Rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) nakłada na administratorów danych oraz podmioty przetwarzające dane (tj. osoby fizyczne oraz osoby prawne, które przetwarzają dane osobowe w imieniu administratora danych) obowiązek rejestrowania czynności przetwarzania.
Kogo dotyczy obowiązek rejestrowania czynności przetwarzania?
Zgodnie z Motywem 82 Rozporządzenia RODO, obowiązek rejestrowania czynności przetwarzania służy dwóm podstawowym celom – ułatwieniu administratorom danych zachowania zgodności podejmowanych środków ochrony danych z obowiązującymi przepisami oraz umożliwieniu organowi nadzorczemu (w Polsce – Urzędowi Ochrony Danych Osobowych) monitorowania operacji związanych z przetwarzaniem danych.
Choć przepisy RODO nie wskazują dokładnie, czym są „czynności przetwarzania”, można przyjąć, że są to wszystkie operacje wykonywane na danych osobowych, niezależnie od liczby i kategorii podmiotów wykonujących te operacje, które mogą być scharakteryzowane zbiorczo i w zgodzie z celem, w jakim operacje te są podejmowane.
Czynności przetwarzania mogą być opisywane zbiorczo – np. jako sprzedaż usług, sprzedaż towarów, proces zatrudnienia pracowników, działania marketingowe, działania księgowe, rozliczenia z pracownikami, obsługa ubezpieczeniowa pracowników itp.
Warto przypomnieć, że przepisom RODO podlega każdy podmiot, który przetwarza dane osobowe osób fizycznych, w tym przedsiębiorcy przetwarzający i przechowujący dane osobowe swoich klientów czy pracowników. Nie każdy z nich będzie miał jednak obowiązek rejestrowania czynności przetwarzania – przepis art. 30 ust. 5 rozporządzenia RODO wskazuje, jakich kategorii podmiotów dotyczą te wymogi.
Obowiązek prowadzenia rejestrów czynności przetwarzania danych dotyczy przedsiębiorców i innych podmiotów:
- zatrudniających powyżej 250 osób;
- przetwarzających dane w sposób obarczony ryzykiem naruszenia praw lub wolności osób, których dane dotyczą;
- przetwarzających dane w sposób częstszy niż sporadyczny;
- przetwarzających informacje obejmujące szczególne kategorie danych osobowych;
- przetwarzających dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
Przez „szczególne kategorie danych osobowych” należy rozumieć informacje wskazane w przepisie art. 9 ust. 1 rozporządzenia, tj. m.in. dane biometryczne, dane dotyczące zdrowia, informacje o przynależności do związków zawodowych.
Z uwagi na niezwykle szeroki zakres zastosowania przepisów dotyczących rejestrów przetwarzania danych osobowych wydaje się, że niemal każdy przedsiębiorca (nawet zatrudniający zaledwie kilku pracowników) powinien zadbać o spełnienie tego obowiązku. Nawet jeśli zatrudnia jednego czy dwóch pracowników, może mieć do czynienia z danymi szczególnymi i z tego względu każdy podmiot winien rozważyć wprowadzenie do swojej działalności omawianego rejestru.
Rejestr czynności przetwarzania danych prowadzony przez administratora danych
Rozporządzenie RODO rozróżnia administratora danych oraz podmiot przetwarzający. Zakres rejestrowania czynności przetwarzania jest różny dla obu tych kategorii. Zgodnie z przepisami RODO administratorem danych osobowych jest osoba fizyczna lub osoba prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorami danych w rozumieniu rozporządzenia są bez wątpienia przedsiębiorcy.
Jeśli przedsiębiorca-administrator danych spełnia choć jeden z warunków określonych powyżej, ma obowiązek prowadzenia rejestru czynności przetwarzania danych. Powinny znaleźć się w nim następujące informacje:
- dane administratora, współadministratorów, przedstawicieli administratorów oraz inspektora ochrony danych osobowych – ich imiona i nazwiska lub nazwy oraz dane kontaktowe;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą;
- wskazanie kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- jeśli ma to zastosowanie, przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej oraz – w przypadkach szczególnych przekazań – dokumentację odpowiednich zabezpieczeń;
- planowane terminy usunięcia poszczególnych kategorii danych – jeśli administrator ma możliwość podania takiej informacji;
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa związanych z bezpieczeństwem przetwarzania – jeśli administrator ma możliwość podania takiej informacji.
Rejestr czynności przetwarzania danych zgodnie z obowiązującymi przepisami powinien mieć formę pisemną. Przepisy RODO uznają za nią również formę elektroniczną – przedsiębiorca może prowadzić rejestr w formie tabeli zapisywanej w pliku komputerowym.
Wskazany katalog informacji nie ma charakteru zamkniętego – przedsiębiorca może umieścić w rejestrze również inne dane, jeśli uzna, że jest to konieczne z punktu widzenia choćby ułatwień organizacyjnych czy szczególnych kategorii przetwarzanych i przechowywanych danych. Umieszczenie w rejestrze przedstawionych powyżej danych jest obligatoryjne – przedsiębiorca nie może zaniedbać podania w rejestrze danych wymaganych zgodnie z przepisami RODO.
Rejestr czynności przetwarzania prowadzony przez podmiot przetwarzający dane
W rozumieniu rozporządzenia RODO podmiotem przetwarzającym dane jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Podmiot przetwarzający bywa również nazywany „procesorem”.
Podmiotami przetwarzającymi będą wszystkie osoby, które przetwarzają dane na zlecenie przedsiębiorcy – administratora danych, np. biuro rachunkowe, agencje marketingowe czy firmy zajmujące się tworzeniem stron i serwisów internetowych.
Zgodnie z przepisami RODO, podmioty przetwarzające mają obowiązek prowadzenia rejestrów czynności przetwarzania danych zawierających następujące informacje:
- dane administratora, współadministratorów, przedstawicieli administratorów oraz inspektora ochrony danych osobowych – ich imiona i nazwiska lub nazwy oraz dane kontaktowe;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- jeśli ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej oraz – w przypadkach szczególnych przekazań – dokumentację odpowiednich zabezpieczeń;
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa związanych z bezpieczeństwem przetwarzania – jeśli administrator ma możliwość podania takiej informacji.
Rejestr czynności przetwarzania prowadzony przez podmiot przetwarzający będzie miał zakres węższy niż rejestr prowadzony przez administratora danych. Różnica ta wynika z odmiennego charakteru obu kategorii osób – określenie celów przetwarzania, kategorii osób, których dane dotyczą czy kategorii gromadzonych danych osobowych jest wyłącznie obowiązkiem administratora, a nie obowiązkiem podmiotu przetwarzającego. Podmiot przetwarzający działa na zlecenie administratora i w zakresie przez niego wskazanym, a zatem jego obowiązki również będą ograniczone.
Zarówno administrator lub podmiot przetwarzający, jak i – jeśli ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego mają obowiązek udostępnienia rejestru czynności przetwarzania danych w każdym przypadku, w którym zażąda tego organ nadzorczy, tj. w przypadku Polski – Urząd Ochrony Danych Osobowych. Brak prowadzenia rejestru przetwarzania danych oraz zignorowanie żądania UODO może wiązać się dla przedsiębiorcy z koniecznością zapłaty wysokiej kary finansowej.