Rejestrowanie czynności przetwarzania – jak to robić zgodnie z RODO

Autor: Marcin Sierpień

Dodano: 21 maja 2018
Rejestrowanie czynności przetwarzania – jak to robić zgodnie z RODO

Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) rejestr czynności przetwarzania powinien prowadzić administrator a rejestr kategorii czynności przetwarzania podmiot przetwarzający. Dowiedz się, jak realizować ten obowiązek zgodnie z RODO.

Obowiązek prowadzenia rejestru czynności przetwarzania i kategorii czynności przetwarzania ma każdy podmiot zatrudniający co najmniej 250 osób. RODO zwalnia z obowiązku prowadzenia tych rejestrów wszystkie podmioty, które zatrudniają mniej niż 250 osób, pod warunkiem że przetwarzanie, którego dokonują:

  • nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • ma charakter sporadyczny,
  • nie obejmuje szczególnych kategorii danych osobowych, tj. danych wrażliwych wymienionych w art. 9 ust. 1 RODO, lub
  • nie obejmuje danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.

Warunki te dotyczą dwóch nieostrych kategorii, tj. wysokiego ryzyka dla praw lub wolności oraz sporadyczności przetwarzania. Ryzyko naruszenia praw lub wolności osób, których dane dotyczą, powinno być przez administratora danych oceniane indywidualnie.

PRZYKŁAD

Oceniając ryzyko wycieku przetwarzanych danych osobowych, trzeba do każdego przypadku podejść indywidualnie. Czym innym jest wyciek danych użytkowników portalu randkowego, a czym innym wyciek danych kontaktowych osób zapisanych na biznesowy newsletter.  W pierwszym przypadku osoby, których dane wyciekły, mogą być narażone na szykany i nieprzyjemności natury społecznej (czyli na naruszenie ich praw lub wolności), natomiast w drugim przypadku to, że osoby trzecie dowiedzą się o tym, kto jest zainteresowany treścią newslettera, nie wpłynie co do zasady na prawa i wolności poszkodowanych.

Większy problem stanowi natomiast rozdzielenie przetwarzania o charakterze sporadycznym i przetwarzania niesporadycznego.

Motyw 13 RODO wskazuje, że „z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników”. Z tego zapisu wynika, że prawodawca chciał, co do zasady, odciążyć mniejsze podmioty z obowiązku prowadzenia rejestru. Zapomniał jednak o wprowadzeniu definicji sporadyczności lub, co bardziej prawdopodobne, pozostawił to indywidualnej ocenie. Według słownika języka polskiego termin „sporadyczny” oznacza tyle, co „występujący rzadko” czy też „występujący nieregularnie”. W praktyce ciężko zatem takie niesporadyczne przetwarzanie wskazać.

PRZYKŁAD

Trudno mówić o niesporadycznym przetwarzaniu danych w przypadku np. prowadzenia bazy danych klientów przez mikroprzedsiębiorstwo. Nawet jeżeli taka baza jest uzupełniana rzadko (np. średnio 1–2 razy w miesiącu), to będziemy mieli wówczas do czynienia z pewną regularnością, tj. uzupełnianiem jej ilekroć nawiązana zostanie współpraca z nowym klientem. Czym innym może być sytuacja, w której samozatrudniony przedsiębiorca opiera swoją współpracę o jednego zleceniodawcę.   

Termin „sporadyczność” zostanie najprawdopodobniej doprecyzowany w toku stosowania ogólnego rozporządzenia o ochronie danych. Niemniej jednak z zapisów RODO wynika, że większość podmiotów zatrudniających poniżej 250 osób również będzie musiała prowadzić rejestr czynności przetwarzania lub rejestr kategorii czynności przetwarzania z uwagi na to, że dokonują przetwarzania w sposób inny niż sporadyczny.   

Rejestr czynności przetwarzania (dla administratorów i ich przedstawicieli)

Rejestr kategorii czynności przetwarzania (dla procesorów i ich przedstawicieli)

  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora (oraz ewentualnie przedstawiciela lub inspektora ochrony danych),
  • cele przetwarzania,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  • kategorie odbiorców, którym dane osobowe zostały (lub zostaną) ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
  • informacja o przekazaniu oraz nazwa państwa lub organizacji międzynarodowej – w przypadku przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi ogólnego rozporządzenia (tj. przekazań do państw trzecich dopuszczalnych przepisami), również dokumentacja odpowiednich zabezpieczeń,
  • planowane terminy usunięcia poszczególnych kategorii danych – jeżeli jest to możliwe,
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 ogólnego rozporządzenia (np. informacja o szyfrowaniu danych) – jeżeli jest to możliwe.

 

  • imię i nazwisko lub nazwa oraz dane kontaktowe:
    • procesora/procesorów,
    • każdego administratora, w imieniu którego procesor działa,
    • gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz
    • gdy ma to zastosowanie –  inspektora ochrony danych;
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  • informacja o przekazaniu oraz nazwa państwa lub organizacji międzynarodowej – w przypadku przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi ogólnego rozporządzenia (tj. przekazań do państw trzecich dopuszczalnych przepisami) – dokumentacja odpowiednich zabezpieczeń;
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 ogólnego rozporządzenia (np. informacja o szyfrowaniu danych) – jeżeli jest to możliwe.
Ważne:

Oba rejestry powinny mieć formę pisemną. Może być to forma zarówno papierowa, jak i elektroniczna (w dowolnym systemie/formacie). Rejestry powinny być udostępniane na każde żądanie Prezesa Urzędu ochrony Danych Osobowych.

Rejestrowanie czynności przetwarzania w praktyce

Punktem wyjścia przy spełnianiu obowiązku rejestrowania czynności przetwarzania jest zdefiniowanie samego pojęcia tych czynności. Zgodnie ze wskazówkami GIODO „czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane”.

PRZYKŁAD

A. Przy rekrutacji pracowników jeden cel będzie obejmował wiele cząstkowych operacji niewymagających szczegółowego opisywania w rejestrze, takich jak:

  • pozyskiwanie informacji o kandydatach z ofert nadesłanych w wyniku ogłoszenia,
  • dokonywanie selekcji tych ofert,
  • uzyskiwanie dodatkowych informacji w ramach wywiadów prowadzonych z wybranymi osobami,
  • usunięcie danych osób, które nie zostały wskazane do zatrudnienia.

Nie ma w tym wypadku konieczności opisywania osobno każdej z tych operacji wykonywanej na danych w procesie określonym zbiorczo „rekrutacja pracowników”, gdyż nie jest to konieczne do scharakteryzowania przetwarzania zgodnie z kryteriami wskazanymi w ogólnym rozporządzeniu.

B. Analogicznie, przy obsłudze umów sprzedaży, jako czynność przetwarzania wpisujemy „obsługa umów sprzedaży”, nie dzieląc procesu na inne kategorie, takie jak np. „rejestrowanie danych klienta” czy też „wystawienie faktury”.

Przy wyodrębnianiu poszczególnych czynności przetwarzania warto uwzględnić rzeczywisty podział zadań pomiędzy poszczególne komórki organizacyjne lub osoby w danej jednostce (np. na dział kadr przechowujący zwolnienia lekarskie i dane dotyczące dzieci pracowników oraz dział księgowy zajmujący się wypłatą wynagrodzeń). Nie ma oczywiście przeszkód, aby w mniejszych podmiotach wyodrębniać jedną kategorię pracowniczą, np. „Prowadzenie ewidencji pracowników i rozliczeń z pracownikami”.

Kolejną kategorią wymagającą wyjaśnienia są „odbiorcy danych”. Jak wskazuje GIODO, „podmiotami objętymi definicją odbiorcy będą podmioty przetwarzające, natomiast nie będą nimi inne podmioty działające z upoważnienia administratora, w jego imieniu i na jego polecenie wewnątrz struktury organizacyjnej”. Oznacza to, że jako odbiorcę wpiszemy np. „Firma księgowa X” zamiast „Pani A., główny specjalista w Firmie Księgowej X”.

Z kolei rozumienie pojęcia kategorii czynności przetwarzania jest szczególnie istotne dla procesorów. Należy je definiować jako rodzaj usługi związanej ze zleconymi czynnościami przetwarzania, która jest realizowana przez procesora na zlecenie administratora.

PRZYKŁAD

Kategorie czynności przetwarzania:

1) przechowywanie danych klienta (administratora) poprzez udostępnienie mu określonej przestrzeni dyskowej w infrastrukturze przetwarzającego na przechowywanie danych (klient sam zarządza i decyduje o tym, jakie dane tam przechowuje),

2) udostępnienie klientowi (administratorowi) określonej platformy programistycznej (np. serwera WWW wraz z odpowiednim oprogramowaniem do prowadzenia własnej strony internetowej),

3) przechowywanie dokumentacji podatkowej, księgowej, kadrowej i medycznej,

4) prowadzenie dokumentacji podatkowej, księgowej, kadrowej i medycznej.

W przypadku rejestru kategorii czynności przetwarzania poszczególne wpisy w tym rejestrze powinny być uporządkowane według kategorii przetwarzania.

W tym miejscu warto również wspomnieć o tym, jak ma wyglądać ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. W tej kwestii GIODO podał konkretne wskazówki. Otóż w każdym przypadku opis taki ma umożliwiać administratorowi, procesorowi oraz organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych) wstępną ocenę zastosowanych środków w odniesieniu do poszczególnych czynności i kategorii czynności zamieszczonych w rejestrze.

PRZYKŁAD

Opis środków bezpieczeństwa:

„Do kontroli dostępu do danych przetwarzanych w systemie informatycznym zastosowano kontrolę dostępu bazującą na wydawanych kartach z certyfikatami dostępu oraz przekazanych ich użytkownikom kodach PIN”.

Prowadzenie rejestrów – praktyczne wskazówki

Wzory poszczególnych rejestrów wraz z przykładami przygotowane przez Generalnego Inspektora Ochrony Danych Osobowych pobierzesz ze strony odo.wip.pl, zakładka wzory dokumentów. Można je modyfikować. Niemniej jednak, z praktycznego punktu widzenia, rejestr powinien być tak skonstruowany, aby:

  • informacje o nazwie administratora danych, jego danych kontaktowych, nazwie przedstawiciela i jego danych kontaktowych, a także nazwisku i danych kontaktowych inspektora ochrony danych były umieszczone jednorazowo, np. na stronie tytułowej rejestru (nie trzeba będzie ich wówczas powtarzać dla każdej czynności),
  • przy każdym wpisie w rejestrze czynności na pierwszej pozycji umieszczona była nazwa lub opis czynności przetwarzania, a dopiero następnie pozostałe informacje o danej czynności wymagane przepisami.

Z kolei w przypadku rejestru kategorii przetwarzania, obok wydzielenia strony z danymi procesora na podobnych zasadach jak opisane wcześniej, warto dla każdego wpisu w rejestrze na pierwszej pozycji umieścić nazwę danej „kategorii czynności przetwarzania” (rodzaj usługi) jako wartości pozwalającej pogrupować wszystkie wpisy, a następnie umieścić:

  • nazwę i dane kontaktowe administratora danych, dla którego dana usługa jest wykonywana,
  • nazwę i dane kontaktowe, przedstawiciela administratora – jeśli dotyczy oraz
  • nazwisko i dane kontaktowe wyznaczonego przez niego inspektora ochrony danych.

W kolejnych pozycjach należy zamieścić pozostałe informacje wymagane wskazanymi przepisami. 

Nie ma również przeszkód, aby w kolejnych pozycjach rejestru znalazły się inne informacje, które z przyczyn porządkowych uznamy za zasadne, takie jak np. wskazanie podstawy prawnej przetwarzania, dane kontaktowe procesorów czy też wskazanie źródła pozyskania danych.

Ważne:

Rejestry czynności przetwarzania danych osobowych i kategorii czynności przetwarzania danych osobowych, z uwagi na swoją zawartość, mogą stanowić również podstawę monitorowania zgodności przetwarzania danych z prawem przez inspektorów ochrony danych.

Autor: Marcin Sierpień

specjalista w zakresie ochrony danych osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel