Przykładowo w przypadku rekrutacji pracowników, jeden cel będzie obejmował wiele cząstkowych operacji niewymagających szczegółowego ich opisywania w rejestrze, takich jak:
• pozyskiwanie informacji o kandydatach z ofert nadesłanych w wyniku ogłoszenia,
• dokonywanie ich selekcji,
• uzyskiwanie dodatkowych informacji w ramach przeprowadzania wywiadów z wybranymi osobami, usunięcie danych osób, które nie zostały wskazane do zatrudnienia itp.
Nie ma przy tym konieczności opisywania każdej poszczególnej operacji wykonywanej na danych w procesie określonym zbiorczo.
PRZYKŁAD REJESTRU CZYNNOŚCI PRZETWARZANIA
Art. 30 ust. 5 RODO stwierdza, że obowiązek rejestrowania czynności przetwarzania (zarówno przez administratorów, jak i podmioty przetwarzające) nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób. Jednocześnie jednak wskazuje przesłanki, których zaistnienie przywraca obowiązek prowadzenia takiego rejestru.
Wskazane w tym przepisie wyłączenia powodują, że również przedsiębiorcy i pracodawcy zatrudniający mniej niż 250 osób zobowiązani są prowadzić taki rejestr, jeżeli przetwarzanie:
• którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
• nie ma charakteru sporadycznego* lub
• obejmuje szczególne kategorie danych osobowych, lub
• obejmuje dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
*Sporadyczny oznacza występujący rzadko, więc w przypadku prowadzenia działalności gospodarczej, czy też wykonywania innej funkcji przez podmiot przykładowo zatrudniający pracowników, trudno mówić o sporadycznym przetwarzaniu danych osobowych, ponieważ większość procesów przetwarzania danych osobowych, np. pracowników czy klientów, odbywa się tutaj w sposób ciągły.
