Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia rejestru czynności przetwarzania. Art. 30 RODO wskazuje ich obligatoryjne składniki, natomiast przepis może budzić wątpliwości i patrząc po naszych doświadczeniach – budzi. W dzisiejszym wpisie postanowiliśmy podsumować aktualne i najbardziej istotne informacje odnośnie wspomnianej rejestracji. Co powinna zawierać, jaki ma cel i o czym trzeba wiedzieć.

 

Co zawiera rejestr przetwarzania?

 

Obowiązek prowadzenia rejestru czynności przetwarzania wynika z art. 30 ust. 1 RODO. Znajdziemy tam zapis, że „każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają”. Wiedząc o ciążących na nas odpowiedzialności i obowiązku rejestrowania czynności, warto zastanowić się jakie dokładnie informacje powinny znaleźć się w rejestrze.

 

W rejestrze powinny znaleźć się następujące informacje:

  • imię i nazwisko lub nazwa, oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  • planowane terminy usunięcia poszczególnych kategorii danych;
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

 

W rejestrze kategorii czynności przetwarzania powinny być zawarte:

  • imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów
    przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  • przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

 

Wskazane w art. 30 ust. 1 RODO składniki rejestru są obligatoryjne. Mogą jednak znaleźć się w nim inne elementy, które administrator uzna za zasadne, uwzględniając wiele specyficznych dla niego czynników, takich jak np.:

  • wskazanie podstawy prawnej przetwarzania,
  • wskazanie źródła pozyskania danych,
  • wskazanie użytego do przetwarzania systemu informatycznego,
  • informacje dotyczące przeprowadzonej oceny skutków dla ochrony danych itp.
  • określenie tzw. właścicieli procesów, czyli osób odpowiedzialnych u administratora za konkretne
    czynności przetwarzania
  • dane kontaktowe podmiotu przetwarzającego oraz podmiotów, którym podpowierzono wykonywanie
    określonych czynności przetwarzania danych lub określonych operacji w ramach tych czynności (art.
    28 ust. 4 RODO).

 

Jaki jest cel prowadzenia rejestrów?

 

RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru. Pierwsza to zachowanie przez administratora i podmiot przetwarzający zgodności z aktualnymi przepisami w ochronie danych osobowych, a druga funkcja to umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania. Można zatem powiedzieć, że głównym celem obowiązku określonego w art. 30 jest zapewnienie – zarówno przez administratora, podmioty przetwarzające i organ nadzorczy – zgodności z RODO i wskazanymi zasadami przetwarzania danych osobowych.

Rejestry przetwarzania pozwalają usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Dzięki tym informacjom podmioty przetwarzające dane mogą ocenić w jakim zakresie dotyczą ich obowiązki wynikające z RODO. Na przykład obowiązek przeprowadzenia oceny skutków przetwarzania czy oceny ryzyka. Ogólnie mówiąc, rejestry pozwala na stałą weryfikację działalności w zakresie przetwarzania danych osobowych oraz poddawanie ocenie każdego nowo wprowadzanego lub modyfikowanego procesu na pierwszym etapie.

Dodatkowo, tak jak wspomnieliśmy, na żądanie organu nadzorczego informacje o prowadzonym przez administratora przetwarzaniu będą udostępniane w sposób jednolity, czytelny i uproszczony. Zapoznanie się z rejestrami
jest zazwyczaj jednym z pierwszym z działań podejmowanych w celu przeprowadzenia przez organ nadzorczy
kontroli przestrzegania przepisów RODO, nie tylko w ramach audytów, o których mowa w art. 58 ust. 1 lit. b
RODO, ale także w innych prowadzonych przez organ postępowaniach.

 

Obowiązek prowadzenia rejestrów przetwarzania

 

Obowiązek prowadzenia rejestru czynności spoczywa na administratorze, czyli osobie fizycznej lub prawnej,
organie publicznym, jednostce lub innym podmiocie, który samodzielnie lub wspólnie z innymi ustala cele
i sposoby przetwarzania danych osobowych. Obowiązek prowadzenia rejestrów kategorii czynności został nałożony zaś na podmioty przetwarzające, czyli osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora.

Do prowadzenia obu rejestrów będzie zobowiązana zdecydowana większość podmiotów przetwarzająca dane.
Obowiązek ten, w określonych przypadkach, spoczywa też na przedstawicielach administratora i podmiotu przetwarzającego. Zgodnie z art. 27 w związku z art. 3 ust. 2 RODO, obowiązek wyznaczenia swojego przedstawiciela mają administrator i podmiot przetwarzający nieposiadający jednostek organizacyjnych w UE wówczas, gdy prowadzone przez nich czynności wiążą się z oferowaniem towarów lub usług osobom, których dane dotyczą.

Ze względu na swoją zawartość rejestry czynności i kategorii czynności mogą być również przydatnym instrumentem monitorowania zgodności przetwarzania danych z prawem dla Inspektorów Ochrony Danych. Mimo, że z przepisów nie wynika, jakoby IOD miał obowiązek prowadzenia rejestrów, to z pewności może on w tym zakresie doradzać
administratorowi i jednocześnie wykorzystywać zawarte w rejestrze informacje w swojej pracy.

Zgodnie z art. 30 ust. 5 RODO, obowiązek prowadzania rejestru czynności i rejestru kategorii czynności nie
ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że czynności
przetwarzania, które wykonują mogą powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą lub nie mają charakteru sporadycznego, obejmują szczególne kategorie danych osobowych, o których
mowa w art. 9 ust. 1, lub dotyczą wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

W motywie 13 preambuły RODO wskazano, że wyjątek dotyczący rejestrowania czynności przetwarzania
dla podmiotów zatrudniających mniej niż 250 pracowników przewidziano ze względu na szczególną sytuację
mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. W związku z licznymi pytaniami dotyczącymi
stosowania tego wyłączenia od obowiązku prowadzenia rejestru czynności i rejestru kategorii czynności
Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych – EROD), w pracach której uczestniczy
Prezes Urzędu Ochrony Danych Osobowych (dawniej Generalny Inspektor Ochrony Danych Osobowych),
opublikowała swoje stanowisko, dostępne na stronie urzędu.

Jeśli chodzi o obowiązek dokumentowania zabezpieczeń wynikający z art. 30 ust. 1 lit. e, jak i z art. 49 ust. 6 RODO,
zgodnie z którym administrator lub podmiot przetwarzający dokumentują ocenę oraz odpowiednie
zabezpieczenia w rejestrze czynności i rejestrze kategorii czynności. Należy pamiętać, że obowiązek odnotowania w rejestrze odpowiednich zabezpieczeń jest przewidziany w sytuacji, kiedy przekazanie danych do państwa trzeciego lub organizacji międzynarodowej nie następuje na podstawie wydanej przez Komisję Europejską decyzji stwierdzającej adekwatny stopień
ochrony w państwie trzecim lub organizacji międzynarodowej (art. 45 ust. 3 RODO), ani z wykorzystaniem
odpowiednich mechanizmów ochrony (o których mowa w art. 46 RODO), oraz gdy nie zachodzą szczególne
sytuacje wymienione w art. 49 ust. 1 akapit pierwszy RODO.

 

W jakiej formie należy prowadzić rejestr czynności i kategorii czynności?

 

RODO nie narzuca dokładnego wzoru czy układu informacji wymaganych w rejestrach. Wspomina za to, że rejestry powinny być prowadzone w formie pisemnej (art. 30 ust. 3), może to być postać zarówno papierowa, jak i elektroniczna. Brak szczegółowego wskazania układu wymaganych informacji w poszczególnych rejestrach oznacza, że administrator danych lub podmiot przetwarzający może przyjąć dowolny układ informacji dotyczących poszczególnych czynności przetwarzania.

Dobrze by było, aby rejestr czynności był tak skonstruowany, aby dla każdej czynności nie było potrzeby powtarzania informacji o nazwie i danych kontaktowych administratora, a także o nazwie i danych kontaktowych przedstawiciela administratora oraz inspektora ochrony danych. Ponadto mając na uwadze fakt, że dany administrator może wykonywać jedne czynności jako ich administrator, inne zaś jako współadministrator, celowe jest, aby informacje o nazwie administratora danych, jego danych kontaktowych, nazwie przedstawiciela i jego danych kontaktowych, a także nazwisku i danych kontaktowych inspektora ochrony danych umieścić jednorazowo, np. na stronie tytułowej rejestru. W przypadku rejestru kategorii czynności przetwarzania, poszczególne rekordy tego rejestru powinny być dodatkowo uporządkowane według kategorii przetwarzania, czyli wg. rodzaju usług świadczonych na rzecz administratorów.

Jeśli macie dodatkowe pytania, albo problemy w rozumieniu przepisów dotyczących rejestrowania czynności przetwarzania, zachęcamy do skorzystania z naszego wsparcia w tym zakresie. Warto tez odnotować, że Urząd Ochrony Danych Osobowych udostępnił szablony rejestrów, z których można skorzystać. Nie są gotowce, którymi trzeba się posługiwać, natomiast będą dobrą, dodatkową podpowiedzią jak prawidłowo taki rejestr prowadzić.