REJESTR CZYNNOŚCI I REJESTR KATEGORII CZYNNOŚCI

rejestr czynności RODO

Rejestr czynności i rejestr kategorii czynności, różnice i cechy wspólne, czyli co powinniśmy o nich wiedzieć?

Z datą wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólnego Rozporządzenia o ochronie danych), a mianowicie od 25 maja 2018 roku do obowiązków administratora danych, ale i procesora przetwarzającego dane większej ilości osób niż dane dotyczące 250 pracowników dołącza prowadzenie rejestru czynności przetwarzania danych osobowych. Przepisy RODO nie dają wyraźnego drogowskazu, jakie dane winny mieścić się w rejestrze, bądź jak ma wyglądać taki spis i schemat podanych informacji, stanowią jednak, że rejestr winien być prowadzony w formie pisemnej, w tym elektronicznej. Rejestrowanie czynności przetwarzania i rejestr kategorii czynności opisuje szczegółowo art. 30 RODO.

Jakie informacje są niezbędne i powinny znajdować się w rejestrze czynności przetwarzania?

Zgodnie z treścią art. 30 ustępu 1 RODO rejestr czynności powinien zawierać takie informacje jak:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  2. cele przetwarzania;
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

W związku z powyżej wymienionymi wskazaniami (częścią obligatoryjną rejestru) wciąż pozostaje wiele pytań odnośnie użytych powyżej pojęć, czy tego jak finalnie powinien wyglądać rejestr, jak dane mają być w nim rozplanowane lub kwestia jak szczegółowo takie rejestry należy prowadzić. Obecny rejestr czynności przetwarzania porównywany często jest do wcześniejszego rejestru zbiorów danych, do jakiego prowadzenia zobowiązani byli powołani administratorzy bezpieczeństwa informacji, jednak aby nie wprowadzać zbędnego rozproszenia i dezorientacji Prezes Urzędu Ochrony Danych Osobowych wyszedł z inicjatywą pomocy, a mianowicie udostępnił przykładowe szablony rejestrów – rejestru czynności przetwarzania, a ponadto i rejestru kategorii czynności wraz z wyjaśnieniami.

W związku z tym, że oryginalne tłumaczenie rozporządzenia ma brzmienie angielskie, zapis „Records of processing activites” można tłumaczyć jako „zapis aktywności przetwarzania”, co oznaczać mogłoby, że dotyczy on procesów lub czynności jak m.in.: zapisy na marketing drogą internetową, rekrutacja pracowników czy wysyłanie newslettera. Powyższe można kojarzyć i określić jako kategorie czynności przetwarzania. Najistotniejszym wyróżnikiem między rejestrem czynności, a rejestrem kategorii czynności jest fakt, iż rejestr czynności przetwarzania prowadzi administrator danych, a rejestr kategorii czynności przetwarzania prowadzi podmiot przetwarzający dane. Wyżej wymienione rejestry  różnią się zakresem informacji, które zawierają.

Wskazówki do tworzenia rejestru czynności

Mimo braku sprecyzowania formy rejestru czynności przetwarzania istotne jest, by pamiętać o podaniu nazwy administratora danych wraz z danymi do kontaktu, danych Inspektora Ochrony Danych, nazwy czynności przetwarzania wraz z dodatkowymi obwarowaniami w związku z RODO dotyczące celu przetwarzania, kategorii osób, kategorii danych, planowanego terminu usunięcia danych, danych ewentualnych współadministratorów, a także możliwości transferu danych do kraju trzeciego.

Co powinno znaleźć się w rejestrze kategorii czynności?

Rejestru kategorii czynności dotyczy art. 30 ustęp 2 RODO, który stanowi, iż:

Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  2. kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  3. gdy ma to zastosowanie – przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  4. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Rekordy w prowadzonym rejestrze mają dotyczyć poszczególnych grup czynności dokonywanych na bazach administratorów. Nie należy utożsamiać ww. pojęcia z ogólnym pojęciem przetwarzania danych. Obowiązek prowadzenia tego rejestru wynika z wprowadzonej przez Rozporządzenie RODO tzw. zasady rozliczalności, która polega na obowiązku wykazania przez administratora wdrożenia odpowiednich środków technicznych i organizacyjnych, zmierzających do tego by przetwarzanie danych odbywało się zgodnie z przepisami. W praktyce często zalecane jest dodanie do rejestru kategorii czynności fakultatywnych informacji, takich jak: numer umowy oraz datę jej podpisania, czas trwania umowy, cel przetwarzania danych osobowych oraz ewentualne kary umowne z niej wynikające.

Omawiane ustalenia mają zastosowanie co do przedsiębiorcy lub podmiotu zatrudniającego więcej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO. Powracając do rejestru czynności, o którym była mowa – z powyższego wynika, iż rejestr czynności przetwarzania danych osobowych będzie musiał być stosowany i prowadzony u niemalże każdego pracodawcy. Niewątpliwie należy podkreślić, że w rejestrze nie zamieszcza się każdej czynności, jednak może on zawierać więcej informacji, elementów, które administrator danych oceni jako istotne i użyteczne w ramach działalności. Mogą to być między innymi: informacja, czy został spełniony obowiązek informacyjny, czynności przetwarzania danych, sposób w jaki dane są pozyskiwane, ewentualne miejsce występowania zgody osoby, której dane dotyczą.

Jako cel obowiązku prowadzenia rejestrów można śmiało określić zachowanie przez administratora i podmiot przetwarzający zgodności z RODO oraz umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania. Na każde żądanie organu nadzorczego informacje o prowadzonym przez administratora i podmiot przetwarzający przetwarzaniu będą udostępniane organowi w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji. Rejestry dotyczą wszystkich czynności przetwarzania danych osobowych, a określona w art. 30 ust. 1 i ust. 2 RODO klasyfikacja zawiera wiele istotnych dla sprawowania nadzoru kryteriów. Nawiązując do cech wspólnych obu rejestrów tj.: rejestru czynności i rejestru kategorii czynności nierzadko będzie tak, iż jedna z firm, jako administrator swoich danych, będzie zobowiązana prowadzić rejestr czynności przetwarzania, a jako podmiot przetwarzający dane w imieniu innych administratorów (jako procesor) będzie jednocześnie prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Co istotne, warto pamiętać przy tworzeniu dokumentacji, iż zapoznanie się z takimi rejestrami może być jednym z pierwszym z działań podejmowanych w celu przeprowadzenia przez organ nadzorczy kontroli przestrzegania przepisów RODO, nie tylko w ramach audytów, o których mowa w art. 58 ust. 1 lit. b RODO, ale także w innych prowadzonych przez organ postępowaniach.

 

Autor: Monika Liwoch

 

 

 

 

 

Projekt ustawy o ochronie danych osobowych Ministerstwa Cyfryzacji

o ochronie danych osobowych, rodo

Coraz mniej czasu do wejścia RODO… prace nad ustawą o ochronie danych osobowych trwają.

Państwa Unii Europejskiej muszą sprostać wyzwaniu dostosowania do krajowego porządku prawnego ogólnego rozporządzenia unijnego o ochronie danych osobowych (rozporządzenie 2016/679) zwanego RODO. Na stronie Ministerstwa Cyfryzacji został udostępniony projekt ustawy o ochronie danych osobowych, który ma zapewnić skuteczne stosowanie w polskim porządku prawnym RODO.

W projekcie znajdują się :

  • przepisy ogólne,
  • przepisy regulujące postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych,
  • europejską współpracę administracyjną,
  • postępowanie kontrolne,
  • administracyjne kary pieniężne,
  • odpowiedzialność cywilną i kwestie związane z inspektorami ochrony danych.

Projektu ustawy, tak naprawdę jeszcze się będzie zmieniał ze względu na to, że nie wyczerpuje on wszystkich regulacji koniecznych do wprowadzenia do projektowanej ustawy. Sam projekt był przygotowywany po konsultacjach przeprowadzonych ze środowiskiem naukowym oraz z przedstawicielami przedsiębiorców i innymi zainteresowanymi. Ważniejsze jednak wydaję się to, że założeniem projektowanej regulacji jest również zapewnienie obywatelom możliwości skuteczniejszego egzekwowania prawa do ochrony ich danych osobowych między innymi poprzez przyśpieszenie postępowania w sprawach dotyczących ich naruszeń. „Decyzja o udostępnieniu projektu podyktowana została dużym zainteresowaniem społecznym wypracowywanymi zmianami prawnymi i chęcią zapewnienia procesowi tworzenia nowych przepisów pełnej transparentności.” Czyżby Ministerstwo Cyfryzacji czekało na najważniejsze opinie – obywateli, a wśród nich między innymi pracowników, klientów … , których te dane ustawa ma pomagać chronić?

wprowadzenie_do_projektu_ustawy_o_ochronie_danych_osobowych_28_marca_2017

Projekt ustawy o ochronie danych osobowych 2017 marca 28

Współadministratorzy

Współadministratorzy – nowa definicja w rozporządzeniu unijnym. Jednym z nowych dla polskiego prawa pojęć, które wprowadza rozporządzenie unijne 2016/679 dotyczące ochrony danych osobowych, jest pojęcie współadministratora danych osobowych. Jak należy je jednak rozumieć? W jakich sytuacjach będziemy mieć do czynienia ze współadministratorami? Jaki będzie zakres odpowiedzialności każdego z nich? Mam nadzieję, że tym wpisem uda mi się rozwiać wszelkie wątpliwości związane z tym zagadnieniem.

Artykuł 26 rozporządzenia stanowi, że:

Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

Sam „administrator” jest natomiast rozumiany przez rozporządzenie jako:

osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Definicja administratora wskazuje nam więc już słowami „samodzielnie lub wspólnie z innymi” na możliwość zaistnienia tzw. kontroli pluralistycznej.

Grupa Robocza Artykułu 29 za najważniejszą i podstawową rolę pojęcia administratora danych osobowych uznała umożliwienie ustalenia odpowiedzialności za zgodność przetwarzania z zasadami ochrony danych i tego, w jaki sposób podmioty danych osobowych mogą wykonywać swoje prawa w praktyce. Dodatkowo w swojej opinii podkreśliła, że pojęcie to należy rozumieć w sposób:

  • autonomiczny i wspólnotowy – a więc interpretacja musi się odbywać według unijnych przepisów dotyczących danych osobowych i nie ulega zmianom ze względu na rozbieżności w ustawodawstwach krajowych;
  • funkcjonalny – co oznacza, że analizować należy okoliczności faktyczne, a nie formalne.

Jeżeli chodzi o element odróżniający administratora od innych podmiotów, a więc decydowanie o sposobach i celach przetwarzania danych osobowych, warto wiedzieć, że jest możliwe przekazanie przez administratora uprawnienia do określenia sposobów przetwarzania innemu podmiotowi, o ile chodzi o kwestie techniczne i organizacyjne. Natomiast już określenie celu przez dany podmiot powoduje samo w sobie uznanie go za faktycznego administratora[1]. Powyższe zasady rozumienia pojęcia administratora zastosujemy rzecz jasna analogicznie do terminu „współadministrator”.

Rozporządzenie nakłada na administratorów wspólnie ustalających cele i sposoby przetwarzania danych obowiązek dokonania przez nich wspólnych uzgodnień, które w sposób jasny i przejrzysty określać będą zakresy ich odpowiedzialności (szczególnie w odniesieniu do obowiązku informacyjnego administratorów oraz wykonywania przez podmiot danych – czyli osobę, której dane dotyczą – swoich praw). Uzgodnienia te mają odzwierciedlać nie tylko zakresy obowiązków współadministratorów, ale także relacje między nimi a podmiotami danych osobowych. Co więcej – zasadnicza treść tych uzgodnień musi być tym podmiotom udostępniona. Rozporządzenie dodatkowo wskazuje, że w uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą, co ma im ułatwić korzystanie ze swoich uprawnień. Niezależnie od wspomnianych uzgodnień osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z rozporządzenia wobec każdego z administratorów.

W tym miejscu pojawia się kluczowa kwestia – dotycząca odpowiedzialności współadministratorów za naruszenia przepisów o ochronie danych osobowych. Dyrektywa 95/46/WE, która regulowała sprawy związane z ochroną danych przed rozporządzeniem:

  • nie używała co prawda terminu „współadministrator”, jednak dopuszczała możliwość zaistnienia sytuacji, w której co najmniej dwóch administratorów wspólnie decyduje o celach i sposobach przetwarzania danych;
  • stanowiła, że administrator odpowiada tylko za szkodę, którą wyrządził – zwolniony był więc z odpowiedzialności za szkodę, za której powstanie nie ponosił winy – w związku z czym w pewnych okolicznościach osoba, której dane dotyczą, mogła nie uzyskać pełnego odszkodowania;
  • zwalniała administratora z odpowiedzialności za szkodę spowodowaną siłą wyższą.

Rozporządzenie reguluje tę kwestię inaczej:

  • Podmiot danych ma być teraz uprawniony do kierowania roszczeń przeciwko któremukolwiek ze współadministratorów – ten zaś, którego wybierze, odpowiada wobec niego za całą szkodę, jaką mu wyrządzono przez naruszenie przepisów o ochronie danych osobowych (chyba że prawo UE lub państwa członkowskiego rozdziela odpowiedzialność między współadministratorów w inny sposób).
  • Gdy wybrany przez poszkodowanego współadministrator zrekompensuje mu szkodę, może żądać zwrotu odpowiedniej części wypłaconej sumy od pozostałych administratorów – w częściach wynikających z zawartego przez nich porozumienia.
  • Zwolnienie z obowiązku pokrycia całego odszkodowania przez wskazanego administratora jest możliwe tylko wtedy, gdy nie jest on w żaden sposób odpowiedzialny za szkodę. Jeżeli odpowiada za nią chociażby w najmniejszym stopniu, to wyłączenie to już go nie obejmie.
  • Rozporządzenie nie przewiduje wprost zwolnienia z takiego obowiązku w przypadku siły wyższej, przez co współadministratorzy ponoszą teoretycznie większe ryzyko.

Udział współadministratorów w decydowaniu o celach i sposobach przetwarzania danych może przyjmować rozmaite formy. Poza tym warto pamiętać, że sam fakt współpracy różnych podmiotów w procesie przetwarzania nie czyni ich współadministratorami. Przykładowo:

  1. W przypadku, gdy biuro podróży przesyła dane osobowe swoich klientów, rezerwujących wyjazdy wakacyjne, do hotelu i linii lotniczych – biuro podróży, hotel i linie będą trzema administratorami danych, działającymi samodzielnie i odpowiedzialnymi za ochronę danych osobowych klientów we własnym zakresie.
  2. Jeżeli natomiast te trzy podmioty w ramach współpracy utworzą wspólną stronę internetową, uzgodnią między sobą ważne elementy sposobów przetwarzania danych użytkowników portalu, będą sprawować nad nim wspólną kontrolę i postanowią wymieniać się danymi swoich klientów w celach marketingowych, będą już współadministratorami w zakresie przetwarzania danych w procesie rezerwacji przy użyciu portalu, nawet jeżeli nie podzielają tych samych celów.

Inny przykład związany jest z kwestią odróżnienia udostępnienia danych od powierzenia ich przetwarzania:

  1. Kiedy przedsiębiorstwo headhunterskie A pomaga przedsiębiorstwu B w rekrutacji pracowników, zazwyczaj działa ono jako podmiot przetwarzający dane (procesor), bo to B decyduje o celach i sposobach przetwarzania, a więc jest administratorem danych.
  2. Jeżeli jednak przedsiębiorstwo A jest administratorem danych osobowych we własnej bazie danych, w której posiada inne CV niż te otrzymane od B i korzysta również z nich przy realizacji umowy z przedsiębiorstwem B – należy uznać przedsiębiorstwa za współadministratorów w zakresie przetwarzania związanego z procesem tej rekrutacji.

Warto także zauważyć, że rozporządzenie, wprowadzając konstrukcję współadministratorów, zdaje się wychodzić naprzeciw przede wszystkim przedsiębiorcom, którzy ze sobą współpracują – czy to w formie grup kapitałowych, czy też po prostu działającym wspólnie na postawie umowy dla osiągnięcia ustalonych wspólnie celów. Takie rozwiązanie powinno ułatwić im bowiem podział obowiązków w kwestii ochrony danych osobowych[2]. Czas jednak pokaże, jak opisana przeze mnie instytucja będzie tak naprawdę funkcjonować w praktyce, a także w jakim kierunku w interpretacji nowych unijnych przepisów pójdzie orzecznictwo i doktryna.

 

[1] Opinia Grupy Roboczej Artykułu 29 nr 1/2010  w sprawie pojęć „administrator danych” i „przetwarzający”

[2] Dariusz Wociór (red.), Ochrona danych osobowych i informacji niejawnych z uwzględnieniem ogólnego rozporządzenia unijnego