Czy procesor ma obowiązek udostępnić rejestr kategorii czynności przetwarzania administratorowi?

ODPOWIEDŹ

Art. 28 ust. 3 lit. h RODO wskazuje, że podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzenie audytów w tym inspekcji. Powyższy przepis prawa daje podstawę do tego, aby administrator danych podczas przeprowadzenia czy to audytu, czy inspekcji miał prawo wglądu w dokument, jakim jest rejestr kategorii czynności przetwarzania. Oczywiście RKCP jest rejestrem wewnętrznym i nie ujawnia się go czy to na stronie internetowej, czy też nie udostępnia się osobom, których dane dotyczą. Jednocześnie o obowiązku udostępnienia względem organu nadzorczego mówi art. 30 ust. 4 RODO. Za zasadne należy uznać udostępnienie administratorowi rejestru, niemniej jednak powinien on być ograniczony tylko do zakresu, który dotyczy danego administratora. Zdarza się bowiem, że prowadzimy jeden rejestr  dla kilku administratorów i w drodze pośpiechu udostępnimy również to, co nie dotyczy danego administratora. Dlatego też ważne jest, aby ujawnić/udostępnić tylko dane dotyczące danego administratora. Takie stanowisko jest poparte obowiązującą doktryną – fragment komentarza autorstwa Magdaleny Sakowskiej - Baryła z 2018 roku: "Bez wątpienia w przypadku podmiotu przetwarzającego (ewentualnie jego przedstawiciela) należy przyjąć, że będą oni zobligowani do udostępnienia RKCP, w zakresie wszystkich kategorii czynności obejmujących powierzone przez konkretnego administratora dane, na jego życzenie (zob. komentarz do art. 28 ust. 3 lit. h RODO)."