Jak tworzyć rejestr czynności przetwarzania

19.06.2018

Od daty, którą zapamiętała większość obywateli Europy, tj. od dnia 25 maja 2018 r. obowiązuje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli tzw. RODO. Rozporządzenie to nałożyło na podmioty przetwarzające dane osobowe (administratora lub przedstawiciela administratora) m.in. obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych.

Rejestrowanie czynności przetwarzania zostało uregulowane w art. 30 RODO. Należy podkreślić, że przedmiotowa norma prawna wyróżnia dwa rodzaje rejestrów:
1) Rejestr czynności przetwarzania danych osobowych – jest on prowadzony przez każdego administratora lub jego przedstawiciela.
2) Rejestr wszystkich kategorii czynności przetwarzania – ten rejestr są zobowiązani prowadzić podmioty przetwarzające lub przedstawiciele podmiotu przetwarzającego.

Przez czynności przetwarzania rozumie się zaś „zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane”1.

W tym miejscu należy także podnieść, że nie są zobowiązani do prowadzenia ww. rejestru przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że:
1. przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
2. nie ma charakteru sporadycznego lub
3. obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO,
4. lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Z uwagi na fakt, że brak obowiązku prowadzenia rejestru czynności przetwarzania danych jest wyjątkiem od zasady, należy go interpretować w sposób ścisły i zastanowić się czy przetwarzanie danych u danego administratora, aby na pewno ma charakter sporadyczny. Należy również mieć na uwadze stanowisko z dnia 14 maja 2018 r. Grupy Roboczej Art. 29 (obecnie Europejska Rada Ochrony Danych – EROD). Postanowiła ona bowiem, że przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą co do zasady zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania. Obowiązek ten trzeba będzie realizować, gdy przetwarzanie:
a) może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
b) nie ma charakteru sporadycznego,
c) obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Każda z ww. przesłanek ma charakter samodzielny. Z tym, że należy mieć na uwadze, że wówczas rejestr czynności przetwarzania trzeba będzie prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania. EROD (dawniej Grupa Robocza Art. 29) podała jako przykład przypadek małej organizacji, a więc podmiotu, który zatrudnia mniej niż 250 osób, ale najprawdopodobniej przetwarza systematycznie przetwarza chociażby dane dotyczące swoich pracowników. Wówczas taki podmiot – przynajmniej w odniesieniu do ww. czynności przetwarzania danych osobowych nie korzysta ze zwolnienia.

RODO określa jakie czynności muszą zostać zamieszczone w ww. rejestrach. I tak w przypadku, rejestru, o którym mowa w pkt 1) powyżej, tj. rejestru czynności przetwarzania danych muszą się w nim znaleźć następujące informacje:
1. imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
2. cele przetwarzania;
3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Informacyjnie wypada podnieść, że RODO w art. 30 ust. 2 określa również jakie informacje muszą zostać zamieszczone w rejestrze wszystkich kategorii czynności przetwarzania prowadzonym przez podmiot przetwarzający.

Tyle w teorii. Pojawia się jednak zasadne pytanie jak taki rejestr stworzyć i prowadzić w praktyce.

RODO wskazuje, że omawiany rejestr ma formę pisemną, w tym formę elektroniczną. W związku z tym, należy uznać, że prowadzenie rejestru omawianych czynności w formie elektronicznej jest wystarczające. Nie trzeba obok formy elektronicznej prowadzić ww. rejestru w wersji papierowej, podpisywać jej, gdyż forma elektroniczna jest formą pisemną. W praktyce rejestr ten najczęściej przybrać może kształt zestawienia, tabeli, dokumentu excel. RODO nie narzuca żadnego wiążącego wzoru, nie wskazuje jak taki rejestr ma wyglądać. Administrator musi pamiętać o jednej z podstawowych zasad RODO, tj. zasadzie rozliczalności, która wiedzie prym w nowym podejściu do ochrony danych osobowych, tj. nie daje narzędzi, ale wyznacza cele. Narzędzia każdy z podmiotów jest zobowiązany dostosować indywidualnie do swoich potrzeb. Administrator będzie zaś rozliczany przez organy kontroli z tego czy rejestr zawiera wszystkie wymagane obligatoryjnie przez art. 30 ust. 1 RODO elementy oraz czy jest on prowadzony w sposób czytelny i przejrzysty. W przypadku podmiotów o złożonej strukturze organizacyjnej należy również wziąć pod uwagę zadania jakie realizują poszczególne piony organizacyjne u danego administratora danych.

Należy pamiętać również o tym, że rejestr musi także zostać udostępniony na żądanie organu nadzoru.

Niezmiernie ważny jest fakt, że rejestr ten ma charakter abstrakcyjny, a więc wskazuje się w nim generalne czynności związane z przetwarzaniem danych, tj. kogo dotyczą czynności przetwarzania danych np. klienci, kontrahenci, pracownicy, jakie kategorie danych osobowych są przetwarzanie np. imię i nazwisko, adres, Pesel, jakim kategorią odbiorców zostaną ujawnione dane osobowe osób, których jestem administratorów np. firma pocztowa, planowane terminy usunięcia itp.

W związku z tym do rejestru czynności przetwarzania danych osobowych nie przepisujemy danych osobowych, jedynie zamieszczamy w nim wymagane przez RODO informacje o każdym ze zbiorów danych osobowych, który istnieje w danym podmiocie.

Prezes Urzędu Ochrony Danych Osobowych (wcześniej Generalny Inspektor Ochrony Danych Osobowych) podnosi, że nie ma konieczności wpisywania cząstkowych informacji w ramach procesu czynności przetwarzania, a wystarczy samo wskazanie czynności przetwarzania. Innymi słowy wystarczy wskazać samą czynność przetwarzania jaką jest np. „obsługa umów sprzedaży” bez konieczności opisywania poszczególnych czynności składających się na tą czynność takich jak np. rejestrowanie danych nabywcy, wystawienie faktury, wydanie klientowi oryginału faktury, przechowywanie kopii faktury w systemie sprzedaży, zapis danych z faktury w rejestrze VAT, generowanie pliku JPK-VAT, wysłanie do urzędu skarbowego2.

Najwygodniej, aby rejestr ten przybrał formę tabeli, w której będziemy wskazywali informacje wymagane przez art. 30 ust. 1 RODO. Dane wymagane przez przytoczony artykuł muszą się znaleźć w omawianym rejestrze. Jednocześnie nie ma żadnych przeciwskazań, aby zamieścić w nim również inne informacje, które administrator uzna za zasadne bądź też przez niego pożądane np. w zakresie wskazania podstawy prawnej przetwarzania, wskazania źródła pozyskania danych, wskazanie użytego do przetwarzania systemu informatycznego itp.

Należy również pamiętać, aby na stronie tytułowej rejestru czynności przetwarzania danych osobowych jednorazowo zamieścić takie dane jak: informacje o administratorze danych, nazwie przedstawiciela i jego danych kontaktowych, nazwisku i danych kontaktowych inspektora ochrony danych osobowych

Tabela ta może wyglądać następująco – przykładowo w odniesieniu do przetwarzania danych osobowych pracowników, tym bardziej w sytuacji, gdy EROD podniósł, że przetwarzanie tych danych nie ma charakteru sporadycznego, a tym samym dotyczy większości administratorów danych3:
Czynność przetwarzania danych, a Rejestr pracowników
* Cel przetwarzania (art. 30 ust. 1 lit. b) RODO) – prowadzenie ewidencji pracowników zgodnie z wymaganiami Kodeksu Pracy;
* Kategorie osób (art. 30 ust. 1 lit. c) RODO) – pracownicy, osoby zatrudnione na innej podstawie niż umowa o pracę, współpracownicy;
* Kategorie danych (art. 30 ust. 1 lit. c) RODO) – dane identyfikacyjne, dane teleadresowe, dane o wykształceniu, przebiegu pracy, absencji, obowiązkach, wynagrodzeniu, karach, nagrodach, inne wymagane przepisami Kodeksu pracy;
* Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione (art. 30 ust. 1 lit. d) RODO) – ZUS, firmy ubezpieczeniowe w przypadku osób posiadających polisy;
* Nazwa podmiotu przetwarzającego i kategorie odbiorców (art. 30 ust. 1 lit. d) RODO) – nie dotyczy;
* Transfer do kraju trzeciego lub organizacji międzynarodowej (art. 30 ust. 1 lit. e) RODO) – nie dotyczy;
* Planowany termin usunięcia poszczególnych kategorii danych (art. 30 ust. 1 lit. f) RODO) – 50 lat [art. 51u ust. 1 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (t.j. Dz. U. z 2018 r. poz. 217)];
* Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (art. 30 ust. 1 lit. g) RODO) – zamykane szafy w zamykanych pomieszczeniach dostępnych tylko dla uprawnionych osób. Kontrola dostępu do systemu informatycznego, dostęp tylko dla upoważnionych osób, oprogramowanie zabezpieczające typu firewall, system antywirusowy, system wykrywania włamań.

Wobec tego, każdy podmiot przetwarzający dane osobowe, powinien dokonać niezbędnego audytu, poprzez który udzieli sobie odpowiedzi na pytanie po pierwsze czy jest podmiotem zobowiązanym do prowadzenia rejestru czynności przetwarzania danych osobowych, a po drugie jakich czynności przetwarzania dokonuje. Ponadto, należy pamiętać, że nie wystarczy stworzyć raz rejestr czynności przetwarzania danych osobowych i odłożyć go na przysłowiową półkę. Rejestr ten musi bowiem być przeglądany, aktualizowany oraz dostosowywany do warunków i potrzeb danego administratora.

Generalny Inspektor Ochrony Danych Osobowych (obecnie Prezes Urzędu Ochrony Danych Osobowych) opublikował „Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO” dostępne na stronie internetowej Urzędu Ochrony Danych Osobowych (www.uodo.gov.pl), które w początkowym okresie obowiązywania RODO dopóki nie wykształci się praktyka kontroli Prezesa Urzędu Ochrony Danych Osobowych, jak również orzecznicza wyznaczają podstawowy kierunek interpretacyjny.

Na zakończenie należy podkreślić, iż nie wolno zapominać, że za naruszenie przepisów dotyczących prowadzenia rejestru czynności przetwarzania administrator może podlegać pod administracyjną karę pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

 

1 „Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO”, www.uodo.gov.pl
2 „Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO”, www.uodo.gov.pl
3 Rejestr czynności przetwarzania opublikowany na stronie www.uodo.gov.pl