Jednym z dokumentów, o których mówi Rozporządzenie o ochronie danych osobowych nr 2016/679  (dalej: RODO lub GDPR) jest rejestr czynności przetwarzania danych.

Dokument ten został uregulowany w art. 30, który wymienia elementy obowiązkowe rejestru w przypadku przetwarzania przez administratora (ust. 1) lub podmiot przetwarzający (ust. 2) danych osobowych.

 

Z czego się składa rejestr czynności przetwarzania danych

Rozporządzenie wskazuje pewne elementy, które muszą się znaleźć w rejestrze. Są to:

  • nazwa oraz dane kontaktowe każdego klienta, w którego imieniu przetwarzają Państwo dane;
  • nazwa oraz dane kontaktowe każdego podmiotu, któremu dalej powierzyli Państwo przetwarzanie danych, jeżeli dotyczy;
  • imię oraz nazwisko i dane kontaktowe inspektora ochrony danych, jeżeli go powołano;
  • kategorie operacji przetwarzania danych wykonywanych w imieniu każdego z klientów;
  • operacje przekazywania danych poza Unię Europejską, które wykonują Państwo w imieniu swoich klientów, jeżeli dotyczy;

w zakresie w jakim to możliwe, ogólny opis technicznych oraz organizacyjnych  środków bezpieczeństwa, które zostały u Ciebie wdrożone.

 

Ile rejestrów należy prowadzić

To zależy. Jeżeli jesteś zarówno administratorem danych w  odniesieniu do swoich własnych danych (np. przetwarzasz dane subskrybentów swojego bloga o tematyce księgowej lub w związku z zarządzaniem pracownikami ),a  jednocześnie jesteś podmiotem przetwarzającym w imieniu innego podmiotu (np. prowadzisz usługi księgowe swoich klientów)  to wówczas należy prowadzić dwa odrębne rejestry czynności przetwarzania:

  • jeden rejestr czynności przetwarzania dla swoich własnych danych
  • drugi rejestr czynności przetwarzania danych, dla których jesteś podmiotem przetwarzającym

Jak widzisz ilość rejestrów jest zależna od Twojej roli (administratora bądź/i podmiotu przetwarzającego) a nie od ilości operacji.

 

Kto musi prowadzić rejestr

Obowiązek prowadzenia rejestru czynności przetwarzania obciąża każdy podmiot przetwarzający oraz jego przedstawiciel (jeżeli istnieje) prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Wyłączone z powyższego obowiązku są podmioty zatrudniające mniej niż 250 osób. Wyłączenie to nie ma zastosowania jeżeli przetwarzanie, którego dokonują:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego
  • obejmuje szczególne dane wrażliwe (np. o stanie zdrowia) genetyczne lub biometryczne lub
  • obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Zatem dla MŚP, blogerów, twórców internetowych ustalenie, czy masz obowiązek prowadzenia rejestru należy zacząć od ustalenia, jakie dane przetwarzasz. Czy znajdują się wśród nich dane wrażliwe? A może prowadzisz dane o osobach skazanych?

Jeśli odpowiedź jest twierdząca, to zacznij już myśleć o tworzeniu rejestru.

 

Jeśli nie masz obowiązku prowadzenia rejestru to co w zamian

Tak, jak opisałam powyżej, nie każdy podmiot przetwarzający dane ma obowiązek prowadzenia tego rejestru.

Jednak każdy podmiot przetwarzający ma obowiązek wdrożyć RODO i stosować środki bezpieczeństwa adekwatne do celu przetwarzanych danych. Co zatem zrobić?

Zalecałabym stosować rejestr czynności przetwarzania. Prowadzenie go pozwoli administratorowi nawet prowadzącemu blog, czy mała firmę na szczegółową analizę tego, w jaki sposób przetwarza dane osobowe.

 

Forma rejestrów

Rejestr czynności przetwarzania danych może być prowadzony zarówno w formie pisemnej bądź elektronicznej.

Najważniejszy aby był i był możliwy do pokazania na wypadek kontroli.

 

Czy administrator musi pokazać rejestr

To zależy komu. Administrator lub podmiot przetwarzający oraz przedstawiciel administratora lub podmiotu przetwarzającego (jeżeli taki istnieje) mają obowiązek udostępnić rejestr na każde żądanie organu nadzorczego.

Organ nadzorczy dokonuje kontroli tych rejestrów w celu monitorowania operacji przetwarzania.

Rejestr przetwarzania danych można przyrównać do dotychczasowego dokumentu pn. Polityka bezpieczeństwa.

Jeżeli rozporządzenie wskazuje, że mas tam w miarę możliwości opisywać techniczne oraz organizacyjne środki bezpieczeństwa, jakie zastosowałeś w firmie, to mocno zastanawiające byłoby udostępnianie takiego dokumentu publicznie wszystkim.

Porównuję to do sytuacji, gdybyś dał złodziejowi kluczyki do swojego mieszkania, a potem się dziwił, że zostałeś okradziony.

Środki bezpieczeństwa to istotne procedury jakie wprowadziłeś, aby dane osobowe były u Ciebie bezpieczne.

Dlatego nie udostępnia się informacji o tym, że stosujesz hasło 8-znakowe, szafę pancerną, alarm, czy szufladę zamykaną na kluczyk, który chowasz do szafki przy drzwiach.

Rejestr czynności przetwarzania masz obowiązek udostępnić na żądanie organu nadzorczego.

 

PORÓWNANIE PRZEPISÓW

Ustawa o ochronie danych osobowych

Rejestracja zbiorów danych osobowych uregulowana w dotychczasowej ustawie o ochronie danych osobowych art. 40 – 46a

 

Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a.

 

Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawierać:

1)   wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;

2)   oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania;

3)   cel przetwarzania danych;

3a)  opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;

4)   sposób zbierania oraz udostępniania danych;

4a)  informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;

5)   opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39;

6)   informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a;

7)   informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

  1. Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych, z zastrzeżeniem ust. 3.
  2. Jeżeli zmiana informacji, o której mowa w ust. 1 pkt 3a, dotyczy rozszerzenia zakresu przetwarzanych danych o dane, o których mowa w art. 27 ust. 1, administrator danych jest obowiązany do jej zgłoszenia przed dokonaniem zmiany w zbiorze.

Rozporządzenie o ochronie danych

Artykuł 30 Rejestrowanie czynności przetwarzania

  1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W

 

rejestrze tym zamieszcza się wszystkie następujące informacje:

  1. a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  2. b) cele przetwarzania;
  3. c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  6. f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
  8. Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:
  9. a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  10. b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  11. c) gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  12. d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
  13. Rejestry, o których mowa w ust. 1 i 2, mają formę pisemną, w tym formę elektroniczną.
  14. Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego.

5. Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Jeśli spodobał ci się artykuł, koniecznie podziel się nim ze znajomymi