Kiedy przedsiębiorca musi prowadzić obowiązkowy rejestr czynności przetwarzania danych osobowych bądź rejestr kategorii czynności w przedsiębiorstwie – jak prowadzić takie rejestry

1. Przetwarzanie danych osobowych

W pierwszej kolejności wskazać należy, że zgodnie z art. 4 pkt 2 RODO przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych. W zasadzie każda czynność mająca za przedmiot dane osobowe, może zostać uznana za przetwarzanie danych osobowych np. przekazywanie danych innym pracownikom w okresie dysponowania nimi dla celu, w którym udostępniono te dane (np. cv do czasu rozmowy kwalifikacyjnej).

Dane osobowe muszą być oczywiście zawsze przetwarzane zgodnie z określonymi zasadami, o których mówi art. 5 ust 1 RODO, a mianowicie:

• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
• prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
• przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
• przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Warto również wskazać, że przepisy RODO określają przypadki, w których przetwarzanie danych osobowych jest dopuszczalne (art. 6 ust.1), są to m.in.:

• osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

 

2. Administrator danych osobowych (ADO)

Następnie trzeba wskazać na podmiot obowiązany. Rozporządzenie RODO wprowadziło nową instytucję administratora danych osobowych (ADO). Zgodnie z art. 4 ust. 7, administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Funkcję ADO w przedsiębiorstwie może pełnić dotychczasowy administrator lub też osoba nowo zatrudniona w firmie do pełnienia tej funkcji. W małych przedsiębiorstwach administratorem danych będzie sam przedsiębiorca chyba, że powierzy pełnienie funkcji ADO np. swojemu dyrektorowi/kierownikowi zakładu. Podstawowe obowiązki administratora wg. przepisów RODO to m.in.:

• wdrażanie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem RODO w sposób mogący to wykazać, 
• środki techniczne i organizacyjne, o których mowa wyżej powinny być w razie potrzeby poddawane przeglądom i uaktualniane,
• środki techniczne i organizacyjne obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
• stosowanie zatwierdzonych kodeksów postępowania, lub zatwierdzonego mechanizmu certyfikacji, które mogą być wykorzystane, jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków
• prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych;
• zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru danych osobowych oraz komu dane te są przekazywane;
• prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych (z uwzględnieniem: imienia i nazwiska osoby upoważnionej, zakresu upoważnienia do przetwarzania danych osobowych, nr identyfikatora);
• powołanie Inspektora Ochrony Danych Osobowych (IODO) w przypadku, jeżeli przepisy do tego zobowiązują;
• zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem oraz przetwarzaniem z naruszeniem rozporządzenia.

Ponadto administrator danych ADO decyduje o tym, jakie informacje zbiera, do czego je przetwarza i czy przetwarza je sam czy za pośrednictwem osoby przez niego upoważnionej (np. pracownik) lub powierza je podmiotom zewnętrznym (na podstawie umowy o powierzenie danych osobowych). Jednakże zawsze, ma obowiązek przetwarzania pozyskanych danych tylko w sposób uregulowany przepisami prawa, mając na celu ochronę interesów osób, których one dotyczą. ADO jest również obowiązany do informowania o przetwarzaniu pozyskanych danych, o sposobie ich zabezpieczenia, zgodnie z przepisami RODO.

 

3. Co to jest rejestr czynności przetwarzania.

Rozporządzenie RODO wprowadza obowiązek, jakim jest prowadzenie rejestru czynności przetwarzania, który zastępuje wcześniejszy obowiązek zgłaszania zbiorów danych do GIODO. Obowiązek ten dotyczy nie tylko administratorów danych ADO, ale również podmiotów przetwarzających dane w imieniu administratorów. Taki rejestr jest wewnętrznym, firmowym dokumentem, który zalicza się t.zw. ksiąg przedsiębiorstwa, czyli dokumentacji też pracowniczej (obok np. handlowej, księgowej i innych) można prowadzić zarówno w formie elektronicznej czy pisemnej. Zgodnie z art. 30 ust. 1 RODO w rejestrze przetwarzania powinny się znaleźć m.in.:

• imię i nazwisko lub nazwa oraz dane kontaktowe administratora, a także, gdy ma to zastosowanie inspektora ochrony danych;
• cele przetwarzania;
• opis kategorii osób, których dane dotyczą (np. użytkownicy aplikacji);
• opis kategorii danych osobowych (np. imię i nazwisko);
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich; 
• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. RODO.

Wskazać również należy, że rejestr czynności przetwarzania pełni funkcję swego rodzaju ewidencji, w którym administrator umieszcza informacje o tym:

• czyje dane przetwarza z podziałem na kategorie osób, których dane dotyczą;
• jakie to są dane tj. wskazanie kategorii danych;
• w jakim celu dane są przetwarzane; 
• komu są ujawnianie tj. wskazanie kategorii odbiorców; 
• czy dane są przekazywane do państw trzecich; 
• jak długo dane są przechowywane oraz w jaki sposób są zabezpieczane.

Powyższy obowiązek dot. również podmiotów zewnętrznych, którym administratorzy zlecają na swój rachunek przetwarzanie danych osobowych. Zakres informacji zamieszczanych w rejestrze przez podmiot przetwarzający jest trochę inny i zgodnie z art. 30 ust. 2 powinien zawierać:

• imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu, którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
• kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
• gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Należy również wskazać, że rejestr czynności przetwarzania powinien być w należyty sposób zabezpieczony. Kwestią wdrożenia odpowiednich środków technicznych, które zabezpieczą przetwarzanie danych w firmie musi zająć się oczywiście administrator. Zgodnie z art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

• pseudonimizację i szyfrowanie danych osobowych; 
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; 
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; 
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

4. Obowiązek prowadzenia rejestru.

Art. 30 ust. 5 RODO, co do zasady wskazuje, że tylko przedsiębiorcy zatrudniający, co najmniej 250 osób są zobowiązani do prowadzenia rejestru czynności przetwarzania danych. Jednakże obowiązek ten został także nałożony na przedsiębiorców, którzy zatrudniają mniej niż 250 osób, w sytuacji, gdy:

• przedsiębiorca przetwarza dane w taki sposób, że może to powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
• przetwarzanie nie ma charakteru sporadycznego;
• przetwarzanie obejmuje szczególne kategorie danych osobowych (np. dane dotyczące zdrowia, poglądów politycznych itp.) lub dane dotyczące wyroków skazujących i czynów zabronionych.

Wskazać należy, że dla powstania powyższego obowiązku wystarczy, że zachodzi jedna z tych sytuacji samodzielnie. Jednakże sam rejestr czynności przetwarzania trzeba prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania. Przykładem może być małe przedsiębiorstwo, które systematycznie przetwarza dane dotyczące swoich pracowników. W związku z tym takie przetwarzanie nie będzie sporadyczne i będzie musiało zostać zawarte w rejestrze czynności przetwarzania. Natomiast inne czynności przetwarzania, które będą mieć charakter sporadyczny, nie będą musiały być zawarte w rejestrze czynności przetwarzania. Jednak tylko pod warunkiem, że będzie mało prawdopodobne, aby powodowało to ryzyko naruszenia praw lub wolności osób fizycznych, oraz nie będą to szczególne kategorii danych lub danych osobowych dotyczące wyroków skazujących i czynów zabronionych.

 

5. Przechowywanie danych osobowych – tworzenie zbiorów danych.

Przepisy RODO nie zawierają konkretnych wytycznych, które odnoszą się do sposobu przechowywania danych osobowych oraz prowadzenia dokumentacji przetwarzania danych osobowych, jak również jej zawartości. Nie oznacza to jednak, że administrator nie jest zobowiązany do posiadania żadnej dokumentacji w tym zakresie. Przepisy RODO nie określają wymagań dotyczących dokumentacji przetwarzania danych osobowych. Dają w tym zakresie dużą swobodę administratorom danych. Administrator może dowolnie kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przechowywania danych. Jednakże w przepisach RODO zostały ujęte pewne wymagania formalne dotyczące zakresu dokumentowania danych, są to m.in.:

• prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO; 
• zgłaszanie naruszenia ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO; 
• prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO; 
• zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

Przechowywanie danych jest to swojego rodzaju utrzymywanie zapisów w zbiorach danych (jak np. rejestry, kartoteki, wykazy). Takie zbiory umożliwiają korzystanie w rozumieniu definicji przetwarzania, przekazywanie, czyli udostępnianie uprawnionym pracownikom (sprzedawcom, akwizytorom tj. zaufanym partnerom), jak i podmiotom, z którymi przedsiębiorca współpracuje, czyli np. firmom transportowym czy serwisowym. Może również nastąpić ograniczanie utrzymania zapisów, które stanowią jedynie zarchiwizowanie danych nie dla przetwarzania, a z ostrożności w związku z terminami możliwych roszczeń z tytułu szkód na zasadach ogólnych lub gdy wynika to bezpośrednio z ustawy jak np. przepisy kodeksu pracy czy ustaw dotyczących ubezpieczeń społecznych nakładają na pracodawcę obowiązek przechowywania zbiorów dokumentacji personalnej, której okres wynosi 50 lat od dnia zakończenia stosunku pracy, jak również dokumentacji płacowej pracownika, licząc od dnia jej wytworzenia.

Pamiętać należy, że aby tworząc zbiory danych, niezależnie od ich formatowania i nośników, zawsze uwzględniać dwa podstawowe kryteria:

• czasu, przez jaki przedsiębiorca może je przechowywać:

- na czas niezbędny dla realizacji transakcji;
- na czas, w którym z tytułu transakcji mogą powstać obowiązki dla przedsiębiorcy (rękojmie, gwarancje, odpowiedzialność za produkt niebezpieczny);
- na czas nieograniczony;

• możliwość i zakres przetwarzania, w tym udostępniania osobom trzecim.

Warto również pamiętać, że jeżeli chodzi o dozwolone przetwarzanie, to można je podzielić na następujące kryteria:

• jedynie dla potrzeb tej jednej transakcji; 
• dla potrzeb innych transakcji z danym podmiotem (kontrahentem, klientem) bez możliwości wykorzystania we własnej działalności marketingowej oraz w celach reklamowych; 
• dla wykorzystania w celach marketingu i reklamy, ale tylko produktów przedsiębiorcy i dla danej osoby; 
• dla wykorzystania danych do przekazywania cenników i reklam innych produktów, podmiotów, według klucza branżowego lub zadeklarowanych zainteresowań; 
• zgoda na przetwarzanie, udostępnianie bez ograniczeń.

 

6. Podsumowanie

Podsumowując przedsiębiorcy w swoich firmach powinni na pewno opracować rejestr czynności przetwarzania w zakresie dotyczącym osób zatrudnionych. Taki rejestr powinien być na bieżąco aktualizowany, wraz z podejmowaniem przez pracodawcę jakichkolwiek nowych czynności na danych pracowników.

Przedsiębiorcy powinni również zastanowić się, czy pozostałe wyjątki dot. tworzenia rejestru czynności przetwarzania przewidziane w RODO mają zastosowanie w ich przypadku. Jeżeli oprócz danych osobowych osób zatrudnionych przedsiębiorcy będą przetwarzać także informacje dotyczące wyroków skazujących lub czynów zabronionych, albo, jeżeli sposób, w jaki przetwarzają dane osobowe innych osób czy też podmiotów może powodować ryzyko dla ich praw i wolności, to prowadzony rejestr powinien uwzględniać także wszelkie operacje dokonywane na danych tych podmiotów.

Podstawa prawna:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO), (t.j. Dz.Urz.UE.L 2016 Nr 119, str. 1);
• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1781).