REJESTR CZYNNOŚCI I REJESTR KATEGORII CZYNNOŚCI

rejestr czynności RODO

Rejestr czynności i rejestr kategorii czynności, różnice i cechy wspólne, czyli co powinniśmy o nich wiedzieć?

Z datą wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólnego Rozporządzenia o ochronie danych), a mianowicie od 25 maja 2018 roku do obowiązków administratora danych, ale i procesora przetwarzającego dane większej ilości osób niż dane dotyczące 250 pracowników dołącza prowadzenie rejestru czynności przetwarzania danych osobowych. Przepisy RODO nie dają wyraźnego drogowskazu, jakie dane winny mieścić się w rejestrze, bądź jak ma wyglądać taki spis i schemat podanych informacji, stanowią jednak, że rejestr winien być prowadzony w formie pisemnej, w tym elektronicznej. Rejestrowanie czynności przetwarzania i rejestr kategorii czynności opisuje szczegółowo art. 30 RODO.

Jakie informacje są niezbędne i powinny znajdować się w rejestrze czynności przetwarzania?

Zgodnie z treścią art. 30 ustępu 1 RODO rejestr czynności powinien zawierać takie informacje jak:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  2. cele przetwarzania;
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

W związku z powyżej wymienionymi wskazaniami (częścią obligatoryjną rejestru) wciąż pozostaje wiele pytań odnośnie użytych powyżej pojęć, czy tego jak finalnie powinien wyglądać rejestr, jak dane mają być w nim rozplanowane lub kwestia jak szczegółowo takie rejestry należy prowadzić. Obecny rejestr czynności przetwarzania porównywany często jest do wcześniejszego rejestru zbiorów danych, do jakiego prowadzenia zobowiązani byli powołani administratorzy bezpieczeństwa informacji, jednak aby nie wprowadzać zbędnego rozproszenia i dezorientacji Prezes Urzędu Ochrony Danych Osobowych wyszedł z inicjatywą pomocy, a mianowicie udostępnił przykładowe szablony rejestrów – rejestru czynności przetwarzania, a ponadto i rejestru kategorii czynności wraz z wyjaśnieniami.

W związku z tym, że oryginalne tłumaczenie rozporządzenia ma brzmienie angielskie, zapis „Records of processing activites” można tłumaczyć jako „zapis aktywności przetwarzania”, co oznaczać mogłoby, że dotyczy on procesów lub czynności jak m.in.: zapisy na marketing drogą internetową, rekrutacja pracowników czy wysyłanie newslettera. Powyższe można kojarzyć i określić jako kategorie czynności przetwarzania. Najistotniejszym wyróżnikiem między rejestrem czynności, a rejestrem kategorii czynności jest fakt, iż rejestr czynności przetwarzania prowadzi administrator danych, a rejestr kategorii czynności przetwarzania prowadzi podmiot przetwarzający dane. Wyżej wymienione rejestry  różnią się zakresem informacji, które zawierają.

Wskazówki do tworzenia rejestru czynności

Mimo braku sprecyzowania formy rejestru czynności przetwarzania istotne jest, by pamiętać o podaniu nazwy administratora danych wraz z danymi do kontaktu, danych Inspektora Ochrony Danych, nazwy czynności przetwarzania wraz z dodatkowymi obwarowaniami w związku z RODO dotyczące celu przetwarzania, kategorii osób, kategorii danych, planowanego terminu usunięcia danych, danych ewentualnych współadministratorów, a także możliwości transferu danych do kraju trzeciego.

Co powinno znaleźć się w rejestrze kategorii czynności?

Rejestru kategorii czynności dotyczy art. 30 ustęp 2 RODO, który stanowi, iż:

Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  2. kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  3. gdy ma to zastosowanie – przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  4. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Rekordy w prowadzonym rejestrze mają dotyczyć poszczególnych grup czynności dokonywanych na bazach administratorów. Nie należy utożsamiać ww. pojęcia z ogólnym pojęciem przetwarzania danych. Obowiązek prowadzenia tego rejestru wynika z wprowadzonej przez Rozporządzenie RODO tzw. zasady rozliczalności, która polega na obowiązku wykazania przez administratora wdrożenia odpowiednich środków technicznych i organizacyjnych, zmierzających do tego by przetwarzanie danych odbywało się zgodnie z przepisami. W praktyce często zalecane jest dodanie do rejestru kategorii czynności fakultatywnych informacji, takich jak: numer umowy oraz datę jej podpisania, czas trwania umowy, cel przetwarzania danych osobowych oraz ewentualne kary umowne z niej wynikające.

Omawiane ustalenia mają zastosowanie co do przedsiębiorcy lub podmiotu zatrudniającego więcej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO. Powracając do rejestru czynności, o którym była mowa – z powyższego wynika, iż rejestr czynności przetwarzania danych osobowych będzie musiał być stosowany i prowadzony u niemalże każdego pracodawcy. Niewątpliwie należy podkreślić, że w rejestrze nie zamieszcza się każdej czynności, jednak może on zawierać więcej informacji, elementów, które administrator danych oceni jako istotne i użyteczne w ramach działalności. Mogą to być między innymi: informacja, czy został spełniony obowiązek informacyjny, czynności przetwarzania danych, sposób w jaki dane są pozyskiwane, ewentualne miejsce występowania zgody osoby, której dane dotyczą.

Jako cel obowiązku prowadzenia rejestrów można śmiało określić zachowanie przez administratora i podmiot przetwarzający zgodności z RODO oraz umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania. Na każde żądanie organu nadzorczego informacje o prowadzonym przez administratora i podmiot przetwarzający przetwarzaniu będą udostępniane organowi w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji. Rejestry dotyczą wszystkich czynności przetwarzania danych osobowych, a określona w art. 30 ust. 1 i ust. 2 RODO klasyfikacja zawiera wiele istotnych dla sprawowania nadzoru kryteriów. Nawiązując do cech wspólnych obu rejestrów tj.: rejestru czynności i rejestru kategorii czynności nierzadko będzie tak, iż jedna z firm, jako administrator swoich danych, będzie zobowiązana prowadzić rejestr czynności przetwarzania, a jako podmiot przetwarzający dane w imieniu innych administratorów (jako procesor) będzie jednocześnie prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Co istotne, warto pamiętać przy tworzeniu dokumentacji, iż zapoznanie się z takimi rejestrami może być jednym z pierwszym z działań podejmowanych w celu przeprowadzenia przez organ nadzorczy kontroli przestrzegania przepisów RODO, nie tylko w ramach audytów, o których mowa w art. 58 ust. 1 lit. b RODO, ale także w innych prowadzonych przez organ postępowaniach.

 

Autor: Monika Liwoch