Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych wynika z art. 30 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – dalej RODO, który stanowi, iż każdy administrator lub jego przedstawiciel ma obowiązek prowadzenia rejestru czynności przetwarzania.
Odpowiedzialność za treści w nim ujęte spoczywają na administratorze. Zgodnie z ust. 4 ww. artykułu administrator może udostępnić rejestr czynności przetwarzania na żądanie organu nadzorczego, jeżeli ma to zastosowanie. Zgodnie z ustawą o dostępie do informacji publicznej informacją publiczną jest każda informacja o sprawach publicznych, niewątpliwie dokumenty wytworzone w ramach wykonywania zadań ustawowo nałożonych na podmiot publiczny są informacją publiczną jednak podlegają wyłączaniu w uwagi na bezpieczeństwo systemu ochrony danych osobowych. Orzecznictwo, niemniej jednak wskazuje: „ rejestry czynności przetwarzania oraz rejestry kategorii przetwarzania nie stanowią informacji publicznej” – WSA w Łodzi w wyroku z dnia 12 lutego 2019r. II SAB/Łd 181/18 . W uzasadnieniu WSA wskazał, że ww. rejestry stanowią wewnętrzną dokumentację wspomagającą pracę administratora i inspektora ochrony danych w zakresie wdrażania odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie odbywało się zgodnie z prawem oraz żeby gwarantowało realizację zasady rozliczalności przed organem nadzoru. W kontekście bardziej szczegółowych rozważań dotyczących przedmiotu informacji publicznej nie do końca można zgodzić się wprost z taką linia orzeczniczą, jednak niewątpliwie dokumenty takie nie będą podlegać udostępnieniu w trybie przedmiotowej ustawy.
Rejestr czynności przetwarzania i rejestr kategorii przetwarzania nie może być udostępniony publicznie ze względu na ogólny zapis technicznych i organizacyjnych środków bezpieczeństwa.
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
- Wyrok WSA w Łodzi z dnia 12 lutego 2019r. II SAB/Łd 181/18 (LEX nr 267177).