Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej RODO, wprowadziły szereg innowacji, które realnie wpłynęły na sposób dokumentowania przetwarzania danych osobowych w firmie. Jednym z takich nowych obowiązków jest nałożenie na administratorów obowiązku prowadzenia rejestru czynności przetwarzania w miejsce dawnego obowiązku zgłaszania zbiorów danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Nie trzeba już zatem takich zbiorów rejestrować, ale nie oznacza to, że administratorzy mogą spać spokojnie, zwłaszcza że obecny Prezes Urzędu Ochrony Danych Osobowych (PUODO, który zastąpił GIODO) po pierwszym roku obowiązywania nowych regulacji wskazał, że nawet połowa przedsiębiorców nie wprowadziła RODO w ogóle albo wprowadziła je nieprawidłowo, co może zostać w prosty sposób ustalone w toku kontroli.
Czym jest wspomniany rejestr czynności przetwarzania?
Rejestr czynności przetwarzania jest podstawowym dokumentem, jaki obowiązkowo powinien prowadzić każdy administrator, a więc w praktyce każda jednostka organizacyjna, tj. firma, spółka, spółdzielnia, stowarzyszenie, fundacja, organ administracji publicznej itd. (w dalszej części dla uproszczenia będzie mowa o „firmach”). Ma on charakter wewnętrzny i prowadzony jest na własne potrzeby. Jego celem jest przede wszystkim wskazanie procesów przetwarzania zachodzących w firmie, które kompleksowo uwzględniają czynności dokonywane na danych osobowych pozyskiwanych przez administratora, a więc danych klientów, kontrahentów, pracowników, współpracowników, kandydatów na pracowników, uczestników programów lojalnościowych, uczestników konkursów, subskrybentów newslettera itd.
W związku z tym rejestr ten jest o tyle istotny, że w toku prowadzonej kontroli PUODO powinien zacząć od sprawdzenia właśnie tego dokumentu, aby przeanalizować, jak dane są faktycznie przetwarzane. Rejestr stanowi zatem przejaw realizacji jednego z kluczowych obowiązków administratora (firmy), jakim jest zasada rozliczalności, czyli wykazanie przestrzegania przepisów RODO (art. 5 ust. 2 RODO). Ponadto prawidłowe prowadzenie tego dokumentu pozwoli nam na prawidłową realizację innych obowiązków przewidzianych w przepisach, jak prawidłowe przeprowadzenie oceny skutków planowanych operacji przetwarzania (DPIA), analizy ryzyka czy uwzględniania ochrony danych w fazie projektowania (tzw. privacy be design). Można zatem z pełną świadomością uznać, że rejestr czynności przetwarzania to w naszej dokumentacji RODO swoiste centrum utrzymania zgodności z RODO.
Jakie informacje powinien zawierać rejestr czynności przetwarzania?
Minimalny zakres informacji objętych rejestrem określa wprost art. 30 ust. 1 RODO, wskazując na dane kontaktowe administratora, jego Inspektora Ochrony Danych (IOD – jeżeli został on powołany), cele przetwarzania, opis kategorii osób oraz kategorii danych osobowych, kategorie odbiorców przetwarzanych danych, informacja o przekazywaniu danych do państw trzecich lub organizacji międzynarodowych, a także – jeżeli jest to możliwe – planowane terminy usunięcia przetwarzanych danych oraz opis technicznych i organizacyjnych środków bezpieczeństwa stosowanych w firmie.
Nic nie stoi na przeszkodzie, żeby zakres ten został rozszerzony o inne informacje, np. o podstawach prawnych przetwarzania, kierownikach poszczególnych procesów (przykładowo kierownikiem procesu w przypadku danych kandydatów na pracowników może być kierownik działu HR, a w przypadku danych pracowników – kierownik działu kadr), sposobie pobierania danych czy informacji o profilowaniu pozyskiwanych danych. Im bardziej szczegółowo, tym lepiej. PUODO bowiem wprost wskazał, że zaleca rozszerzanie informacji zawartych w rejestrze, aby usprawnić ewentualną kontrolę i lepiej opisać procesy zachodzące w firmie.
Konstrukcja rejestru nie jest narzucona. PUODO co prawda opublikował przykładowy rejestr czynności przetwarzania, ale nie ma on wiążącego charakteru i oparty jest na przykładzie placówki oświatowej, co dla firm ma niewielkie praktyczne znaczenie. Budowę tego dokumentu można oprzeć na dawnych zbiorach danych osobowych, choć samo pojęcie zbiorów jest już niewystarczające i zdezaktualizowane. Dawny podział może jednak pomóc w zastąpieniu zbiorów prawidłowymi procesami (czynnościami) przetwarzania. Powszechne jest stanowisko, że rejestr powinien być możliwie skondensowany i dopasowany do danej firmy, gdyż w przeciwnym wypadku może wprowadzić więcej zamętu niż porządku. Kluczowe jest rozpoznanie procesów przetwarzania zachodzących w firmie i ich usystematyzowanie.
Najważniejsze jednak, żeby rejestr był na bieżąco aktualizowany oraz żeby informacje w nim zawarte odpowiadały rzeczywistości. W poprzednim stanie prawnym GIODO podczas kontroli zazwyczaj jedynie sprawdzał dokumentację, ale nie porównywał jej z faktycznymi procesami przetwarzania. Obecnie natomiast PUODO sprawdza nie tylko stan dokumentacji, lecz także stan faktyczny z momentu przeprowadzania kontroli. Prowadzenie zatem prawidłowego rejestru czynności przetwarzania stanowi połowę sukcesu w razie ewentualnej kontroli.
W jakiej formie rejestr czynności przetwarzania powinien być prowadzony?
Art. 30 ust. 3 RODO wprost wskazuje, że rejestr czynności przetwarzania może mieć „formę pisemną, w tym formę elektroniczną”. Przepisu tego nie należy interpretować dosłownie w oparciu na polskich przepisach dotyczących formy pisemnej i elektronicznej, ponieważ przepisy krajów członkowskich w tym zakresie w dużym stopniu różnią się między sobą, a RODO jest aktem prawa unijnego, które posługuje się pojęciami o tym samym brzmieniu, co przepisy krajowe, ale niekoniecznie o tym samym znaczeniu.
Mając zatem na względzie, że polskie przepisy wyróżniają formę pisemną, formę elektroniczną (z kwalifikowanym podpisem elektronicznym) oraz formę dokumentową (w rozumieniu każdego nośnika informacji, a zatem również e-maila, faksu czy pliku komputerowego), należy uznać, że w RODO dopuszczalna jest każda z tych form prowadzenia rejestru czynności przetwarzania. Oznacza to, że forma elektroniczna wskazana w art. 30 ust. 3 RODO dotyczy nie tylko wspomnianej dosłownie kwalifikowanej formy elektronicznej (de facto bardzo mało rozpowszechnionej), lecz także formy dokumentowej. Najczęściej zatem rejestr prowadzić będziemy w formie pisemnej albo w formie pliku komputerowego (np. w programie MS Excel). Forma pliku jest o tyle praktyczniejsza, że może być na bieżąco i „od ręki” aktualizowana.
Czy rejestr czynności przetwarzania jest jawny i powinien być powszechnie dostępny?
Rejestr czynności przetwarzania tworzony jest na potrzeby wewnętrzne firmy w celu usystematyzowania procesów przetwarzania danych. Nie powinien on być zatem jawny (np. udostępniany na stronie internetowej), zwłaszcza, że RODO w art. 30 ust. 4 wprost wskazuje, że należy go udostępnić „na żądanie organu nadzorczego” (a zatem w polskim przypadku – na żądanie PUODO). Oznacza to, że żaden inny podmiot nie może skutecznie żądać dostępu do tego rejestru, który – tak jak wyżej zostało wspomniane – zawiera również opis stosowanych środków bezpieczeństwa. Tak więc – z punktu widzenia zapewnienia należytej ochrony – ujawnianie takich informacji byłoby niewskazane i ryzykowne. Niestety polski ustawodawca wprost nie przewidział w zakresie rejestru czynności przetwarzania objęcia go tajemnicą prawnie chronioną (np. tajemnicą przedsiębiorstwa), co byłoby dalece wskazane. Reasumując, rejestr nie jest jawny.
Czy każdy administrator ma obowiązek prowadzenia rejestru czynności przetwarzania?
Mając na względzie brzmienie przepisów, można uznać, że – teoretycznie – nie każdy administrator musi prowadzić przedmiotowy rejestr. Art. 30 ust. 5 RODO wskazuje bowiem, że obowiązek prowadzenia rejestru nie dotyczy administratorów zatrudniających mniej niż 250 pracowników, ale przewidziane są od tego trzy wyjątki, który powodują, że wyłączenie to w zasadzie nie ma zastosowania. Wystarczy bowiem, że przetwarzanie może powodować jakiekolwiek (a zatem nie tylko wysokie) ryzyko naruszenia praw i wolności podmiotów danych, przetwarzanie nie ma charakteru sporadycznego albo przetwarzane są szczególne kategorie danych osobowych wskazane w art. 9 i 10 RODO, żeby wyłączenie nie miało miejsca. Mamy zatem do czynienia z przypadkiem, w którym wyjątki od zasady unicestwiają samą zasadę. Trudno bowiem wyobrazić sobie sytuację, w której przedsiębiorca przetwarza dane „sporadycznie” w sytuacji, gdy ma klientów lub pracowników czy żeby przetwarzanie danych nie rodziło żadnego ryzyka naruszenia praw i wolności.
W praktyce zatem każdy administrator ma obowiązek prowadzenia rejestru czynności przetwarzania.
Jakie konsekwencje może rodzić nieprowadzenie albo nieprawidłowe prowadzenie rejestru czynności przetwarzania?
Zgodnie z art. 83 ust. 4 lit. a RODO naruszenie przepisów dotyczących rejestru może skutkować nałożeniem przez PUODO po przeprowadzonej kontroli administracyjnej kary pieniężnej w wysokości do 10 mln złotych lub do 2% całkowitego obrotu (przychodu) z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa. PUODO w ramach swoich uprawnień może również wydać wobec firmy ostrzeżenia, upomnienia lub nakazy zgodnie z uprawnieniami przewidzianymi w art. 58 RODO. Jak dotąd – począwszy od maja 2018 roku – PUODO wydało decyzję w ponad 60 sprawach, które dotyczyły bezpośrednio rejestru czynności przetwarzania.
Podsumowanie
Każdy administrator (firma) ma obowiązek prowadzenia rejestru czynności przetwarzania. Prawidłowym podejściem byłoby uznanie, że odpowiednie prowadzenie tego rejestru pozwoli spać spokojnie. Jeżeli bowiem będzie on aktualny i jednocześnie będzie odpowiadał rzeczywistości, to wówczas kontrola ze strony PUODO nie tylko będzie sprawniejsza i szybsza, lecz także z większym prawdopodobieństwem powinna zakończyć się pomyślnie. Dodatkowo, jego należyte prowadzenie pozwoli panować nad ochroną danych osobowych w organizacji. Rejestr czynności przetwarzania można stworzyć samodzielnie, jak również poprzez Inspektora Ochrony Danych, jeżeli został on w firmie wyznaczony. Wyznaczenie IOD w określonych przypadkach jest obowiązkowe, ale w innych jest jak najbardziej dozwolone, przy czym może nim być zarówno pracownik, jak i osoba z zewnątrz.