Zgodnie z art. 30 RODO podmiot przetwarzający dane osobowe posiada obowiązek prowadzenia rejestru przetwarzania danych osobowych oraz kategorii czynności przetwarzania danych. Jednak nie jest to do końca prawda. W sieci spotyka się wiele informacji dotyczących konieczności prowadzenia takiej dokumentacji ochrony danych osobowych. Bardzo często, czystym przypadkiem, obok znajduje się informacja, iż specjalnie dla nas, czytelników tejże witryny, przewidziana została promocja na dokumentację z omawianego zakresu.
Rejestry danych osobowych – dla kogo?
Na samym początku należy podkreślić, iż nie są prawdziwe informację wskazujące, że każdy podmiot przetwarzający jakiekolwiek dane osobowe posiada obowiązek prowadzenia właściwych rejestrów!
RODO wymienia wprost, iż obowiązek ten dotyczy przedsiębiorców zatrudniających więcej niż 250 osób, „chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych”.
W tym miejscu dochodzimy do zawiłości przepisów, ponieważ wymienione zostały obowiązki w perspektywie zatrudnianych osób, a zaraz po nich użyta została formuła „chyba że”, odnosząca się do wszystkich kategorii przetwarzanych danych, nie tylko tych pracowniczych.
Mówiąc krótko, jeśli nasze przedsiębiorstwo przetwarza w większości jedynie dane pracowników w liczbie mniejszej niż 250 osób, to taki rejestr nie jest od nas wymagany. Jeśli zaś nasza działalność opiera się o przetwarzanie danych klientów w stopniu większym niż podstawowy (np. nie tylko dane do faktury, kontaktowe), to spoczywa na nas obowiązek prowadzenia właściwego rejestru. Szczególnie jeśli dane to są danymi tzw. wrażliwymi (wymienione w art. 9 RODO).
Przykład: osoba fizyczna prowadząca działalność gospodarczą, oferująca produkty w sklepie internetowym, będzie zobowiązana do prowadzenia rejestru. Warunkiem jest prowadzenie działalności na szeroką skalę.
Ważne: numer PESEL nie jest daną wrażliwą!
Czy tylko administrator danych osobowych musi rejestrować czynności przetwarzania?
Istotną informacją jest również fakt, iż nie tylko i wyłącznie administrator danych osobowych jest zobowiązany do prowadzenia dokumentacji rejestrów.
W przypadku rejestru przetwarzania danych zobowiązany, w sytuacji spełnienia ww. warunków, jest administrator oraz jego przedstawiciel – jeśli został wyznaczony. Przedstawiciel ADO to podmiot, który powinien zostać wyznaczony, jeżeli administrator nie posiada siedziby na terenie państwa członkowskiego.
W przypadku rejestru kategorii czynności przetwarzania danych osobowych zobowiązany do jego prowadzenia jest podmiot przetwarzający dane w imieniu ADO, oraz podobnie jak w powyższym przypadku, jego przedstawiciel o ile został wyznaczony.
Przykład: Przedsiębiorca zatrudnia 400 osób i zleca prowadzenie księgowości zewnętrznej firmie księgowej. W takim przypadku przedsiębiorca zobowiązany jest prowadzić rejestr przetwarzania danych, a firma księgowa, rejestr kategorii czynności.
Jak wyglądają rejestry czynności przetwarzania danych osobowych?
Prowadzenie obowiązkowej dokumentacji wprawdzie brzmi złowrogo, jednak w rzeczywistości nie jest niczym strasznym. Przepisy RODO nie wskazują postaci dokumentu, a jedynie wymagają zawarcia w nim określonych informacji. Tym samym rejestr czynności przetwarzania danych, czy kategorii danych najłatwiej jest prowadzić, jako tabelę w jednym z programów grupy office.
Jednym z podstawowych wymagań jest określenie administratora danych. Z racji przejrzystości dokumentacji jest to rzecz naturalna. Dodatkowo art. 30 RODO wskazuje na umieszczenie celów przetwarzania, opis kategorii osób oraz odbiorców itd. Należy podkreślić, że rejestr przetwarzania danych osobowych nie jest narzędziem szczegółowym, a jedynie ogólnym określeniem działań prowadzonych w organizacji. Nie ma potrzeby określania szczegółowych powodów przetwarzania czy wymieniania z imienia i nazwiska osób.
Dane zawarte w rejestrze
Na pozór skomplikowana dokumentacja okazuje się łatwa, gdy zastosujemy prosty wzór. Chodzi o to, aby nie rozpisywać się nadmiernie oraz nie ma potrzeby przywoływania podstaw prawnych z Rozporządzenia. Administrator danych osobowych czy inspektor ochrony danych przecież wie co wpisuje.
Jeśli przetwarzamy dane osobowe w celu rekrutacji to wystarczy wpisać w pierwszej kolumnie: umowy pracownicze.
Następnie w celach przetwarzania określić cel jako: przetwarzanie danych kandydatów i pracowników.
Kolejna kwestia to kategorię osób. W tym miejscu wielu ADO popełnia błąd, gdyż niepotrzebnie wymieniają poszczególne osoby. Wystarczy zawrzeć zapis: kandydaci oraz pracownicy.
Dalsza kolumna to opis kategorii danych. Jeśli przetwarzamy dane jedynie wynikające z Kodeksu pracy wystarczy umieścić taki zapis, że są to dane osobowe wynikające z kodeksu pracy. W sytuacji większej liczby danych np. w celu prowadzenia funduszu socjalnego, wskazać kategorie np.: stan rodziny.
W kolejnej kolumnie o nazwie kategoria odbiorców zamieszczamy adnotację, że nie dotyczy. Analogicznie postępujemy w kolejnej kolumnie dotyczącej przekazanie danych osobowych do państwa trzeciego.
Elementy ponad wymagania RODO
Przepisy RODO w art. 30 wskazują elementy obligatoryjne, a więc konieczne do zawarcie w rejestrze. Nie wyklucza to jednak możliwości, aby ADO prowadził bardziej rozbudowaną dokumentację. Wszystko zależy od potrzeb organizacji. Dlatego, jeśli ADO lub IOD uzna, że dla bezpieczeństwa danych, czy po prostu własnej organizacji pracy jest to wskazane to ma prawo tak uczynić.
Wielu inspektorów ochrony danych dokonuje rozbudowania rejestru. Przykładowo
o informacje dotyczące systemów, w jakich przetwarzanie są dane czy źródła ich pozyskania. Może okazać się to pomocne w sytuacji złożenia żądania osoby, której dane dotyczą z art. 15-21 RODO. Usprawni to pracę oraz czas przygotowania odpowiedzi.
Rejestr Prezesa Urzędu Ochrony Danych Osobowych
Organ ochrony zamieścił na swojej stronie przykładowe rejestry czynności i kategorii w celu swobodnego wykorzystania. Nie oznacza to jednak, że rejestr stworzony samodzielnie jest rejestrem złym. Organ podczas kontroli nie będzie dokonywał oceny formy rejestru, a jedynie tego, czy zostały spełnione wymagania z RODO. Jeśli uważamy, że w naszej organizacji wystarczający jest mniej rozbudowany rejestr lub też odpowiada nam inna jego forma, możemy wykorzystać dostępne w sieci wzory czy stworzyć samodzielnie od podstaw swoją dokumentację dotyczącą. Należy jedynie pamiętać o elementach obowiązkowych z art. 30 RODO.