Jak prowadzić rejestr czynności przetwarzania?
Chciałbyś zaprowadzić rejestr czynności przetwarzania w swojej firmie i nie wiesz, co powinno się w nim znaleźć? Przetwarzasz dane osobowe tylko, jako podmiot przetwarzający i zastanawiasz się, czy musisz prowadzić rejestr? Zatrudniasz mniej niż 250 pracowników i nie wiesz czy możesz zrezygnować z prowadzenia rejestru? Z niniejszego wpisu dowiesz się:
- Jakie elementy powinny znajdować się w rejestrze czynności przetwarzania,
- Czy podmiot przetwarzający również musi prowadzić rejestr,
- Jakie jednostki zostały zwolnione z obowiązku prowadzenia rejestru.
Informacje zamieszczane w rejestrze
RODO wymaga aby w rejestrze czynności przetwarzania prowadzonym przez administratora danych osobowych zamieszczać następujące informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów,
- dane przedstawiciela administratora oraz inspektora ochrony danych – gdy podmioty te zostały powołane,
- cele przetwarzania – np. wykonanie umowy, marketing bezpośredni, itp.
- opis kategorii osób, których dane dotyczą – np. pracownicy, klienci, kandydaci do pracy, itp.,
- opis kategorii danych osobowych – np. imię, nazwisko, numer telefonu, itp. Pamiętaj aby do rejestru nie wpisywać konkretnych danych osobowych, a jedynie ich kategorie,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych – w tej rubryce wypisujemy kategorie wszystkich podmiotów, którym dane są przekazywane, zarówno innych administratorów danych, jak i podmioty przetwarzające, np. biuro rachunkowe, kancelaria prawna, podwykonawcy, organy publiczne, itp.
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a gdy jest to wymagane, dokumentacja odpowiednich zabezpieczeń – informacje te wpisujemy tylko, gdy dane osobowe przekazywane są do państwa poza Unią Europejską albo do organizacji międzynarodowej,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych – może on być podany konkretnie, np. 5 lat od zgromadzenia danych albo opisowo, np. dane osobowe będą przechowywane do czasu przedawnienia roszczeń wynikających z umowy,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – w tym punkcie należy opisać stosowane przez ciebie środki bezpieczeństwa zarówno organizacyjne, jak i techniczne, fizyczne oraz informatyczne.
Rejestr a podmiot przetwarzający
Podmioty przetwarzające oraz ich przedstawiciele, zobowiązani są do prowadzenia rejestrów wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora danych osobowych. Rejestr taki różni się tym od opisanego powyżej rejestru czynności przetwarzania, że powinieneś w nim dodatkowo wskazać:
- imię i nazwisko lub nazwa oraz dane kontaktowe każdego administratora, w imieniu którego działasz jako podmiot przetwarzający,
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów, należy zatem wpisać jakie dane osobowe i w jakich operacjach są przez ciebie przetwarzane.
Oba ze ww. rejestrów możesz prowadzić w formie pisemnej albo w formie elektronicznej. Stosowna tabela w arkuszu kalkulacyjnym albo edytorze tekstu zapisana na nośniku danych będzie zatem wystarczająca.
Zwolnienie z obowiązku prowadzenia rejestru czynności przetwarzania
RODO zwalnia z obowiązku prowadzenia omawianych rejestrów przedsiębiorców oraz inne podmioty zatrudniające mniej niż 250 osób, chyba że:
- przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, dotyczy to zwłaszcza ryzyka wycieku danych osobowych, kradzieży danych, czy też włamania się na nośniki z zapisanymi danymi osobowymi,
- nie ma charakteru sporadycznego, odbywa się zatem w sposób ciągły. Pamiętaj, że przez przetwarzanie rozumie się również samo przechowywanie danych osobowych. Stąd też, nawet jeżeli masz bazę danych zapisaną na komputerze i nie korzystasz z niej na bieżąco, to i tak przetwarzasz w sposób ciągły dane osobowe w niej zapisane,
- obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO (chodzi to o tzw. dane wrażliwe), lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.
Niezwykle trudno jest wykazać – zwłaszcza przez przedsiębiorców – fakt jedynie sporadycznego przetwarzania danych osobowych. W praktyce bowiem przetwarzają oni w sposób ciągły dane osobowe swoich pracowników, klientów i kontrahentów. Podobnie problem może wystąpić z pierwszą przesłanką, przetwarzanie danych osobowych w systemach komputerowych, a w szczególności przy użyciu internetu może powodować ryzyko naruszenia praw osób, których dane dotyczą.
Najczęściej zatem przedsiębiorcy będą mogli skorzystać z przedmiotowego zwolnienia jedynie w niewielkiej części, do danych osobowych przetwarzanych sporadycznie oraz poza środowiskiem internetowym. Będą to zatem np. dane osobowe różnego typu inspektorów, bądź kontrolerów, inkasentów, itp. którzy pojawiają się w firmie sporadycznie oraz nie są gromadzone po zakończeniu przez nich czynności urzędowych.