednak takie organizacje muszą jedynie prowadzić rejestr czynności przetwarzania dla rodzajów przetwarzania wskazanych w artykule 30 ust. 5.

Przykładem tego może być mała organizacja, która najprawdopodobniej systematycznie przetwarza dane dotyczące swoich pracowników. W rezultacie takie przetwarzanie nie może być uznane za "sporadyczne" i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. 1 Jednak inne czynności przetwarzania, które w rzeczywistości mają charakter "sporadyczny", nie muszą być zawarte w rejestrze czynności przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób fizycznych, i nie obejmują szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

GR Art. 29 podkreśla, że rejestr czynności przetwarzania stanowi bardzo przydatne wsparcie dla analizy konsekwencji przetwarzania, czy to istnqiejącego czy planowanego. Rejestr ułatwia faktyczną ocenę ryzyka naruszenia praw osób fizycznych, jakim mogą skutkować czynności przetwarzania prowadzone przez administratora lub podmiot przetwarzający, oraz określenie i wdrożenie odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych - oba elementy zasady rozliczalności przewidzianej w RODO.

W przypadku wielu mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw jest mało prawdopodobne, że prowadzenie rejestru czynności przetwarzania stanowić będzie dla nich szczególnie poważne obciążenie. Jednak GR Art. 29 zauważa, że artykuł 30 stanowi nowy wymóg administracyjny dla administratorów i podmiotów przetwarzających i w związku z tym zachęca krajowe organy nadzorcze do wspierania małych i średnich przedsiębiorstw, zapewniając narzędzia ułatwiające tworzenie i prowadzenie rejestrów czynności przetwarzania. Na przykład organ nadzorczy może udostępnić na swojej stronie internetowej uproszczony model, który może być wykorzystywany przez małe i średnie przedsiębiorstwa do prowadzenia rejestru czynności przetwarzania nieobjętych wyjątkiem z artykułu 30 ust. 5.