Poradnik Przedsiębiorcy

Czy w kadrach trzeba prowadzić rejestr czynności przetwarzania danych osobowych?

Zgodnie z zagadnieniem nr 82 zawartym we wstępie do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej RODO: dla zachowania zgodności z niniejszym rozporządzeniem, administrator lub podmiot przetwarzający powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. Każdy administrator i każdy podmiot przetwarzający powinni mieć obowiązek współpracować z organem nadzorczym i na jego żądanie udostępniać mu te rejestry w celu monitorowania tych operacji przetwarzania.

Warto przypomnieć, że w art. 30 RODO rozróżniono dwa różne rejestry czynności przetwarzania, które powinny być prowadzone przez podmioty przetwarzające dane osobowe:

  • rejestr czynności przetwarzania prowadzony przez administratora,

  • rejestr kategorii czynności przetwarzania prowadzony przez podmiot przetwarzający.

Rejestr czynności przetwarzania danych osobowych - wymagane informacje

Zgodnie z art. 30 ust. 1 RODO każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają w wyniku stosownych ustaleń z innym podmiotem przetwarzającym lub wspólnych uzgodnień ze współadministratorami. W powyższym artykule dokonano wyliczenia odpowiednich treści, które powinny znaleźć się w rejestrze przetwarzania czynności, tj.:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

  • cele przetwarzania;

  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;

  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

  • gdy ma to zastosowanie, przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Natomiast zgodnie z art. 30 ust. 2 RODO każdy podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w którego imieniu działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

  • gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;

  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. 

Należy dodać, że rejestry, o których mowa powyżej, mają formę pisemną, w tym formę elektroniczną. Natomiast administrator lub podmiot przetwarzający udostępniają rejestr na żądanie organu nadzorczego.

Wyjątek od prowadzenia rejestru czynności

Warto nadmienić, że obowiązek prowadzenia rejestru czynności nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Brak definicji „czynności przetwarzania”

Warto wskazać, że w treści wyżej przytoczonego rozporządzenia Unii Europejskiej o RODO oraz w polskiej ustawie o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. 2018 poz. 1000) nie dokonano wyraźnego wyjaśnienia pojęcia czynności przetwarzania. W opracowaniach dotyczących RODO pojawia się odniesienie „czynności przetwarzania” do celów przetwarzania danych. Jedna z rekomendacji odnosi się do „czynności jako konkretnych działań, podejmowanych na danych w ramach każdego z celów. Jeżeli celem byłoby przesyłanie informacji handlowej drogą elektroniczną, to czynnością przetwarzania byłoby pozyskiwanie, odczytywanie, utrwalanie, przesyłanie oraz modyfikowanie danych w tym celu. W tym zakresie można by uznać, że w ramach każdego z celów przetwarzania danych mamy najczęściej do czynienia z co najmniej dwoma czynnościami, jak pozyskanie oraz odczytanie danych osobowych” por. [w] Komentarz do RODO dr Paweł Litwiński, wyd. 2018 r. (rekomendacja wydana przez belgijski urząd ochrony danych osobowych (Komisja ds. Prywatności) Nr 06/2017 z 14 czerwca 2017 r.). Ponadto wskazuje się, że w art. 30 RODO mowa jest o rejestrze czynności. Administrator przetwarzający dane osobowe powinien poinformować osoby, których dane przetwarza między innymi o celu ich przetwarzania.

Czy w dziale kadrowym należy prowadzić rejestr czynności przetwarzania danych osobowych?

Służby kadrowe prowadzą różnego rodzaju rejestry dotyczące pracowników, które zawierają dane pracowników, zleceniobiorców, kandydatów do pracy zebrane w procesie rekrutacji, dane związane z pakietami medycznymi dla pracowników czy związane z obsługą Zakładowego Funduszu Świadczeń Socjalnych. Należy zaznaczyć, że rejestr czynności przetwarzania danych osobowych stanowi zestawienie wszystkich zbiorów danych, które znajdują się u administratora. Powinien zawierać wszystkie informacje opisane w art. 30 ust. 1 i 2 RODO. Zatem nie należy ujmować w czynnościach przetwarzania kolejnych cykli, które składają się na proces przetwarzania danych w poszczególnych zbiorach danych.

Wobec powyższego warto podkreślić, że zgodnie z powołanym powyżej artykułem 30 RODO dział kadr nie będzie miał obowiązku rejestrowania każdej czynności kadrowej. Z informacji przedstawionych na stronie internetowej Generalnego Inspektora Danych Osobowych rejestr czynności prawnych stanowi swoistą kartę informacyjną, która zawiera wskazanie podmiotu przetwarzającego dane osobowe, cel przetwarzania tych danych, kategorię osób, okres przechowywania danych.

Konkludując, należy podkreślić, że w dziale kadr mają zastosowanie przepisy o RODO. Zbiory danych o pracownikach powinny być uwzględnione w rejestrze przetwarzania danych. Warto wskazać, że nie ma obowiązku opisywania każdej czynności kadrowej w rejestrze czynności przetwarzania. Należy zauważyć, że podaje się jedynie opis kategorii osób, których dane są przetwarzane, bez szczegółowych informacji o tych osobach.