books, library, office

REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH

Po co Administratorowi rejestr czynności przetwarzania danych? Każdy administrator danych osobowych zgodnie z art. 5 ust. 2 RODO musi wykazać, że dane przetwarza zgodnie z prawem (rozliczalność). I nie ma od tego wyjątków. Jednym (z wielu) sposobem na wykazanie prawidłowości przetwarzania danych jest prowadzenie Rejestru czynności przetwarzania danych (motyw 82 RODO). Gdyby doszło do sporu administratora z podmiotem danych lub organem nadzorczym dokumentacja prowadzona przez administratora, będzie dowodem! umożliwiającym wykazanie, że administrator dołożył wszelkich starań i wykazał się szczególną starannością w celu zminimalizowania ryzyka jakichkolwiek nieprawidłowości w procesie przetwarzania przez niego danych.
A więc może uchronić administratora przed wysoką karą nawet, gdyby doszło do wycieku! Wdrożenie odpowiedniej dokumentacji na pewno będzie tańszym rozwiązaniem niż kara nałożona od UODO. A te wiadomo ostatnio dość często mają miejsce.

Jak powinna wyglądać dokumentacja RODO?

Art. 24 RODO nakazuje administratorom wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią zgodność przetwarzania danych z obowiązującymi przepisami.

W przepisach ochrony danych osobowych nie ma szczegółowej informacji dotyczącej formy dokumentacji ochrony danych. To administrator podejmuje decyzje jaki zakres merytoryczny oraz jaką formę przyjmie dokumentacja ochrony danych. Jednak musi mieć na względzie wykazanie rozliczalności i zgodności przed UODO. Dokumentacja prowadzona przez administratora ma być prowadzona w formie pisemnej, w tym elektronicznej (rejestr może być prowadzony w pliku komputerowym).

W art. 5 ust. 1 RODO wymienione są zasady przetwarzania danych osobowych zgodnie, z którymi dane muszą być przetwarzane z zachowaniem zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności.

Przy tworzeniu Rejestru czynności przetwarzania danych należy przeprowadzić inwentaryzację wszystkich zasobów oraz procesów przetwarzania danych osobowych zachodzących w organizacji zgodnie z zasadami wskazanymi w RODO.

W zależności od złożoności procesów danej organizacji należy wybrać odpowiedni sposób, w jaki Rejestr czynności przetwarzania będzie tworzony
i przechowywany. Dostępne na rynku są odpowiednie programy do tego celu, ale równie dobrym rozwiązaniem jest prowadzenie rejestru w Excelu.
Na stronie UODO jest dostępny darmowy wzór prowadzenia Rejestru czynności przetwarzania, który można pobrać i posiłkować się nim przy tworzeniu własnego rejestru. Oczywiście dobrym rozwiązaniem jest skorzystanie z fachowej pomocy Inspektora ochrony danych, a jeżeli organizacja go nie posiada może skorzystać z naszych usług do czego zachęcamy. Wykonujemy audyty, tworzymy dokumentację w tym Rejestr czynności przetwarzania, więcej na ten temat w zakładce Oferta.

Co powinien zawierać Rejestr czynności przetwarzania?

Zgodnie z art. 30 ust. 1 RODO:

Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają.
W rejestrze tym zamieszcza się wszystkie następujące informacje:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

b) cele przetwarzania;

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Katalog ten zawiera minimalny zakres informacji, nie jest on katalogiem zamkniętym. Rozszerzenie rejestru czynności przetwarzania o nowe elementy może zwiększyć użyteczność rejestru, a także ułatwić monitorowanie przestrzegania RODO. Administrator musi być w stanie przedstawić wymagane w art. 30 elementy w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych, w sposób czytelny i przejrzysty.

Obowiązek wykazania zgodności z przepisami RODO.

Art. 5 ust. 2 zobowiązuje administratora do wykazania zgodności przetwarzania danych osobowych z przepisami z zakresu ochrony danych osobowych.

Zgodnie z art. 31 RODO administrator zobowiązany jest współpracować z organem nadzorczym, co może wiązać się z udostępnieniem Rejestru czynności przetwarzania na jego żądanie.

A więc, możemy przyjąć, że pierwszym działaniem kontrolnym UODO będzie zapoznanie się z Rejestrem czynności przetwarzania.

Kto ma dostęp do Rejestru czynności przetwarzania?

Nie wszyscy powinni mieć uprawnienia do wprowadzania lub zmiany danych w Rejestrze czynności przetwarzania. Administrator tworząc taki rejestr powinien zadbać o stosowanie odpowiednich środków technicznych i organizacyjnych. Środkami takimi m. in. są poufność, prawa dostępu i autoryzacji (tylko osoby upoważnione mogą mieć do niego dostęp), integralność, dostępność (należy pamiętać, że jest to dokument wewnętrzny, ale na wezwanie Organu nadzorczego należy go udostępnić), archiwizacja. Wszystkie procedury dotyczące zabezpieczeń Rejestru czynności przetwarzania powinny być uwzględnione
w Politykach organizacji np. w Polityce Bezpieczeństwa. Należałoby również przeszkolić personel odpowiedzialny za prowadzenie Rejestru czynności przetwarzania.

Wyjątki rejestrowania czynności przetwarzania danych

Ze względu na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw RODO przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów, które zatrudniają mniej niż 250 pracowników. Ale od tej zasady również przewidziane są wyjątki. Zgodnie z art. 30 ust. 5 RODO obowiązek prowadzenia Rejestru czynności przetwarzania nie dotyczy przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że:

  • przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą; lub
  • przetwarzanie nie ma charakteru sporadycznego, lub
  • przetwarzanie obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub
  • dane osobowe dotyczą wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.

Administrator ma obowiązek sporządzić Rejestr czynności przetwarzania jeżeli zachodzi chociażby jedna z tych sytuacji. W przepisach RODO nie jest wyjaśnione kiedy przetwarzanie jest sporadyczne albo kiedy istnieje ryzyko naruszenia praw lub wolności. Jednak zgodnie ze stanowiskiem Grupy Roboczej Art. 29  ds. ochrony danych w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust. 5 RODO jeżeli zachodzi chociażby jedna przesłanka z wyżej wymienionego artykułu administratorzy danych są zobowiązani do prowadzenia rejestru czynności przetwarzania. Jednak takie organizacje muszą jedynie prowadzić rejestr czynności przetwarzania dla rodzajów przetwarzania wskazanych w artykule 
30 ust. 5. A więc dla czynności, która odbywa się sporadycznie nie musi tworzyć rejestru.

Ponadto decyzja o tym czy prowadzić Rejestr czynności przetwarzania, powinna wynikać z przeprowadzonej wcześniej analizy ryzyka
i oceny skutków dla ochrony danych. Dzięki takiej analizie administrator będzie w stanie wykazać, że stosuje się do zasady rozliczalności.

Kara 40 000 zł dla burmistrza Aleksandrowa Kujawskiego

Pierwszą karą pieniężną nałożoną na podmiot publiczny przez Prezesa Urzędu Ochrony Danych Osobowych była kara w wysokości 40 000 zł na burmistrza Aleksandrowa Kujawskiego. PUODO stwierdził m. in. naruszenie art. 5 ust. 2 RODO (dotyczącego zasady rozliczalności) oraz
art. 30 ust. 1 lit. d oraz f RODO (dotyczący rejestrowania czynności przetwarzania) poprzez niewskazanie w rejestrze czynności przetwarzania danych osobowych, dla czynności związanych z publikacją informacji na stronie Biuletynu Informacji Publicznej Urzędu Miasta w Aleksandrowie Kujawskim, wszystkich odbiorców danych oraz niewskazanie dla tych czynności przetwarzania planowanego terminu usunięcia danych w sposób zapewniający przetwarzanie danych zgodnie z zasadą ograniczonego przechowywania (decyzja PUODO ZSPU.421.3.2019). PUODO nakazał
m. in. uzupełnić niekompletny Rejestr, a także wymierzył karę pieniężną w wysokości 40 000 zł. Kara ta była łączną karą za naruszenie przepisów RODO wskazanych w decyzji.

Prowadzenie Rejestru czynności przetwarzania to nie tylko ochrona przed potężnymi karami pieniężnymi (do wysokości 10 mln euro albo 2 % całkowitego rocznego światowego obrotu).Rejestr czynności przetwarzania pomaga administratorom zrozumieć jakie dane przetwarza i w jakim celu. Jest przydatny podczas tworzenia klauzul informacyjnych, a także może być punktem wyjścia w trakcie przeprowadzania audytu zgodności w organizacji. Dzięki informacjom zawartym w rejestrze administrator może dowiedzieć się w jakim zakresie musi spełnić inne obowiązki wynikające z RODO. Ponadto pozwala na ciągłą weryfikację procesów przetwarzania danych w organizacji.

Podsumowując administratorzy są zobowiązani do przestrzegania przepisów o ochronie danych, a także muszą wykazać zgodność swoich działań z przepisami RODO.

Rejestr to nie wszystkie obowiązki, które spoczywają na administratorze. Jest szereg innych bardzo ważnych procedur, które należy jak najszybciej wprowadzić do swojej organizacji, aby móc spać spokojnie. Jeżeli nie wiesz jak się za to zabrać, masz nawał obowiązków lub po prostu nie masz do tego głowy – My Ci pomożemy. Napisz do nas, a przedstawimy Ci ofertę.