Rejestr czynności przetwarzania danych osobowych według RODO

25 maja 2018 r. we wszystkich krajach Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych nr 2016/679 (RODO).

RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. Pozwoli ono m.in. spójnie monitorować przetwarzanie danych osobowych.

Kto będzie musiał prowadzić rejestr czynności przetwarzania danych osobowych, a kto nie?

Przede wszystkim artykuł 30 RODO normuje rejestrowanie czynności przetwarzania. Wskazuje on m.in., że każdy administrator oraz - gdy ma to zastosowanie - przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. 

Rejestr czynności zastąpi obowiązek zgłaszania zbiorów danych do organu nadzorczego (obecnie GIODO). Dyrektywa 95/46/WE przewidywała ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych. Obowiązek ten powodował jednak obciążenia administracyjne i finansowe oraz nie zawsze przyczyniał się do poprawy ochrony danych osobowych. Dlatego nowe rozporządzenie znosi te powszechne, ogólne obowiązki zawiadamiania i zastępuje je skutecznymi procedurami i mechanizmami koncentrującymi się w zamian na tych rodzajach operacji przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Takie rodzaje operacji przetwarzania obejmują w szczególności operacje, które wiążą się w szczególności z użyciem nowych technologii bądź które są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych lub stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania. 

Dla zachowania zgodności z RODO, administrator lub podmiot przetwarzający powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. Każdy administrator i każdy podmiot przetwarzający mają też obowiązek współpracować z organem nadzorczym i na jego żądanie udostępniać mu te rejestry w celu monitorowania tych operacji przetwarzania. Według nowych przepisów, administrator lub podmiot przetwarzający oraz - gdy ma to zastosowanie - przedstawiciel administratora lub podmiotu przetwarzającego udostępniać mają rejestr na żądanie organu nadzorczego.

Jak wspomniano, obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych dotyczy administratora danych oraz podmiotu przetwarzającego dane. Rejestr będzie więc sporządzany wewnątrz przedsiębiorstwa albo innej instytucji prywatnej albo publicznej, a dokumentacja z rejestru pozwoli rozliczać się przed organem nadzoru w przypadku kontroli. 

Rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych, przy czym niektóre z tych procesów występujących w typowych organizacjach mogą być zwolnione z prowadzenia rejestru. Zgodnie z preambułą RODO, zachęca się też instytucje i organy Unii, państwa członkowskie i ich organy nadzorcze, by stosując to rozporządzenie, uwzględniały szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw omawiane rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników. Obowiązki prowadzenia rejestru nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują:
  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, 
  • nie ma charakteru sporadycznego lub 
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 (zgodnie z którym, zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby), lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Przykład:

A zatem przedsiębiorcy zatrudniający poniżej 250 osób muszą prowadzić rejestr przetwarzania kadrowych danych osobowych bądź danych związanych z zarządzaniem klientami, gdyż w tych przypadkach przetwarzanie nie ma charakteru sporadycznego oraz obejmuje szczególne kategorie danych osobowych.

Rejestr czynności musi być też prowadzony w przedsiębiorstwach zatrudniających mniej niż 250 osób, gdy przetwarzanie może naruszać prawa lub wolności osób, których dane są przetwarzane, np. może poskutkować dyskryminacją, kradzieżą tożsamości bądź oszustwem dotyczącym tożsamości, albo gdy przetwarzanie obejmuje szczególne kategorie danych takie jak dane biometryczne. 

Z kolei przedsiębiorca zatrudniający mniej niż 250 osób, który będzie jednorazowo przetwarzał dane osobowe, nieobejmujące szczególnych kategorii danych, przykładowo dla urządzenia imprezy promocyjnej, będzie w odniesieniu do takiego procesu przetwarzania danych zwolniony z obowiązku prowadzenia rejestru.

Co musi zawierać rejestr czynności przetwarzania danych osobowych?

Rejestr jest dokumentacją związaną z przetwarzaniem danych osobowych. Stanowi on element dokumentacji ochrony danych.

W rejestrze powinny być zapisane wszystkie czynności związane z przetwarzaniem danych osobowych. „Czynności związane z przetwarzaniem danych” nie są tym samym co „operacje przetwarzania” (operacje przetwarzania, tj. m.in. zbieranie, porządkowanie, usuwanie danych osobowych zdefiniowane są w słowniczku w art. 4 pkt 2 RODO; wg tego przepisu, "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie).

Posługiwanie się kategorią czynności przetwarzania wymaga szerokiego spojrzenia na przetwarzane dane osobowe w organizacji, przykładowo poprzez kategorie podmiotów danych, których dane przetwarzamy, albo celów, dla których je przetwarzamy. Kształtując rejestr na podstawie kategorii podmiotów danych, można wyróżnić np. pracowników i klientów.

Następnym krokiem jest określenie czynności przetwarzania danych w danej kategorii. W kategorii pracowników mogą to być czynności przetwarzania dotyczące m.in.: zatrudniania, wypłaty wynagrodzenia, organizacji wyjazdów służbowych, ubezpieczenia społecznego, ubezpieczenia chorobowego. Każdej kategorii czynności powinny być przypisane operacje przetwarzania.

Ponadto w rejestrze powinien zostać zamieszczony szereg innych informacji. Te informacje, które muszą zostać zamieszczone w rejestrze prowadzonym odpowiednio przez administratora danych i przetwarzającego, określone zostały w art. 30 RODO. Wskazuje on m.in., jakie informacje musi odnotowywać w rejestrze administrator danych, a jakie - podmiot przetwarzający.

I tak, w rejestrze czynności przetwarzania danych osobowych, za które odpowiadają administrator oraz przedstawiciel administratora, zamieszcza się wszystkie następujące informacje:

 a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;

 b) cele przetwarzania;

 c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

 d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

 e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

 f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

 g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Każdy podmiot przetwarzający oraz - gdy ma to zastosowanie - przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

 a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

 b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

 c) gdy ma to zastosowanie - przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

 d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

W jakiej formie należy prowadzić rejestr?

Rejestry powyższe mają mieć formę pisemną, w tym formę elektroniczną.

To, w jakiej dokładnie formie rejestr będzie prowadzony, jest sprawą indywidualną organizacji – może to być dowolny typ pliku w wybranym programie komputerowym. W tym względzie RODO nie narzuca konkretnych rozwiązań, jedynie wskazuje kryteria, jakie każdy rejestr musi wypełniać. Ważne jest to, żeby rejestr czynności był na bieżąco aktualizowany, a jego zawartość odpowiednio chroniona przed nieuprawnionymi osobami.

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dz.Urz. UE L z 2016 r., nr 119, s. 1) - preambuła: motywy 13, 82 i 89, art. 4 pkt 1 i 2, art. 30.

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

  • Krzysiek 2020-03-30 01:29:56

    ?Trzeba będzie rejestrować czynności przetwarzania!? Taki komunikat coraz częściej dociera do zobowiązanych do zastosowania i następnie stosowania Rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych - RODO. Czyli co trzeba będzie rejestrować? No, ?czynności przetwarzania? ? czyli, co ? każdą aktywność (czynność, działanie) w związku z przetwarzaniem danych osobowych? Bzdura ? i to bez czytania tymczasem treści Artykułu 30. Wydaje się być dość wystarczająco oczywiste, że gdyby wymagać zapisywania (rejestrowania, rozpisania, ewidencjowania, katalogowania) każdej operacji (aktywności, czynności, działania) na danych osobowych, to pewnie w zdecydowanej większości wyobrażanych przypadków dochodzi do przekroczenia granic absurdu.

  • Jest tu ktoś mądr 2020-03-17 23:17:37

    Czyli co musze prowadzić czy nie to rodo? A zatrudniam kilku pracownikow w firmie produkcyjnej bez sklepu internetowego.


Potrzebujesz pomocy prawnej?

Zapytaj prawnika