Jak wydzielić czynności przetwarzania?

crossroads dilema

Wydzielenie czynności przetwarzania jest pierwszym krokiem, który musimy podjąć w celu przeprowadzenia analizy ryzyka z RODO. Będziemy ją wykonywali w odniesieniu do poszczególnych czynności przetwarzania, a nie przetwarzania danych osobowych jako takiego, czy dla poszczególnych operacji na danych np. ich zebrania czy przechowywania.

Czym jest czynność przetwarzania?

RODO nie definiuje tego pojęcia. Można przyjąć, że czynnością przetwarzania jest pewien zbiór operacji przetwarzania, które służą realizacji tego samego celu przetwarzania. Takie ujęcie zapewnia nam możliwość uchwycenia kontekstu przetwarzania, co będzie istotne na dalszych etapach prowadzonej analizy ryzyka, ale także dokonania oceny, czy jako administrator dysponujemy przesłanką legalizującą przetwarzanie danych osobowych w odniesieniu do tak ujętej czynności przetwarzania, oraz czy spełnione są zasady przetwarzania.

Przy utożsamieniu czynności przetwarzania z operacją na danych np. ich przechowywaniem, zarówno określenie kontekstu przetwarzania, jak i weryfikacja spełnienia zasady przetwarzania czy istnienia podstawy legalizującej przetwarzanie, byłyby bardzo trudne do przeprowadzenia, o ile w ogóle możliwe. Tracilibyśmy bowiem z pola widzenia większą całość, a zatem fakt, że realizacja określonego celu przetwarzania nie wyczerpuje się w tylko jednej operacji na danych.

Przykładem czynności przetwarzania może być prowadzenie profili w mediach społecznościowych czy rekrutacja pracowników. W obu tych działaniach pojawia się wiele operacji na danych, a wszystkie z nich łączy wspólny cel przetwarzania.

Jak wydzielać czynności przetwarzania?

Punktem wyjścia powinno być określenie naszych procesów biznesowych. Powinniśmy zatem przeanalizować podziały kompetencyjne poszczególnych działów i sprawdzić, jak przebiegają poszczególne procesy biznesowe.

Następnie musimy zweryfikować, w których z nich pojawia się przetwarzanie danych osobowych i jakim celom służy. W ten sposób określamy czynności przetwarzania. Sprowadzamy zatem poszczególne operacje na danych osobowych do wspólnego mianownika, którym jest dany cel przetwarzania.

Warto pamiętać, że stopień dokładności wydzielania procesu musi być taki, abyśmy mogli dokonać oceny, czy może być on prowadzony w oparciu o jedną z przesłanek legalizujących przetwarzanie oraz zweryfikować, czy spełnia on wymogi zasad wynikających z RODO. Nie możemy zatem podchodzić do tego ani zbyt ogólnie, ani zbyt kazuistycznie.

W przypadku bardziej złożonych struktur organizacyjnych samo kryterium celu przetwarzania może nie być wystarczające. Rolę odgrywa zarówno specjalizacja zespołów, jak i procesy biznesowe, które potrafią być dużo bardziej szczegółowe. Z tego powodu czynności przetwarzania – które mogłyby być ujmowane jako realizowane w jednym celu przetwarzania – powinny być rozdzielane.

Przykładowo: u administratora za tzw. działania kadrowe oraz płacowe mogą odpowiadać dwa niezależne od siebie zespoły, a każde z tych dwóch działań będzie wykonywane z wykorzystaniem różnych narzędzi. Uzasadnia to wydzielenie osobnych czynności przetwarzania, chociaż teoretycznie mogłyby być one połączone w jednej.

Rozdzielne podejście pozwoli jednak na dokładniejsze przeprowadzenie analizy ryzyka i uwzględnienie w jej ramach specyfiki danego podmiotu. To z kolei umożliwi wykazanie zgodności z RODO w myśl zasady rozliczalności.

Witold Chomiczewski – radca prawny