Jawny rejestr zbiorów danych – czy zgodnie z ogólnym rozporządzeniem też trzeba będzie go prowadzić

Ogólne rozporządzenie o ochronie danych wskazuje, że aby spełnić wymogi, które z niego wynikają, konieczne jest wdrożenie przez administratorów danych odpowiednich środków służących ochronie danych. Rozporządzenie wymaga zatem aktywnej postawy administratorów danych i zobowiązuje ich do:

1) uwzględniania ochrony danych w fazie projektowania (privacy by design),

2) domyślnej ochrony danych (privacy by default),

3) oceny skutków przetwarzania dla ochrony danych osobowych,

4) prowadzenia konsultacji z organem nadzorczym,

5) rejestrowania czynności przetwarzania.

Administrator danych musi projektować swoje usługi bądź produkty w taki sposób, aby potrzeba wykorzystania danych osobowych była jak najmniejsza (zasada privacy by default). Musi także uwzględniać ochronę danych już na etapie projektowania swoich usług bądź produktów (zasada privacy by design).

Jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia ochrony danych osobowych, ADO powinien jeszcze przed rozpoczęciem przetwarzania przeprowadzić ocenę skutków przetwarzania dla ochrony danych osobowych. Może być również zobowiązany do skonsultowania się z organem nadzorczym, jeśli w wyniku przeprowadzonej oceny ustali, że planowane przetwarzanie danych wiąże się z wysokim ryzykiem.

Administrator danych może być też zobowiązany do prowadzenia rejestru czynności przetwarzania danych, w którym muszą znaleźć się informacje m.in. o kategorii danych osobowych i celach przetwarzania.

Gdy planowane przetwarzanie danych będzie się wiązać z dużym ryzykiem i koniecznością podjęcia środków w celu jego zminimalizowania, ADO będzie musiał przeprowadzić konsultacje z krajowym organem nadzorczym. Konsultacje te będą prowadzone przed rozpoczęciem przetwarzania danych.

Jeżeli organ nadzorczy uzna, że planowane operacje przetwarzania danych stanowiłyby naruszenie postanowień rozporządzenia, wówczas udzieli administratorowi w terminie do ośmiu tygodni pisemnego zalecenia. Może także skorzystać z dowolnego ze swych uprawnień określonych w rozporządzeniu, np. wydać ostrzeżenie dotyczące możliwości naruszenia przepisów rozporządzenia poprzez planowane operacje przetwarzania. Zatem, zamiast rejestrować zbiory danych osobowych, administrator będzie musiał stworzyć dokumentację obrazującą przeprowadzenie oceny ryzyka przetwarzania danych i potrzebną dla ewentualnego prowadzenia konsultacji z krajowym organem nadzorczym.

Administrator nie będzie musiał samodzielnie wykonywać obowiązków, które nakłada na niego unijne rozporządzenie. Będzie mógł powołać inspektora ochrony danych osobowych, a w przypadkach określonych w rozporządzeniu będzie miał wręcz taki obowiązek. Inspektor ochrony danych będzie służył administratorowi wsparciem m.in. w przygotowaniu dokumentacji związanej z oceną ryzyka planowanych operacji przetwarzania danych osobowych oraz w prowadzeniu rejestru czynności przetwarzania danych.

Z chwilą, gdy ogólne rozporządzenie zacznie obowiązywać, administrator będzie zwolniony z obowiązku rejestrowania zbiorów danych osobowych u GIODO niezależnie od tego, jakie dane te zbiory mają zawierać. Nie będzie także musiał prowadzić wewnętrznego rejestru zbiorów danych osobowych w takim kształcie, jaki wymagają tego obecnie obowiązujące polskie przepisy. Zamiast tego będzie zobowiązany do prowadzenia rejestru czynności przetwarzania danych (jeśli zatrudnia 250 osób lub więcej albo zatrudnia mniej niż 250 osób, jednak przetwarza dane o określonym charakterze i w określony sposób).

Ogólne rozporządzenie wymaga, aby rejestr czynności przetwarzania danych osobowych zawierał określone informacje. Ustala przy tym sposób prowadzenia rejestru, wskazując, że ma on mieć formę pisemną. Jako formę pisemną rozporządzenie nakazuje traktować także formę elektroniczną. Na żądanie organu nadzorczego administrator danych powinien udostępnić mu prowadzony przez siebie rejestr.  

Rejestr czynności przetwarzania danych powinien zawierać następujące elementy:

• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

• cele przetwarzania;
• opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
• gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Analizując wykaz elementów, które musi zawierać rejestr czynności przetwarzania danych osobowych, można stwierdzić, że jest on w swojej strukturze podobny do rejestru zbioru danych osobowych, do którego prowadzenia zobowiązani są obecnie ABI. Do rejestru zbiorów wprowadza się i wykreśla zbiory danych, a w odniesieniu do każdego zbioru danych umieszcza się określone informacje dotyczące tego zbioru i przetwarzanych w nim danych osobowych.

Rejestr czynności przetwarzania powinien z kolei zawierać opis kategorii osób, których dane dotyczą, a następnie przypisany danej kategorii opis kategorii danych osobowych, cele przetwarzania, czy planowane terminy usunięcia poszczególnych kategorii danych.