Dokumentacja przetwarzania danych osobowych według RODO

Od 25 maja 2018 r. ze względu na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych straciły moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych osobowych.

Zmienione regulacje obowiązują wszystkich uczestników obrotu gospodarczego oraz inne podmioty, takie jak stowarzyszenia i fundacje, a także jednostki publiczne. 

Jakie przepisy obowiązują?

Obecnie wszelkie wymagania w powyższym zakresie powinny być zgodne z wymaganiami określonymi w:

  1. rozporządzeniu Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE nazywanego ogólnym Rozporządzeniem o ochronie danych osobowych (RODO);
  2. ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych;
  3. innych przepisach dziedzinowych krajowych, jak i Unii Europejskiej, jak np.:
  • rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania,
  • rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów,
  • rozporządzenie Ministra Edukacji Narodowej w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji,
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) NR 536/2014 z dnia 16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE,
  • inne.

Wyżej wymienione przepisy, w tym RODO, nie zawierają praktycznie żadnych wytycznych odnoszących się do sposobu prowadzenia dokumentacji przetwarzania danych osobowych, jak również jej zawartości. Nie oznacza to jednak, że po 25 maja 20018 r. administratora danych nie jest zobligowany do posiadania żadnej dokumentacji w tym zakresie. RODO, nie określając formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych, daje tym samym dużą swobodę w tym zakresie administratorom danych.

Wymagania co do dokumentacji przetwarzania danych osobowych

Brak w RODO wymagań formalnych w zakresie prowadzenia dokumentacji przetwarzania danych osobowych na wzór nieobowiązującego już rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych nie oznacza, że od 25 maja 2018 r. administrator nie jest zobowiązany do prowadzenia dokumentacji, w której określone byłyby zasady i procedury dotyczące przetwarzania danych osobowych zgodnie z przyjętymi rozwiązaniami prawnymi, organizacyjnymi i technicznymi.

Wymagania formalne dotyczące dokumentacji przetwarzania określone w RODO

W nowym systemie prawnym dotyczącym przetwarzania danych osobowych administrator danych w większości obszarów dowolnie może kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przetwarzania. Wśród obszarów, w odniesieniu do których RODO nakreślono jednak pewne wymagania formalne dotyczące zakresu dokumentowania, pozostały takie zagadnienia jak:

  1. prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. zgłaszanie naruszenia ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  4. zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

RODO nie wymaga jednak, żeby  dokumentacja, zawierająca wymienione wyżej, obligatoryjne elementy, miałs określoną nazwę lub strukturę. Ważne jest tylko, aby administrator danych wykazał, że wymienione wyżej rejestry oraz raporty posiada, i żeby ich zawartość była zgodna z wskazanymi wyżej wymaganiami, tj. wymaganiami wskazanymi odpowiednio w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 RODO.

Wskazane w RODO wymagania, wymienione w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7, nie są jedynymi, jakie należy uwzględnić w dokumentacji przetwarzania. Wyróżniają się one jednak tym, iż wskazany jest w nich zakres informacji, jaki w danym obszarze powinien być uwzględniony.

Decydujące znaczenie dla obszaru i zakresu informacji, jakie powinny być zawarte w dokumentacji przetwarzania, ma wymóg wykazania przez administratora przestrzegania przepisów RODO zawarty w art. 24, którego brzmienie jest następujące:

1.    Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
2.    Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
3.    Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Wymaganie zawarte art. 24 RODO - stanowiące, że administrator powinien być w stanie wykazać przestrzegania przepisów RODO - oznacza w praktyce, że sposób przetwarzania danych, związane z nim procedury, jak i zastosowane zabezpieczenia techniczne i organizacyjne również powinny zostać zawarte w przedmiotowej dokumentacji – jako spełnienie obowiązku wykazania, że przestrzegane są wymagania RODO (wg zasady rozliczalności).

Jakie elementy powinna zawierać dokumentacja przetwarzania, aby spełniała wymagania RODO?

Jak już wspomniano, nieprawdą jest, że RODO znosi „uciążliwy dotąd” obowiązek prowadzenia dokumentacji przetwarzania danych, tj. dokumentacji, na którą składa się polityka bezpieczeństwa oraz instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.

Obecnie, w nowym systemie prawnym dotyczącym przetwarzania danych osobowych, nie wymienia się dokumentów, jakie administrator powinien posiadać, żeby wykazać zgodność realizowanych czynności przetwarzania, poza elementami wymienionymi wyżej.

Z treści art. 24 ust 1 RODO wynika jednakże, iż administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych. W praktyce oznacza to, że administrator ma obowiązek wykazać, że:

  • stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,
  • zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6–11 RODO,
  • zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO,
  • zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24–31 RODO,
  • zapewnia bezpieczeństwo przetwarzania danych, uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32-36 RODO,
  • zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postepowania – art. 27-43,
  • stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44–49 RODO.

Należy jednak zaznaczyć, że zgodnie z art. 24 oraz art. 32 RODO, przy wykonywaniu wyżej wymienionych obowiązków w zakresie zapewniania zgodności należy uwzględniać stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania, a także ryzyka, na jakie są narażone przetwarzane dane.

Czy dotychczas stosowana dokumentacja przetwarzania może być wykorzystana? 

Jak wyjaśnił UODO, dotąd prowadzona dokumentacja, na którą składają się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, z powodzeniem może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO. Obowiązek wykazania przestrzegania stosowania przepisów RODO (wynikający z art. 24 RODO) nie określa bowiem w jaki sposób, poprzez jakie dokumenty, czy też inne instrumenty zarządzania powinien być zrealizowany. Przepis art. 24 RODO stanowi jedynie, iż administrator ma wykazać, że wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Opracowana w powyższy sposób dokumentacja powinna zatem opisywać zastosowane w powyższym celu procedury oraz środki techniczne.

Jeśli zatem prowadzona według dotychczas obowiązujących wymagań dokumentacja zawierała wymagane elementy, takie jak inwentaryzacja zasobów informacyjnych, opis przepływy danych między systemami czy specyfikacje środków organizacyjnych i technicznych zastosowanych do ochrony przetwarzanych danych, czego wymagała polityka bezpieczeństwa - to w pełni można je przenieść do nowej dokumentacji.

Nie ma również przeszkód, aby do problemu nowej dokumentacji, która będzie spełniała nowe wymagania, o których mowa wyżej, podejść w sposób odwrotny, czyli uzupełnić dotychczas stosowaną dokumentację o nowe elementy wymienione wyżej, takie jak:

  1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. procedury dotyczące zgłaszanie naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. procedury dotyczące prowadzenia wewnętrznego rejestru naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  4. raporty dokumentujące wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

- jeśli zgodnie z przepisami RODO są wymagane (dotyczy punktu 1 i 4).

Dokumentując przyjęte procedury i wymagania dotyczące przetwarzania danych osobowych, zgodnie z art. 32 ust 1 RODO, powinniśmy także mieć na uwadze, aby przyjęte rozwiązania były adekwatne do obecnego stanu wiedzy technicznej. Dotyczy to nie tylko wiedzy technicznej w zakresie dostępnych środków bezpieczeństwa, ale również wiedzy w zakresie systemów zarządzania bezpieczeństwem, do którego należą takie elementy jak standardy w zakresie zarzadzania, dokumentowania zmian, konfiguracji i innych elementów, które powinny być zawarte w dokumentacji przetwarzania.

Należy przy tym pamiętać również o innych obowiązujących wymaganiach prawnych nadal obowiązujących, takich jak wymagania określone w takich przepisach jak:

  • ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity Dz.U. z 2014 r. poz. 1114) oraz wydane do niej
  • rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jednolity Dz.U. z 2016 r. poz. 113), nazywanym w skrócie "Rozporządzeniem KRI".

W wyżej wymienionych dokumentach, w kontekście dokumentacji przetwarzania, warto zwrócić uwagę w szczególności na § 20ust. 1 KRI, który stanowi, że: „Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda  oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność”.

W odniesieniu natomiast do działań, jakie chcemy wykazać w kontekście wykazania dbałości o bezpieczeństwo przetwarzanych danych, warto skorzystać z zaleceń wymienionych w § 20 ust 2 rozporządzenia KRI, odnoszących się do zarządzania bezpieczeństwem, który stanowi, że powinno to być zapewniane poprzez:

1)      zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;

2)      utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;

3)      przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;

4)      podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;

5)      bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;

6)      zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:

a)  zagrożenia bezpieczeństwa informacji,

b)  skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,

c)   stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;

7)      zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:

a)   monitorowanie dostępu do informacji,

b)   czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,

c)   zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;

8)      ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

9)      zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;

10)  zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;

11)  ustalenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

12)  zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:

a)  dbałości o aktualizację oprogramowania,

b)  minimalizowaniu ryzyka utraty informacji w wyniku awarii,

c)   ochronie przed błędami, utratą, nieuprawnioną modyfikacją,

d)  stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,

e)  zapewnieniu bezpieczeństwa plików systemowych,

f)    redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,

g)  niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,

h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;

13)   bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;

14)   zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Czy dokumentacja przetwarzania zgodnie z RODO powinna zawierać Instrukcje zarządzania systemami informatycznymi?

RODO nie określa wprost, jak należy udokumentować organizację przetwarzania i zarządzanie bezpieczeństwem przetwarzanych danych, w tym treści instrukcji zarządzania systemami informatycznymi. Wymaga jednak, żeby zastosowane środki bezpie­czeństwa oraz wszystkie podejmowane w tym zakresie działania można było wykazać. Jak stanowi art. 24 RODO, wykazując zgodność przetwarzania z obowiązującymi wymaganiami, należy uwzględnić: charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Stosowanie zatwierdzonych kodeksów postępowania, o których mowa w art. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Ponadto obowiązek prowadzenia dokumentacji przetwarzania danych wynika pośrednio z art. 32 RODO, dotyczącego bezpieczeństwa przetwarzania, który stanowi, że: „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…).” Biorąc zaś pod uwagę fakt, że jednym z najważniejszych, powszechnie akceptowanych dokumentów prezentujących aktualny stan wiedzy technicznej w zakresie stosowania środków bezpieczeństwa i zarządzania bezpieczeństwem są m.in. normy ISO/IEC z serii 27000, w tym: norma PN-EN ISO/IEC 27001:2017 Technologia informacyjna - Techniki zabezpieczeń, oraz norma PN-EN ISO/IEC 27002:2017 Technika informatyczna - Technika bezpieczeństwa - Praktyczne zasady zabezpieczania informacji, warto zaznaczyć, iż wyraźnie podkreśla się w nich fakt, że polityka bezpieczeństwa informacji powinna być: dostępna w formie udokumentowanej informacji, ogłoszona wewnątrz organizacji oraz dostępna dla zainteresowanych stron, jeśli jest to właściwe.

Jeżeli chodzi o zawartość dokumentacji przetwarzania, to należy mieć na uwadze zawarte m.in. w art. 24 i 32 RODO wymaganie wskazujące, że opracowana polityka bezpieczeństwa powinna uwzględniać zakres, kontekst i cele przetwarzania oraz ryzyka naruszenia praw i wolności, w tym prawdopodobieństwo ich wystąpienia. Odwołując się w powyższym zakresie do aktualnego stanu wiedzy, można się posłużyć z kolei normą PN-EN ISO/IEC 27002:2017, która zaleca w tym zakresie uwzględnić takie elementy, jak: zarządzanie aktywami(przetwarzanymi zbiorami danych), kontrole dostępu (rejestrowanie i wyrejestrowywanie użytkowników, zarządzanie hasłami, użycie uprzywilejowanych programów narzędziowych), środki ochrony kryptograficznej (polityka stosowania zabezpieczeń, zarządzanie kluczami), bezpieczeństwo fizyczne i środowiskowe oraz bezpieczeństwo eksploatacji (zarządzanie zmianami, zarządzanie pojemnością, zapewnienie ciągłości działania, rejestrowanie zdarzeń i monitorowanie), bezpieczeństwo komunikacji (zabezpieczenie, rozdzielenie sieci), pozyskiwanie, rozwój i utrzymywanie systemów, relacje z dostawcami (umowy, w tym umowy powierzenia przetwarzania), zarządzanie incydentami związanymi z bezpieczeństwem informacji, -        zarządzanie ciągłością działania, zgodność z wymaganiami prawnymi i umownymi.

Część z wymienionych wyżej elementów, zgodnie z obowiązującymi dotychczas wymaganiami, powinna być zawarta w prowadzonej dotychczas instrukcji zarządzania systemami informatycznymi. Tak więc elementy te również można wykorzystać dla wykazania w nowej dokumentacji zgodności, o której mowa art. 24 RODO.

O jakie elementy należy uzupełnić dotychczas prowadzoną dokumentacje przetwarzania, aby spełniała wymagania RODO?

Przygotowując dokument, którego celem ma być wykazanie zgodności przetwarzania danych z wymaganiami określonymi w RODO, należy podejść do tego elastycznie, wykorzystując dotychczas prowadzoną dokumentację. Oznacza to, iż należy zweryfikować dotychczasowe elementy występujące nie tylko w wymaganej dokumentacji, na którą składała się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi, ale również takie elementy jak ewidencję prowadzonych upoważnień do przetwarzania danych czy uprawnień do poszczególnych funkcji użytkowanych systemów informatycznych.

Reasumując, nowa, zgodna z RODO dokumentacja przetwarzania danych osobowych, która będzie jednocześnie instrumentem wykazującym zgodność wykonywanych czynności przetwarzania z przepisami prawa, wymaga uzupełnienia występujących w dotychczasowej dokumentacji elementów o takie elementy jak: 

  1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszania naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie informowania ich o działaniach, jakie nalezy wykonać, zeby ryzyko to ograniczyć – art. 34 RODO;
  4. procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  5. raport z przeprowadzonej, ogólnej analizy ryzyka;
  6. raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
  7. procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
  8. plan ciągłości działania – art. 32 ust 1 pkt b RODO;
  9. procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.


Wymieniony wyżej zakres dokumentacji przetwarzania danych zgodnie z podejściem opartym na analizie ryzyka można w istotny sposób ograniczyć w przypadkach, gdy brak jest niektórych ryzyk z uwagi na zastosowane tam rozwiązania.

Rejestrowanie czynności przetwarzania

Obowiązek prowadzenia rejestru czynności wynika z art. 30 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO), który stanowi że „Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają”.

W rejestrze tym, zgodnie z dalszą treścią ww. artykułu, powinny znaleźć się następujące informacje:

a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

b) cele przetwarzania;

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Natomiast podmioty przetwarzające, oraz – gdy ma to zastosowanie – ich przedstawiciele, zgodnie z art. 30 ust. 2 RODO, zobowiązani są do prowadzenia rejestru kategorii czynności przetwarzania wykonywanych w imieniu zlecających im je administratorów danych.

W rejestrze kategorii czynności przetwarzania powinny być zawarte:

a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Przytoczone przepisy wskazują obligatoryjne składniki rejestrów. Jednak wątpliwości może budzić znaczenie poszczególnych pojęć użytych w powołanych przepisach, a także stopień szczegółowości rejestrów i sposób ich prowadzenia.

Jaki jest cel obowiązku prowadzenia rejestrów?

Jak wyjaśnił PUODO, motyw 82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru:

  • zachowanie przez administratora i podmiot przetwarzający zgodności z RODO;
  • umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania. 

Celem obowiązku określonego w art. 30 jest zatem zapewnienie - zarówno przez administratora oraz podmioty przetwarzające, jak też przez organ nadzorczy - zgodności z RODO (art. 5 ust. 2 RODO), tzn. ze wskazanymi w tym akcie prawnym zasadami oraz warunkami przetwarzania danych osobowych. Prowadzone przez administratorów i przetwarzających rejestry pozwalają im usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak też wymaganiami prawnymi. Dzięki zebranym w tych rejestrach informacjom, administratorzy i podmioty przetwarzające mogą również ocenić, w jakim zakresie dotyczą ich inne obowiązki wynikające z rozporządzenia ogólnego, np. obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych, która jest na gruncie rozporządzenia przewidziana m.in. w sytuacji przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.

Wykonywanie obowiązku określonego w art. 30 RODO pozwala na stałą weryfikację swojej działalności w zakresie przetwarzania danych osobowych oraz poddawanie ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie.

Z drugiej zaś strony, rejestry mają ułatwić organowi nadzorczemu kontrolę wszystkich procesów przetwarzania danych w organizacji. Na żądanie organu nadzorczego informacje o prowadzonym przez administratora i podmiot przetwarzający przetwarzaniu będą udostępniane organowi w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji.

Rejestry dotyczą wszystkich czynności przetwarzania danych osobowych, a określona w art. 30 ust. 1 i ust. 2 RODO klasyfikacja zawiera wiele istotnych dla sprawowania nadzoru kryteriów. Zapoznanie się z takimi rejestrami może być jednym z pierwszym z działań podejmowanych w celu przeprowadzenia przez organ nadzorczy kontroli przestrzegania przepisów RODO, nie tylko w ramach audytów, o których mowa w art. 58 ust. 1 lit. b RODO, ale także w innych prowadzonych przez organ postępowaniach.

Kto jest obowiązany do prowadzenia rejestru czynności i rejestru kategorii czynności?

Obowiązek prowadzenia rejestru czynności spoczywa na administratorze, tzn. osobie fizycznej lub prawnej, organie publicznym, jednostce bądź innym podmiocie, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Z kolei obowiązek prowadzenia rejestrów kategorii czynności został nałożony na podmioty przetwarzające, czyli osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora.

Warto zauważyć, że większość podmiotów przetwarzających będzie zobowiązana do prowadzenia zarówno rejestru kategorii czynności przetwarzania, jak i rejestru czynności przetwarzania danych, za które odpowiadają jako administratorzy (np. danych osób zatrudnionych).

Obowiązek prowadzenia rejestrów w określonych przypadkach spoczywa także na przedstawicielach administratora i podmiotu przetwarzającego. Zgodnie z art. 27 w związku z art. 3 ust. 2 RODO, obowiązek wyznaczenia swojego przedstawiciela mają administrator i podmiot przetwarzający nieposiadający jednostek organizacyjnych w Unii wówczas, gdy prowadzone przez nich czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

W przypadku współadministratorów i procesów przetwarzania danych, w zakresie których wspólnie ustalają oni cele i sposoby przetwarzania danych, przyjąć należy, że obowiązek prowadzenia rejestru ciąży na każdym z nich. Wskazuje na to zarówno brzmienie art. 30 ust. 1 RODO, zgodnie z którym do prowadzenia rejestru zobowiązany jest „każdy” administrator danych, a ponadto cel tego obowiązku, jakim jest zapewnienie - zarówno przez administratora, jak i przez organ nadzorczy - zgodności z RODO. W takim przypadku w rejestrze każdego ze współadministatorów powinien się znaleźć opis procesów przetwarzania objętych współadministrowaniem .

Ze względu na swoją zawartość rejestry czynności i kategorii czynności mogą być również instrumentem monitorowania zgodności przetwarzania danych z prawem przydatnym dla inspektorów ochrony danych. Wprawdzie z art. 30 rozporządzenia ogólnego bezsprzecznie wynika, że obowiązek prowadzenia rejestrów nie jest adresowany do inspektora ochrony danych, niemniej z pewnością może on w tym zakresie doradzać administratorowi i jednocześnie wykorzystywać zawarte w rejestrze informacje w swojej pracy.

Zgodnie z art. 30 ust. 5 RODO, obowiązek prowadzania rejestru czynności i rejestru kategorii czynności nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że czynności przetwarzania, które wykonują:

  1. mogą powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, 
  2. nie mają charakteru sporadycznego lub obejmują szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub 
  3. dotyczą wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. 

W motywie 13 preambuły RODO wskazano, że wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników przewidziano ze względu na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. 

Jak należy rozumieć pojęcie „czynności przetwarzania” w kontekście obowiązku prowadzenia rejestru czynności?

RODO nie definiuje pojęcia „czynności przetwarzania”, jednak posługuje się nim w kilku przepisach lub motywach w różnych kontekstach, np. „Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach.” (motyw 32), „Aby stwierdzić, czy czynność przetwarzania można uznać za monitorowanie zachowania osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.” (motyw 24).  

Samo pojęcie „przetwarzanie” zostało zdefiniowane w art. 4 pkt 2 jako operacja lub zestaw operacji na danych, takich jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Jak zatem należy interpretować pojęcie „czynności przetwarzania danych” biorąc pod uwagę ww. definicję oraz fakt, że rejestr takich czynności odnosi się nie tylko do pojedynczych czynności przetwarzania, ale, jak wynika również z angielskiej wersji dokumentu („records of procesing activities”) do czynności w liczbie mnogiej?

W kontekście obowiązku określonego w art. 30 ust. 1 RODO przyjąć należy, że czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.

Przykład:

W przypadku rekrutacji pracowników, jeden cel będzie obejmował wiele cząstkowych operacji niewymagających szczegółowego ich opisywania w rejestrze, takich jak pozyskiwanie informacji o kandydatach z ofert nadesłanych w wyniku ogłoszenia, dokonywanie ich selekcji, uzyskiwanie dodatkowych informacji w ramach przeprowadzania wywiadów z wybranymi osobami, usunięcie danych osób, które nie zostały wskazane do zatrudnienia itp. Nie ma konieczności opisywania każdej poszczególnej operacji wykonywanej na danych w procesie określonym zbiorczo „rekrutacja pracowników”, bo nie jest to konieczne dla scharakteryzowania przetwarzania w świetle wskazanych w art. 30 ust. 1 RODO kryteriów.

Podobnie w przypadku przetwarzania danych w celu obsługi umów sprzedaży określonych towarów i usług jako „czynność przetwarzania” wskazać można ogólnie np. „obsługa umów sprzedaży”, bez konieczności wpisywania do rejestru cząstkowych operacji wykonywanych w ramach tego procesu, takich jak: rejestrowanie danych nabywcy (klienta), wystawienie faktury, wydanie klientowi oryginału faktury, przechowywanie kopii faktury w systemie sprzedaży, zapis danych z faktury w rejestrze VAT, czy też po zakończeniu każdego miesiąca generowanie pliku JPK-VAT, a po jego weryfikacji i podpisaniu - wysłanie do urzędu skarbowego.

Przy wyodrębnianiu poszczególnych procesów (zespołów czynności) zasadne jest uwzględnienie rzeczywistego podziału zadań pomiędzy poszczególnymi komórkami organizacyjnymi lub osobami w danej jednostce. W dużych podmiotach, o złożonej strukturze organizacyjnej często wydziela się oddzielny zespół do spraw kadr i oddzielny do spraw płac. Zespół Kadr wykonuje najczęściej takie czynności przetwarzania, jak: prowadzenie ewidencji pracowników, czasu ich pracy, szkoleń, urlopów, zwolnień lekarskich itp. Do zadań tego zespołu należy też wykonywanie takich czynności, jak zgłaszanie pracowników i członków ich rodzin do ZUS oraz zgłaszanie aktualizacji dotyczących ich informacji.

Zespół Płac natomiast prowadzi takie czynności przetwarzania, jak: wyliczanie wynagrodzeń i ich wypłata, a także wyliczanie składek na ubezpieczenie emerytalne, rentowe, chorobowe, wypadkowe i przekazywanie tych informacji do ZUS wraz z imiennymi raportami miesięcznymi ZUS RCA o należnych składkach i wypłaconych świadczeniach.

W małych jednostkach może być zaś tak, że wszystkie wymienione wyżej operacje wykonuje jedna osoba i z tego względu mogą być one pogrupowane inaczej, np. wszystkie operacje wykonywane przy użyciu programów „Kadry i Płace” mogą być ujęte jako jeden proces nazwany „Prowadzenie ewidencji pracowników i rozliczeń z pracownikami”, a pozostałe wykonywane przy użyciu programu „Płatnik” jako „Prowadzenie obsługi ubezpieczeniowej pracowników”. Proces związany z obsługą ubezpieczeniową  pracowników będzie obejmował wówczas zarówno zgłaszanie pracowników i członków ich rodzin do ubezpieczenia, jak też zgłaszanie deklaracji rozliczeniowych, imiennych raportów o wynagrodzeniu i naliczonych składkach na poszczególne rodzaje ubezpieczenia.

Podsumowując, określona w art. 30 ust. 1 RODO zawartość rejestru czynności nie wskazuje na obowiązek opisywania każdej poszczególnej operacji wykonywanej na danych, takiej jak np. zbieranie, utrwalanie, porządkowanie, modyfikowanie, usuwanie (bądź innej wskazanej w art. 4 pkt 2 RODO).

Rejestr powinien obejmować opis poszczególnych zespołów operacji związanych zbiorczo z realizacją określonego celu przetwarzania. 

Takie rozumienie pojęcia „czynność przetwarzania” przyjmują również inne organy nadzorcze w Europie, między innymi organy ochrony danych w Niemczech, Belgii i Wielkiej Brytanii. W projekcie rejestru czynności przetwarzania organ brytyjski jako przykłady czynności związanych z zatrudnieniem wskazuje takie, jak: obsługa płac pracowników, prowadzenie księgowości, przechowywanie danych w chmurze.

Czy w zakresie „kategorii odbiorców” należy wpisywać do rejestru podmioty działające z upoważnienia administratora wewnątrz jego struktury organizacyjnej?

Znaczenie pojęcia „odbiorcy danych” na gruncie RODO różni się od tego, jakie ma ono zgodnie z art. 7 pkt 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Według art. 4 pkt 9 RODO, za odbiorcę uznaje się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, z wyjątkiem organów publicznych, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego.

Na potrzeby realizacji obowiązku określonego w art. 30 ust. 1 przyjąć należy, że podmiotami objętymi definicją "odbiorcy" będą podmioty przetwarzające, natomiast nie będą nimi inne podmioty działające z upoważnienia administratora, w jego imieniu i na jego polecenie wewnątrz struktury organizacyjnej. „Przyjęcie koncepcji, w której odbiorcą danych jest także osoba funkcjonująca w strukturze administratora, prowadzi do znacznego utrudnienia realizacji obowiązków przez administratora, a jednocześnie nie wzmacnia praw osób, których dane dotyczą. Zapewnienie podmiotowi danych wiedzy na temat przepływu danych w ramach struktury administratora mogłoby naruszać również zasadę proporcjonalności, ze względu na wrażliwość tego typu informacji, bez uzasadnienia w postaci podniesienia poziomu ochrony danych osobowych. Z tego względu opowiedzieć się należy za koncepcją uznania za odbiorcę podmiotu przetwarzającego, ale już nie innych podmiotów działających z upoważnienia administratora, w jego imieniu i na jego polecenie wewnątrz struktury organizacyjnej. Taki pogląd prezentowany jest także w doktrynie niemieckiej” (tak wskazano w komentarzu LEX do art. 4 ust. 9 RODO, w: "RODO Ogólne rozporządzenie o ochronie danych. Komentarz", Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.),  Chomiczewski Witold, Czerniawski Michał, Drobek Piotr, Góral Urszula, Kuba Magdalena, Lubasz Dominik, Makowski Paweł Witkowska-Nowakowska Katarzyna, LEX).

Czy rejestr czynności może obejmować inne elementy niż wskazane w art. 30 ust. 1 RODO?

Wskazane w art. 30 ust. 1 RODO składniki rejestru (kryteria klasyfikacji przetwarzanych danych osobowych) są obligatoryjne. Jednak wskazany w tym przepisie zakres informacji o operacjach wykonywanych w ramach danej czynności nie ma charakteru zamkniętego.

Mogą się więc w nim znaleźć inne elementy, które administrator uzna za zasadne, uwzględniając wiele specyficznych dla niego czynników, takich jak np.: wskazanie podstawy prawnej przetwarzania, wskazanie źródła pozyskania danych, wskazanie użytego do przetwarzania systemu informatycznego, informacje dotyczące przeprowadzonej oceny skutków dla ochrony danych itp.

W niektórych przypadkach uzasadnione może okazać się odnotowanie w rejestrze dodatkowo takich informacji, jak np.: określenie tzw. właścicieli procesów, czyli osób odpowiedzialnych u administratora za konkretne czynności przetwarzania (np. kierownik określonej komórki w organizacji, wydzielone stanowisko itp.), oraz dane kontaktowe podmiotu przetwarzającego oraz podmiotów, którym podpowierzono wykonywanie określonych czynności przetwarzania danych czy określonych operacji w ramach tych czynności (art. 28 ust. 4 RODO).

Zamieszczenie innych danych niż wymagane w art. 30 ust. 1 RODO może być przydatne szczególnie w kontekście wykazania zgodności wykonywanych czynności przetwarzania z przepisami RODO. Jeżeli zatem w rejestrze tym dla każdej czynności wskażemy np. przepis prawa dający podstawę przetwarzania danych w ramach danej czynności, czy np. w odniesieniu do informacji wysyłanej drogą elektroniczną wskażemy sposób jej zabezpieczenia, to łatwiej w przypadku kontroli będzie wykazać zgodność z zasadami RODO.

Ponadto rejestr taki, podczas jego tworzenia, aktualizacji i przeglądania będzie przypominał samemu administratorowi o obowiązku zapewnienia określonych w RODO zasad i warunków przetwarzania.

Tworzenie rozszerzonego o dodatkowe elementy rejestru czynności przetwarzania zalecane jest obecnie między innymi przez organy nadzorcze w Belgii i Wielkiej Brytanii.

Jak należy rozumieć pojęcie „kategorii czynności przetwarzania” oraz „kategorii przetwarzań” w kontekście obowiązku prowadzenia rejestru kategorii czynności, o którym mowa w art. 30 ust. 2 RODO?

RODO nie definiuje ani pojęcia „kategorii czynności przetwarzania”, ani pojęcia „kategorii przetwarzań”, o których mowa w art. 30 ust. 2 lit. b RODO. Do pojęć tych nie odnosi się także preambuła RODO, co dodatkowo stwarza trudności w zakresie interpretacji tego pojęcia. Według art. 30 ust. 2 RODO, rejestr czynności ma obejmować wszystkie kategorie czynności przetwarzania dokonywanych w imieniu wszystkich administratorów.

Ma zawierać m.in. określenie (imię, nazwisko lub nazwę) każdego administratora, w imieniu którego działa podmiot przetwarzający oraz kategorie przetwarzań dokonywanych w imieniu każdego z administratorów. W odniesieniu do każdego z administratorów wskazane jest zatem nazwanie poszczególnych powierzeń (zleceń), a więc rodzaju usług, jakie podmiot przetwarzający na podstawie zawartych umów wykonuje na rzecz poszczególnych administratorów.

Uporządkowanie czynności wykonywanych w ramach powierzenia w kategorie, tzn. ich pogrupowanie pod względem rodzaju usług świadczonych przez podmiot przetwarzający, umożliwi łatwy przegląd „powierzeń” zwłaszcza w przypadku podmiotów, które działają na rzecz wielu administratorów danych bądź świadczą wiele różnych usług w zakresie przetwarzania danych.

Na potrzeby wykonania obowiązku określonego w tym przepisie należy zatem przyjąć, że kategoria czynności przetwarzania (kategoria przetwarzań) to rodzaj usługi realizowanej przez podmiot przetwarzający na zlecenie administratora związanej ze zleconymi czynnościami przetwarzania. Rodzajami takich usług mogą być np.:

  • przechowywanie danych klienta (administratora) rozumiane jako udostępnienie zamawiającemu określonej przestrzeni dyskowej w infrastrukturze przetwarzającego na przechowywanie danych, którymi zlecający (administrator) sam zarządza i decyduje o tym, jakie dane tam przechowuje – np. wykonuje kopie zapasowe danych elektronicznych; 
  • udostępnianie klientowi (administratorowi) mocy obliczeniowej procesorów, przestrzeni pamięci operacyjnej i dyskowej lub innych usług na potrzeby instalacji i eksploatacji usług przetwarzania, którymi zamawiający w pełni zarządza – dostarczanie infrastruktury informatycznej; 
  • udostępnienie klientowi (administratorowi) określonej platformy programistycznej (np. serwera www wraz z odpowiednim oprogramowaniem do prowadzenia własnej strony internetowej); 
  • wykonywanie na zamówienie klienta (zamawiającego) określonych usługi w zakresie konfiguracji sprzętowej, programowej, w tym zabezpieczeń udostępnionych mu serwerów, innych urządzeń komputerowych oraz oprogramowania – usługi administracyjne i konserwacyjne; 
  • wykonywanie na zamówienie klienta (zamawiającego) usług programistycznych, w tym aktualizacji oprogramowania na okoliczność zmieniających się przepisów prawnych lub wymagań klienta – usługi programistyczne itp.;
  • samo przechowywanie dokumentacji podatkowej, księgowej, kadrowej i medycznej; 
  • prowadzenie dokumentacji podatkowej, księgowej, kadrowej;
  • archiwizacja danych elektronicznych; 
  • skanowanie i digitalizacja danych; 
  • niszczenie nośników informacji. 

Odnotowywanie w rejestrach przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej

Zarówno administrator danych w rejestrze czynności, jak też podmiot przetwarzający w rejestrze kategorii czynności powinni odnotowywać fakt przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (art. 30 ust. 1 lit. e oraz art. 30 ust. 2 lit. c RODO), wskazując nazwę tego państwa trzeciego lub organizacji międzynarodowej.

Natomiast obowiązek dokumentowania zabezpieczeń wynika z art. 30 ust. 1 lit. e, jak i z art. 49 ust. 6 RODO, zgodnie z którym administrator lub podmiot przetwarzający dokumentują ocenę oraz odpowiednie 11 zabezpieczenia, o których mowa w art. 49 ust. 1 akapit drugi, w rejestrze czynności i rejestrze kategorii czynności.

Obowiązek odnotowania w rejestrze odpowiednich zabezpieczeń jest przewidziany w sytuacji, gdy przekazanie danych do państwa trzeciego czy organizacji międzynarodowej nie następuje na podstawie wydanej przez Komisję Europejską decyzji stwierdzającej adekwatny stopień ochrony w państwie trzecim lub organizacji międzynarodowej (art. 45 ust. 3 RODO), ani z wykorzystaniem odpowiednich mechanizmów ochrony (o których mowa w art. 46 RODO), oraz gdy nie zachodzą szczególne sytuacje wymienione w art. 49 ust. 1 akapit pierwszy RODO.

Ponadto warto mieć na uwadze, że dotychczas przyjęte przez Komisję Europejską decyzje na podstawie art. 25 ust. 6 dyrektywy 95/46/WE, w myśl art. 45 ust. 4 i 5 RODO, pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia przez Komisję Europejską (biorąc pod uwagę kryteria wskazane w art. 45 ust. 2 RODO).

Przykład:

Decyzja Komisji Europejskiej w sprawie właściwej ochrony danych osobowych w Szwajcarii (2000/518/WE) pozostaje w mocy od 25 maja 2018 r. W związku z tym, w przypadku przekazania danych do Szwajcarii nie zachodzi konieczność umieszczania w rejestrze informacji o zastosowanych środkach bezpieczeństwa w rozumieniu art. 30 ust. 2 lit. c RODO. Pozostaje jednak konieczność zamieszczenia informacji o fakcie przekazywania danych do kraju trzeciego, jakim jest Szwajcaria. Nie zwalnia to jednak przetwarzającego (bądź administratora) z zamieszczenia w rejestrze ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa przez samego administratora (art. 30 ust. 2 pkt g RODO).

Dlaczego rejestr kategorii czynności przetwarzania z art. 30 ust. 2 RODO nie obejmuje tych samych elementów, co rejestr czynności z art. 30 ust. 1 RODO?

W odróżnieniu od rejestru czynności – rejestr kategorii czynności nie obejmuje celów przetwarzania; opisu kategorii osób, których dane dotyczą, kategorii danych osobowych; oraz kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych.

Określenie tych okoliczności jest obowiązkiem administratora czy współadministratora jako podmiotów, które zgodnie z definicją zawartą w art. 4 pkt 7 RODO decydują o celach i sposobach przetwarzania danych, chyba że cele te i sposoby określone są w przepisach prawa, na podstawie których działa administrator lub współadministrator.

Jakie inne elementy niż „kategorie przetwarzań” może obejmować rejestr kategorii czynności?

Tak jak rejestr czynności, tak i rejestr kategorii czynności może obejmować inne elementy niż wskazane w art. 30 ust. 2 RODO, w szczególności takie, które podmiot przetwarzający uznaje za potrzebne i uzasadnione dla zapewnienia zgodności z prawem przetwarzania danych, które zostało mu powierzone. Fakultatywnymi elementami rejestru mogą być następujące przykładowe elementy: wskazanie użytego do przetwarzania systemu informatycznego, czas trwania umowy (ze wskazaniem daty), dane kontaktowe podmiotów, którym podpowierzono dane osobowe (art. 28 ust. 4 RODO).

Te informacje jako pomocne w zapewnieniu zgodności z prawem przetwarzania, za które jest odpowiedzialny podmiot przetwarzający, mogą być fakultatywnie wpisywane do rejestru kategorii czynności.

Jak powinien wyglądać „ogólny opis technicznych i organizacyjnych środków bezpieczeństwa”, o których mowa w art. 32 ust. 1 lit. d i art. 30 ust. 2 lit. d RODO?

W rejestrze czynności przetwarzania i rejestrze kategorii czynności przetwarzania zamieszcza się - jeśli jest to możliwe - ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO. Opis może mieć charakter ogólny i wskazywać najważniejsze założenia bądź elementy przyjętych systemów lub koncepcji w zakresie bezpieczeństwa danych osobowych. Jest to uzasadnione zwłaszcza w przypadkach, gdy koncepcje te obejmują wiele elementów i rozwiązań, które uszczegółowione są w innym miejscu, np. konkretnej dokumentacji, polityce czy procedurach. Wówczas należy zamieścić w rejestrze ogólną informację o rodzaju zastosowanych zabezpieczeń (np. kontrola dostępu w oparciu o identyfikator i hasło, zastosowanie certyfikatów, szyfrowanie komunikacji itp.) oraz odesłanie do dokumentacji opisującej szczegóły zarządzania danego rodzaju zabezpieczeniami.

W odniesieniu do informatycznych nośników danych oraz danych przetwarzanych w systemach informatycznych, a zwłaszcza w odniesieniu do danych przekazywanych za pośrednictwem publicznie dostępnych sieci telekomunikacyjnych, opis ten powinien zawierać również informacje o zastosowanych środkach kontroli dostępu do przetwarzanych danych, a także zastosowanych środkach ochrony kryptograficznej.

Przykład:

Przykładem takiego opisu może być następujące wskazanie rodzaju zabezpieczeń: do kontroli dostępu do danych przetwarzanych w systemie informatycznym zastosowano kontrolę dostępu bazującą na wydawanych kartach z certyfikatami dostępu oraz przekazanych ich użytkownikom kodach PIN; w przypadku zabezpieczenia poufności korespondencji można wskazać, że informacje szyfrowane są przy użyciu określonego narzędzia za pomocą publicznego klucza jej adresata.

W każdym przypadku jednak opis ten ma umożliwiać administratorowi i podmiotowi przetwarzającemu oraz organowi nadzorczemu wstępną ocenę zastosowanych środków w odniesieniu do poszczególnych czynności oraz kategorii czynności zamieszczonych w rejestrze.

Administratorzy, powierzając przetwarzanie, powinni korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).

Każdy podmiot przetwarzający zobowiązany jest stosować odpowiednie środki techniczne i organizacyjne zgodnie z art. 32 ust. 1 RODO.

Jak wskazuje art. 28 ust. 3 lit. f RODO, podmiot przetwarzający - zgodnie z umową lub innym instrumentem prawnym, na podstawie którego powierzenie jest dokonywane - zobowiązany jest pomagać administratorowi wywiązać się z obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 RODO. Ogólny opis zastosowanych środków - o ile to możliwe - podmiot przetwarzający zobowiązany jest zamieścić w rejestrze kategorii czynności przetwarzania.  

W jakiej formie trzeba prowadzić rejestr czynności i kategorii czynności?

RODO nie narzuca układu informacji wymaganych w rejestrach. Stanowi tylko, iż rejestry powinny być prowadzone w formie pisemnej (art. 30 ust. 3). RODO nie narzuca więc wymagań dotyczących postaci, w jakiej rejestry powinny być prowadzone, wskazując, że może to być postać zarówno papierowa, jak i elektroniczna.

Brak szczegółowego wskazania układu wymaganych informacji w poszczególnych rejestrach oznacza, że administrator danych czy podmiot przetwarzający może przyjąć dowolny układ informacji dotyczących poszczególnych czynności przetwarzania. Na przykład w odniesieniu do pozycji wskazanej w art. 30 ust. 1 lit. e RODO w rejestrze czynności przetwarzania dotyczącej informacji o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, administrator może podzielić te informacje na mniejsze jednostki, np. na dwie podpozycje, takie jak:

  • informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej ze wskazaniem nazw tych państw/organizacji oraz
  • informacje o zastosowanych zabezpieczeniach w przypadku przekazania na podstawie art. 49 ust. 1 akapit drugi RODO.

Biorąc pod uwagę fakt, że dany administrator prowadzi rejestr wszystkich czynności przetwarzania, które wykonywane są w jego organizacji, rejestr czynności winien być tak skonstruowany, żeby dla każdej czynności nie było potrzeby powtarzania informacji o nazwie oraz danych kontaktowych administratora, a także - gdy ma to zastosowanie - o nazwie i danych kontaktowych przedstawiciela administratora oraz inspektora ochrony danych.

Ponadto, mając na uwadze fakt, że dany administrator może wykonywać jednie czynności jako ich administrator, inne natomiast jako współadministrator, celowe jest, by:

  1. informacje o nazwie administratora danych, jego danych kontaktowych, nazwie przedstawiciela i jego danych kontaktowych, a także nazwisku i danych kontaktowych inspektora ochrony danych umieścić jednorazowo, np. na stronie tytułowej rejestru; 
  2. dla każdego wpisu w rejestrze czynności na pierwszej pozycji umieścić nazwę lub opis czynności przetwarzania, a potem pozostałe informacje o danej czynności wymienione w art. 30 ust. 1 punkty od b) do g) oraz inne dodatkowe informacje. 

W przypadku rejestru kategorii czynności przetwarzania, poszczególne wpisy (rekordy) tego rejestru powinny być uporządkowane według kategorii przetwarzania, czyli rodzaju usług świadczonych na rzecz administratorów. Z drugiej strony, biorąc pod uwagę fakt, że każdy taki rejestr odnosi się do kategorii czynności przetwarzania świadczonych przez jeden podmiot, który go prowadzi, celowe jest, by:

  1. informacje o nazwie podmiotu przetwarzającego, jego danych kontaktowych, nazwie i danych kontaktowych jego przedstawiciela, a także nazwisku i danych kontaktowych jego inspektora ochrony danych umieścić jednorazowo np. na stronie tytułowej przedmiotowego rejestru; 
  2. dla każdego wpisu w rejestrze kategorii czynności przetwarzania na pierwszej pozycji umieścić nazwę danej „kategorii czynności przetwarzania” (rodzaj usługi) jako wartość pozwalającą pogrupować wszystkie wpisy, a następnie nazwę i dane kontaktowe administratora danych, dla którego dana usługa jest wykonywana, nazwę i dane kontaktowe, przedstawiciela administratora – jeśli dotyczy oraz, nazwisko i dane kontaktowe wyznaczonego przez niego inspektora ochrony danych. W kolejnych pozycjach należy zamieścić informacje wskazane w art. 30 ust. 2 lit. c i d, oraz inne dodatkowe informacje.

Szablony rejestrów

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności lub rejestru kategorii czynności. Art. 30 RODO wskazuje ich obligatoryjne składniki, niemniej przepis ten może budzić wątpliwości co do znaczenia poszczególnych użytych w jego treści pojęć oraz sposobu wykonania tego obowiązku.

W celu ułatwienia realizacji tego zadania Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), przygotował szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami ich uzupełnienia oraz wyjaśnienia dotyczące sposobu realizacji tego obowiązku.

W przypadku szablonu rejestru czynności przykłady czynności przetwarzania dotyczą kilku, wybranych czynności przetwarzania prowadzonego przez szkołę podstawową jako administratora danych: 1. Rekrutacja pracowników pomocniczych, administracyjnych oraz nauczycieli. 2. Prowadzenie rejestru pracowników, akt pracowniczych i ewidencji czasu ich pracy. 3. Zgłoszenie pracowników i członków ich rodzin do ZUS, aktualizacja zgłoszonych danych i przekazywanie danych o zwolnieniach. 4. Prowadzenie rozliczeń w zakresie wypłaty wynagrodzeń pracownikom, naliczania obciążeń oraz naliczania i odprowadzania składek do ZUS. 5. Rekrutacja uczniów do szkół podstawowych. 6. Prowadzenie ewidencji uczniów. 7. Prowadzenie dziennika lekcyjnego.

W przypadku rejestru kategorii czynności – przykłady kategorii czynności mogą dotyczyć dowolnego podmiotu przetwarzającego i są to: 1. Udostępnienie i utrzymywanie zdalnej platformy programistycznej do prowadzenia sklepu internetowego w środowisku sprzętowo-programowym wynajętym przez przetwarzającego. 2. Udostępnienie i utrzymywanie zdalnej platformy programistycznej do prowadzenia rekrutacji pracowników w środowisku sprzętowo-programowym wynajętym przez przetwarzającego. 3. Dostarczenie usługi wsparcia technicznego (instalacji, konfiguracji, naprawy, odzyskania po awarii, przygotowania raportów z bazy danych, itp.) dla systemu Kadry-Płace-ABZ w środowisku sprzętowoprogramowym administratora. 4. Udostępnienie i utrzymywanie zdalnej platformy programistycznej do prowadzenia dziennika lekcyjnego w środowisku sprzętowo-programowym przetwarzającego. 5. Dostarczenie licencji systemu do prowadzenia dziennika elektronicznego wraz z usługą wsparcia technicznego w zakresie instalacji, konfiguracji, zabezpieczenia, odzyskania danych po awarii, w środowisku sprzętowo programowym administratora (szkoły).

Przedstawionych szablonów rejestrów nie należy traktować jako jedynych prawidłowych wzorów. Ze względu na różnorodność administratorów, sektorów, w których działają i procesów przetwarzania danych, które prowadzą oraz innych czynników, w praktyce może występować wiele różnych modeli (struktur) rejestru czynności. Ważne, żeby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić wymagane w art. 30 ust. 1 i 2 RODO elementy w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych, w sposób czytelny i przejrzysty.

Szablony rejestru czynności przetwarzania i rejestru kategorii czynności przygotowane przez Prezesa UODO obejmują następujące informacje (boldem oznaczono informacje wymagane w rejestrze zgodnie z art. 30 ust. 1 i 2 RODO):

REJESTR CZYNNOŚCI PRZETWARZANIA:

I. STRONA TYTUŁOWA:

1. Nazwa i dane kontaktowe administratora:

a) nazwa administratora

b) adres

c) email

d) nr telefonu/faksu

2. Inspektor Ochrony Danych (gdy ma to zastosowanie):

a) nazwa inspektora

b) adres

c) email

d) nr telefonu/faksu

3. Przedstawiciel (gdy ma to zastosowanie):

a) nazwa przedstawiciela

b) adres

c) email

d) nr telefonu/faksu

II. INFORMACJE O POSZCZEGÓLNYCH CZYNNOŚCIACH PRZETWARZANIA:

a) Nazwa czynności przetwarzania

b) Jednostka organizacyjna

c) Cel przetwarzania

d) Kategorie osób

e) Kategorie danych

f) Podstawa prawna

g) Źródło danych

h) Planowany termin usunięcia kategorii danych

i) Nazwa współadministratora i dane kontaktowe

j) Nazwa podmiotu przetwarzającego i dane kontaktowe

k) Kategorie odbiorców

l) Nazwa systemu lub oprogramowania

m) Ogólny opis techniczny i organizacyjny środków bezpieczeństwa

n) DPIA

o) Transfer do kraju trzeciego lub organizacji międzynarodowej:

  • Transfer do kraju trzeciego lub organizacji międzynarodowej 
  • Dokumentacja odpowiednich zabezpieczeń w przypadku transferu 

REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA:

I. STRONA TYTUŁOWA:

1. Nazwa i dane kontaktowe przetwarzającego:

a) nazwa administratora

b) adres

c) email

d) nr telefonu/faksu

2. Inspektor ochrony danych (gdy ma to zastosowanie):

a) nazwa inspektora

b) adres

c) email

d) nr telefonu/faksu

3. Przedstawiciel (gdy ma to zastosowanie):

a) nazwa przedstawiciela

b) adres

c) email

d) nr telefonu/faksu

II. INFORMACJE O POSZCZEGÓLNYCH KATEGORIACH CZYNNOŚCI PRZETWARZANIA:

a) Kategorie przetwarzania

b) Ogólny opis techniczny i organizacyjny środków bezpieczeństwa

c) Administrator:

  • Nazwa i dane kontaktowe administratora 
  • Nazwa i dane kontaktowe współadministratora (gdy ma to zastosowanie)
  • Nazwa i dane kontaktowe przedstawiciela administratora (gdy ma to zastosowanie) 
  • Inspektor ochrony danych administratora (gdy ma to zastosowanie) 

d) Czas trwania przetwarzania 

 e) Nazwy państw trzecich lub organizacji międzynarodowych, do których dane są przekazywane

f) Dokumentacja odpowiednich zabezpieczeń danych osobowych

g) Podprzetwarzający:

  • Nazwa i dane kontaktowe podprzetwarzającego
  • Kategorie podpowierzonych przetwarzań 

Zob.:

Czy informacje zawarte w rejestrach i wykazach zbiorów prowadzonych na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych mogą być wykorzystane do tworzenia rejestrów, o których mowa w art. 30 RODO?

Dla większości podmiotów bazą do realizacji obowiązku określonego w art. 30 ust. 1 i 2 RODO będą ewidencje danych osobowych oraz systemów służących do ich przetwarzania prowadzone na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych i przepisów wykonawczych do tej ustawy, w tym przede wszystkim wykazy będące elementami polityki bezpieczeństwa, takie jak lokalne rejestry zbiorów prowadzone przez administratorów bezpieczeństwa danych czy wykazy danych, które są przekazywane między poszczególnymi systemami bądź zbiorami danych.

 

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.   

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1); 
  • ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000).

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

  • Danuta 2020-06-18 20:52:53

    Bardzo rzeczowy i przejrzysty tekst. Zdziwiło mnie tylko zdanie: "Warto zauważyć, że większość podmiotów przetwarzających będzie zobowiązana do prowadzenia zarówno rejestru kategorii czynności przetwarzania, jak i rejestru czynności przetwarzania danych, za które odpowiadają jako administratorzy". Z tych firm, które ja znam np. przychodnie zdrowia, czy edukacja pozaszkolna (kursy) to oni według mnie mają obowiązek prowadzić tylko rejestr czynności - jako administratorzy. Nie są dla nikogo podmiotem przetwarzającym. Jedynie z usług takich podmiotów korzystają, np. z zewnętrznej księgowości. Czy ja to dobrze rozumiem, czy jest inaczej? Jeśli powinnam to inaczej rozumieć to będę wdzięczna za przykład czego mógłby dotyczyć rejestr kategorii czynności w przychodni zdrowia?


Potrzebujesz pomocy prawnej?

Zapytaj prawnika