Poradnik Przedsiębiorcy

Kiedy jest konieczny i jak opracować rejestr czynności przetwarzania?

Rejestr czynności przetwarzania jest podstawowym dokumentem, którego zażąda organ przeprowadzający kontrolę u przedsiębiorcy w zakresie prawidłowości przetwarzania danych osobowych. Z tego powodu, prowadząc działalność gospodarczą, należy jednoznacznie zweryfikować, czy musimy taki dokument posiadać. Przeczytaj nasz artykuł w którym znajdziesz więcej informacji na ten temat! 

Kto musi prowadzić rejestr czynności przetwarzania?

Zgodnie z art. 30 RODO rejestr czynności przetwarzania musi prowadzić każdy administrator (w wyjątkowych przypadkach przedstawiciel administratora). Przy czym administrator to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Wskazane rozporządzenie przewiduje jednak wyjątki dla przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób. Taki podmiot nie musi prowadzić rejestru, chyba że czynności przetwarzania, które wykonuje:

  • mogą powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,  

  • nie mają charakteru sporadycznego lub obejmują szczególne kategorie danych osobowych,

  • dotyczą wyroków skazujących i naruszeń prawa.

Wystarczy wystąpienie jednej z powyższych okoliczności, by przedsiębiorca zatrudniający mniej niż 250 osób był zobowiązany do prowadzenia rejestru. W praktyce wyłączenia te powodują wiele wątpliwości, w szczególności w zakresie interpretacji sporadycznego charakteru czynności przetwarzania. Wszystko wskazuje na to, że organy kontrolne przy interpretacji tego pojęcia będą kierowały się wytycznymi Europejskiej Rady Ochrony Danych, która podaje następujący przykład:

Przetwarzanie danych osobowych nawet niewielkiej liczby pracowników przez małą organizację „nie może być uznane za „sporadyczne” i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. Jednak inne czynności przetwarzania, które w rzeczywistości mają charakter „sporadyczny”, nie muszą być zawarte w rejestrze czynności przetwarzania, pod warunkiem że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób fizycznych, i nie obejmują szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych”.

W związku z tym, każdy podmiot gospodarczy musi prowadzić rejestr czynności, wykazując w nim chociażby przetwarzanie danych osobowych swoich pracowników. Jasny wyjątek od tej reguły stanowią jedynie osoby samodzielnie prowadzące działalność gospodarczą, które nie przetwarzają systematycznie danych osobowych. Oczywiście przedsiębiorcy ci nie są zwolnieni z ogólnych zasad dbałości o bezpieczeństwo danych osobowych, które sporadycznie przetwarzają. 

Co powinien zawierać rejestr czynności przetwarzania?

Rejestr czynności przetwarzania zgodny z RODO powinien zawierać przynajmniej następujące elementy:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – gdy ma to zastosowanie – przedstawiciela administratora (dotyczy sytuacji, w której administrator nie posiada jednostek organizacyjnych na terenie UE) oraz inspektora ochrony danych (jeśli go powołano);

  • cele przetwarzania;

  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

  • gdy ma to zastosowanie, informacja o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej (w przypadku braku decyzji Komisji stwierdzającej, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony – dodatkowo dokumentacja odpowiednich zabezpieczeń);

  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

W jakiej formie i jak prowadzić rejestr czynności przetwarzania?

Zgodnie z art. 30 ust. 3 RODO rejestry mają formę pisemną, w tym formę elektroniczną, co daje przedsiębiorcy dużą swobodę w tym zakresie. W małym przedsiębiorstwie o stałych obszarach działania i niedużej liczbie przetwarzanych danych osobowych można zastosować tradycyjną metodę pisemną. Jednak zazwyczaj dużo wygodniejsza ze względu na możliwość bieżącej edycji poszczególnych elementów będzie wersja elektroniczna. Przepisy nie wskazują jednoznacznie, by dokument w postaci elektronicznej musiałby być przechowywany również w formie wydruku. Warto jednak systematycznie tworzyć kopie zapasowe dokumentacji dotyczącej ochrony danych osobowych (w tym rejestru czynności) lub co jakiś czas ją drukować.

Formą gwarantującą najlepszą przejrzystość rejestru jest forma tabeli sporządzonej np. w edytorze tekstu lub programie Excel. Przykład takiej tabeli zaprezentowano poniżej:

Tabela 1. Szablon przykładowego rejestru czynności przetwarzania dla podmiotu niewysyłającego danych osobowych do państw trzecich i organizacji międzynarodowych

Cel przetwarzania

Kategorie osób

Kategorie danych

Podstawa prawna przetwarzania

Planowany termin usunięcia

kategorii danych

Nazwa współadministratora

i dane kontaktowe

Odbiorca – podmiot przetwarzający

i dane kontaktowe

Kategorie odbiorców

Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa

Prowadzenie strony internetowej z wykorzystaniem wizerunku pracowników i klientów

Pracownicy i klienci

Wizerunek

Zgoda, art. 6 ust. 1 pkt a RODO

Wygaśnięcie stosunku pracy lub 2 lata od zamieszczenia danych na stronie

Wpisujemy jeśli jest podmiot, który wspólnie z administratorem ustala cele i sposoby przetwarzania

Wpisujemy dane podmiotu zewnętrznego, który zapewnia obsługę strony internetowej

Wpisujemy tylko, jeśli przekazujemy te dane innym podmiotom niż podmiot przetwarzający

Wpisujemy środki bezpieczeństwa, jeśli jest to możliwe

Cel przetwarzania można w bezpośredni sposób powiązać z czynnością przetwarzania, która w opinii Prezesa Urzędu Ochrony Danych Osobowych oznacza zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane. Kolejne cele przetwarzania można zamieszczać w kolejnych wierszach tabeli.

Kategorie osób to grupy osób, których dane wykorzystujemy w trakcie określonej czynności przetwarzania. Kategorie danych to nic innego jak konkretne rodzaje danych, do których można zaliczyć m.in. numer telefonu, adres mail, dane o wykształceniu, dane adresowe, dane identyfikacyjne czy, jak w zamieszczonym przykładzie, wizerunek.

Podstawa prawna nie jest elementem bezwzględnie wymaganym przy prowadzeniu rejestru. Jednak najpoważniejszy zarzut, na jaki może narazić się przedsiębiorca, to nielegalne przetwarzanie danych osobowych. Z tego powodu, chociażby w celu samokontroli, warto jasno określić przy każdej czynności przetwarzania podstawę uprawniającą administratora do przetwarzania danych. Można to zrobić, wskazując na jedną z przesłanek określonych w RODO, tj.:

  • zgoda osoby, której dane dotyczą, na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;

  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Planowany termin usunięcia danych to termin, który może wynikać z regulacji prawnych, np. prawa ubezpieczeniowego czy ustawy o narodowym zasobie archiwalnym i archiwach. Najczęściej jednak, to administrator ustala termin usunięcia danych. Zgodnie z RODO okres przechowywania danych powinien być możliwie jak najkrótszy, np. dane osobowe pozyskane podczas rekrutacji powinny być usuwane niezwłocznie po zakończeniu tego procesu.

Kolejne informacje, które powinno się zawrzeć w rejestrze czynności przetwarzania, to dane dotyczące innych podmiotów zaangażowanych w przetwarzanie danych osobowych, dla których przedsiębiorca jest administratorem. Będą to współadministratorzy (podmioty ustalające wspólnie z administratorem cele i sposoby przetwarzania) oraz odbiorcy danych. Odbiorców warto podzielić na dwie grupy, pierwsza to podmioty przetwarzające dane na zlecenie administratora, czyli wszelkie firmy zewnętrzne, którym przekazuje się zlecenia wraz z danymi osobowymi (np. firmy prowadzące dla przedsiębiorcy księgowość). Niezbędnym elementem przekazania przez administratora danych osobowych takim podmiotom jest pisemna umowa powierzenia. Druga grupa to pozostałe podmioty niebędące podmiotami przetwarzającymi, którym przekazuje się dane osobowe bez umowy powierzenia, najczęściej w celu realizacji obowiązków prawnych nałożonych na administratora (np. ZUS, US itd.).

Ostatni obowiązkowy element rejestru to opis technicznych i organizacyjnych środków bezpieczeństwa, które zastosowano w celu ochrony danych osobowych. Nie ma jasnych wytycznych, jak ten opis formułować, a ponadto uwzględniamy go w rejestrze, tylko jeśli jest to możliwe. W opisie tym możemy odnieść się do zabezpieczeń technicznych w postaci stosowania środków kontroli dostępu (np. stosowanie drzwi z kodem dostępu, szafek z zamkami itd.) oraz środków organizacyjnych (np. stosowanie określonych procedur postępowania pracowników, szkoleń dla personelu itd.).

Rejestr czynności przetwarzania a rejestr kategorii czynności przetwarzania

Na koniec warto zwrócić uwagę na fakt, iż rejestr czynności przetwarzania to nie to samo co rejestr kategorii czynności przetwarzania. Drugi z rejestrów można najprościej opisać jako skróconą formę rejestru czynności przetwarzania zawierającą jedynie następujące elementy:

  • imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w którego imieniu działa podmiot przetwarzający;

  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

  • gdy ma to zastosowanie, informacja o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;

  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Powyższy rejestr powinien być prowadzony przez podmioty przetwarzające, chyba że przedsiębiorca jest jednocześnie administratorem danych oraz podmiotem przetwarzającym dane na zlecenie innej firmy. W takim przypadku powinno się prowadzić oba rejestry.

Jak widać, prowadzenie rejestru czynności przetwarzania danych osobowych nie jest czynnością wymagającą dużego nakładu pracy czy środków. Poza tym raz stworzony, może służyć przedsiębiorcy wiele lat, poddawany jedynie nieznacznym modyfikacjom. Zważywszy na to, że jest to dokument wymagany przepisami prawa, którego brak w razie kontroli może narazić przedsiębiorcę na poważne straty finansowe, po prostu warto go posiadać.