Rejestr czynności przetwarzania danych osobowych - kiedy jest obowiązkowy?

Przeczytaj także: Płatność danymi osobowymi - kiedy informacje o nas stają się walutą

1. Przetwarzanie danych osobowych

W pierwszej kolejności wskazać należy, że zgodnie z art. 4 pkt 2 RODO przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych. W zasadzie każda czynność mająca za przedmiot dane osobowe, może zostać uznana za przetwarzanie danych osobowych np. przekazywanie danych innym pracownikom w okresie dysponowania nimi dla celu, w którym udostępniono te dane (np. cv do czasu rozmowy kwalifikacyjnej).

Dane osobowe muszą być oczywiście zawsze przetwarzane zgodnie z określonymi zasadami, o których mówi art. 5 ust 1 RODO, a mianowicie:

• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
• prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
• przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
• przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Warto również wskazać, że przepisy RODO określają przypadki, w których przetwarzanie danych osobowych jest dopuszczalne (art. 6 ust.1), są to m.in.:

• osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

2. Administrator danych osobowych (ADO)

Następnie trzeba wskazać na podmiot obowiązany. Rozporządzenie RODO wprowadziło nową instytucję administratora danych osobowych (ADO). Zgodnie z art. 4 ust. 7, administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Funkcję ADO w przedsiębiorstwie może pełnić dotychczasowy administrator lub też osoba nowo zatrudniona w firmie do pełnienia tej funkcji. W małych przedsiębiorstwach administratorem danych będzie sam przedsiębiorca chyba, że powierzy pełnienie funkcji ADO np. swojemu dyrektorowi/kierownikowi zakładu. Podstawowe obowiązki administratora wg. przepisów RODO to m.in.:

• wdrażanie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem RODO w sposób mogący to wykazać,
• środki techniczne i organizacyjne, o których mowa wyżej powinny być w razie potrzeby poddawane przeglądom i uaktualniane,
• środki techniczne i organizacyjne obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
• stosowanie zatwierdzonych kodeksów postępowania, lub zatwierdzonego mechanizmu certyfikacji, które mogą być wykorzystane, jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków
• prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych;
• zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru danych osobowych oraz komu dane te są przekazywane;
• prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych (z uwzględnieniem: imienia i nazwiska osoby upoważnionej, zakresu upoważnienia do przetwarzania danych osobowych, nr identyfikatora);
• powołanie Inspektora Ochrony Danych Osobowych (IODO) w przypadku, jeżeli przepisy do tego zobowiązują;
• zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem oraz przetwarzaniem z naruszeniem rozporządzenia.

Ponadto administrator danych ADO decyduje o tym, jakie informacje zbiera, do czego je przetwarza i czy przetwarza je sam czy za pośrednictwem osoby przez niego upoważnionej (np. pracownik) lub powierza je podmiotom zewnętrznym (na podstawie umowy o powierzenie danych osobowych). Jednakże zawsze, ma obowiązek przetwarzania pozyskanych danych tylko w sposób uregulowany przepisami prawa, mając na celu ochronę interesów osób, których one dotyczą. ADO jest również obowiązany do informowania o przetwarzaniu pozyskanych danych, o sposobie ich zabezpieczenia, zgodnie z przepisami RODO.

3. Co to jest rejestr czynności przetwarzania?

Rozporządzenie RODO wprowadza obowiązek, jakim jest prowadzenie rejestru czynności przetwarzania, który zastępuje wcześniejszy obowiązek zgłaszania zbiorów danych do GIODO. Obowiązek ten dotyczy nie tylko administratorów danych ADO, ale również podmiotów przetwarzających dane w imieniu administratorów. Taki rejestr jest wewnętrznym, firmowym dokumentem, który zalicza się t.zw. ksiąg przedsiębiorstwa, czyli dokumentacji też pracowniczej (obok np. handlowej, księgowej i innych) można prowadzić zarówno w formie elektronicznej czy pisemnej. Zgodnie z art. 30 ust. 1 RODO w rejestrze przetwarzania powinny się znaleźć m.in.:

• imię i nazwisko lub nazwa oraz dane kontaktowe administratora, a także, gdy ma to zastosowanie inspektora ochrony danych;
• cele przetwarzania;
• opis kategorii osób, których dane dotyczą (np. użytkownicy aplikacji);
• opis kategorii danych osobowych (np. imię i nazwisko);
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich;
• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. RODO.

Wskazać również należy, że rejestr czynności przetwarzania pełni funkcję swego rodzaju ewidencji, w którym administrator umieszcza informacje o tym:

• czyje dane przetwarza z podziałem na kategorie osób, których dane dotyczą;
• jakie to są dane tj. wskazanie kategorii danych;
• w jakim celu dane są przetwarzane;
• komu są ujawnianie tj. wskazanie kategorii odbiorców;
• czy dane są przekazywane do państw trzecich;
• jak długo dane są przechowywane oraz w jaki sposób są zabezpieczane.

Powyższy obowiązek dot. również podmiotów zewnętrznych, którym administratorzy zlecają na swój rachunek przetwarzanie danych osobowych. Zakres informacji zamieszczanych w rejestrze przez podmiot przetwarzający jest trochę inny i zgodnie z art. 30 ust. 2 powinien zawierać:

• imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu, którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
• kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
• gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Należy również wskazać, że rejestr czynności przetwarzania powinien być w należyty sposób zabezpieczony. Kwestią wdrożenia odpowiednich środków technicznych, które zabezpieczą przetwarzanie danych w firmie musi zająć się oczywiście administrator. Zgodnie z art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

• pseudoanimizację i szyfrowanie danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.