Rejestrowanie czynności przetwarzania – jak to robić zgodnie z RODO

Obowiązek prowadzenia rejestru czynności przetwarzania i kategorii czynności przetwarzania ma każdy podmiot zatrudniający co najmniej 250 osób. RODO zwalnia z obowiązku prowadzenia tych rejestrów wszystkie podmioty, które zatrudniają mniej niż 250 osób, pod warunkiem że przetwarzanie, którego dokonują:

• nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
• ma charakter sporadyczny,
• nie obejmuje szczególnych kategorii danych osobowych, tj. danych wrażliwych wymienionych w art. 9 ust. 1 RODO, lub
• nie obejmuje danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.

Warunki te dotyczą dwóch nieostrych kategorii, tj. wysokiego ryzyka dla praw lub wolności oraz sporadyczności przetwarzania. Ryzyko naruszenia praw lub wolności osób, których dane dotyczą, powinno być przez administratora danych oceniane indywidualnie.

Większy problem stanowi natomiast rozdzielenie przetwarzania o charakterze sporadycznym i przetwarzania niesporadycznego.

Motyw 13 RODO wskazuje, że „z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników”. Z tego zapisu wynika, że prawodawca chciał, co do zasady, odciążyć mniejsze podmioty z obowiązku prowadzenia rejestru. Zapomniał jednak o wprowadzeniu definicji sporadyczności lub, co bardziej prawdopodobne, pozostawił to indywidualnej ocenie. Według słownika języka polskiego termin „sporadyczny” oznacza tyle, co „występujący rzadko” czy też „występujący nieregularnie”. W praktyce ciężko zatem takie niesporadyczne przetwarzanie wskazać.

Termin „sporadyczność” zostanie najprawdopodobniej doprecyzowany w toku stosowania ogólnego rozporządzenia o ochronie danych. Niemniej jednak z zapisów RODO wynika, że większość podmiotów zatrudniających poniżej 250 osób również będzie musiała prowadzić rejestr czynności przetwarzania lub rejestr kategorii czynności przetwarzania z uwagi na to, że dokonują przetwarzania w sposób inny niż sporadyczny.   

Punktem wyjścia przy spełnianiu obowiązku rejestrowania czynności przetwarzania jest zdefiniowanie samego pojęcia tych czynności. Zgodnie ze wskazówkami GIODO „czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane”.

Przy wyodrębnianiu poszczególnych czynności przetwarzania warto uwzględnić rzeczywisty podział zadań pomiędzy poszczególne komórki organizacyjne lub osoby w danej jednostce (np. na dział kadr przechowujący zwolnienia lekarskie i dane dotyczące dzieci pracowników oraz dział księgowy zajmujący się wypłatą wynagrodzeń). Nie ma oczywiście przeszkód, aby w mniejszych podmiotach wyodrębniać jedną kategorię pracowniczą, np. „Prowadzenie ewidencji pracowników i rozliczeń z pracownikami”.

Kolejną kategorią wymagającą wyjaśnienia są „odbiorcy danych”. Jak wskazuje GIODO, „podmiotami objętymi definicją odbiorcy będą podmioty przetwarzające, natomiast nie będą nimi inne podmioty działające z upoważnienia administratora, w jego imieniu i na jego polecenie wewnątrz struktury organizacyjnej”. Oznacza to, że jako odbiorcę wpiszemy np. „Firma księgowa X” zamiast „Pani A., główny specjalista w Firmie Księgowej X”.

Z kolei rozumienie pojęcia kategorii czynności przetwarzania jest szczególnie istotne dla procesorów. Należy je definiować jako rodzaj usługi związanej ze zleconymi czynnościami przetwarzania, która jest realizowana przez procesora na zlecenie administratora.

W przypadku rejestru kategorii czynności przetwarzania poszczególne wpisy w tym rejestrze powinny być uporządkowane według kategorii przetwarzania.

W tym miejscu warto również wspomnieć o tym, jak ma wyglądać ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. W tej kwestii GIODO podał konkretne wskazówki. Otóż w każdym przypadku opis taki ma umożliwiać administratorowi, procesorowi oraz organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych) wstępną ocenę zastosowanych środków w odniesieniu do poszczególnych czynności i kategorii czynności zamieszczonych w rejestrze.

Wzory poszczególnych rejestrów wraz z przykładami przygotowane przez Generalnego Inspektora Ochrony Danych Osobowych pobierzesz ze strony odo.wip.pl, zakładka wzory dokumentów. Można je modyfikować. Niemniej jednak, z praktycznego punktu widzenia, rejestr powinien być tak skonstruowany, aby:

• informacje o nazwie administratora danych, jego danych kontaktowych, nazwie przedstawiciela i jego danych kontaktowych, a także nazwisku i danych kontaktowych inspektora ochrony danych były umieszczone jednorazowo, np. na stronie tytułowej rejestru (nie trzeba będzie ich wówczas powtarzać dla każdej czynności),
• przy każdym wpisie w rejestrze czynności na pierwszej pozycji umieszczona była nazwa lub opis czynności przetwarzania, a dopiero następnie pozostałe informacje o danej czynności wymagane przepisami.

Z kolei w przypadku rejestru kategorii przetwarzania, obok wydzielenia strony z danymi procesora na podobnych zasadach jak opisane wcześniej, warto dla każdego wpisu w rejestrze na pierwszej pozycji umieścić nazwę danej „kategorii czynności przetwarzania” (rodzaj usługi) jako wartości pozwalającej pogrupować wszystkie wpisy, a następnie umieścić:

• nazwę i dane kontaktowe administratora danych, dla którego dana usługa jest wykonywana,
• nazwę i dane kontaktowe, przedstawiciela administratora – jeśli dotyczy oraz
• nazwisko i dane kontaktowe wyznaczonego przez niego inspektora ochrony danych.

W kolejnych pozycjach należy zamieścić pozostałe informacje wymagane wskazanymi przepisami. 

Nie ma również przeszkód, aby w kolejnych pozycjach rejestru znalazły się inne informacje, które z przyczyn porządkowych uznamy za zasadne, takie jak np. wskazanie podstawy prawnej przetwarzania, dane kontaktowe procesorów czy też wskazanie źródła pozyskania danych.