Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) rejestr czynności przetwarzania powinien prowadzić administrator a rejestr kategorii czynności przetwarzania podmiot przetwarzający. Dowiedz się, jak realizować ten obowiązek zgodnie z RODO.
Obowiązek prowadzenia rejestru czynności przetwarzania i kategorii czynności przetwarzania ma każdy podmiot zatrudniający co najmniej 250 osób. RODO zwalnia z obowiązku prowadzenia tych rejestrów wszystkie podmioty, które zatrudniają mniej niż 250 osób, pod warunkiem że przetwarzanie, którego dokonują:
Warunki te dotyczą dwóch nieostrych kategorii, tj. wysokiego ryzyka dla praw lub wolności oraz sporadyczności przetwarzania. Ryzyko naruszenia praw lub wolności osób, których dane dotyczą, powinno być przez administratora danych oceniane indywidualnie.
|
PRZYKŁAD Oceniając ryzyko wycieku przetwarzanych danych osobowych, trzeba do każdego przypadku podejść indywidualnie. Czym innym jest wyciek danych użytkowników portalu randkowego, a czym innym wyciek danych kontaktowych osób zapisanych na biznesowy newsletter. W pierwszym przypadku osoby, których dane wyciekły, mogą być narażone na szykany i nieprzyjemności natury społecznej (czyli na naruszenie ich praw lub wolności), natomiast w drugim przypadku to, że osoby trzecie dowiedzą się o tym, kto jest zainteresowany treścią newslettera, nie wpłynie co do zasady na prawa i wolności poszkodowanych. |
Większy problem stanowi natomiast rozdzielenie przetwarzania o charakterze sporadycznym i przetwarzania niesporadycznego.
Motyw 13 RODO wskazuje, że „z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników”. Z tego zapisu wynika, że prawodawca chciał, co do zasady, odciążyć mniejsze podmioty z obowiązku prowadzenia rejestru. Zapomniał jednak o wprowadzeniu definicji sporadyczności lub, co bardziej prawdopodobne, pozostawił to indywidualnej ocenie. Według słownika języka polskiego termin „sporadyczny” oznacza tyle, co „występujący rzadko” czy też „występujący nieregularnie”. W praktyce ciężko zatem takie niesporadyczne przetwarzanie wskazać.
|
PRZYKŁAD Trudno mówić o niesporadycznym przetwarzaniu danych w przypadku np. prowadzenia bazy danych klientów przez mikroprzedsiębiorstwo. Nawet jeżeli taka baza jest uzupełniana rzadko (np. średnio 1–2 razy w miesiącu), to będziemy mieli wówczas do czynienia z pewną regularnością, tj. uzupełnianiem jej ilekroć nawiązana zostanie współpraca z nowym klientem. Czym innym może być sytuacja, w której samozatrudniony przedsiębiorca opiera swoją współpracę o jednego zleceniodawcę. |
Termin „sporadyczność” zostanie najprawdopodobniej doprecyzowany w toku stosowania ogólnego rozporządzenia o ochronie danych. Niemniej jednak z zapisów RODO wynika, że większość podmiotów zatrudniających poniżej 250 osób również będzie musiała prowadzić rejestr czynności przetwarzania lub rejestr kategorii czynności przetwarzania z uwagi na to, że dokonują przetwarzania w sposób inny niż sporadyczny.
|
Rejestr czynności przetwarzania (dla administratorów i ich przedstawicieli) |
Rejestr kategorii czynności przetwarzania (dla procesorów i ich przedstawicieli) |
|
|
Oba rejestry powinny mieć formę pisemną. Może być to forma zarówno papierowa, jak i elektroniczna (w dowolnym systemie/formacie). Rejestry powinny być udostępniane na każde żądanie Prezesa Urzędu ochrony Danych Osobowych.
Punktem wyjścia przy spełnianiu obowiązku rejestrowania czynności przetwarzania jest zdefiniowanie samego pojęcia tych czynności. Zgodnie ze wskazówkami GIODO „czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane”.
|
PRZYKŁAD A. Przy rekrutacji pracowników jeden cel będzie obejmował wiele cząstkowych operacji niewymagających szczegółowego opisywania w rejestrze, takich jak:
Nie ma w tym wypadku konieczności opisywania osobno każdej z tych operacji wykonywanej na danych w procesie określonym zbiorczo „rekrutacja pracowników”, gdyż nie jest to konieczne do scharakteryzowania przetwarzania zgodnie z kryteriami wskazanymi w ogólnym rozporządzeniu. B. Analogicznie, przy obsłudze umów sprzedaży, jako czynność przetwarzania wpisujemy „obsługa umów sprzedaży”, nie dzieląc procesu na inne kategorie, takie jak np. „rejestrowanie danych klienta” czy też „wystawienie faktury”. |
Przy wyodrębnianiu poszczególnych czynności przetwarzania warto uwzględnić rzeczywisty podział zadań pomiędzy poszczególne komórki organizacyjne lub osoby w danej jednostce (np. na dział kadr przechowujący zwolnienia lekarskie i dane dotyczące dzieci pracowników oraz dział księgowy zajmujący się wypłatą wynagrodzeń). Nie ma oczywiście przeszkód, aby w mniejszych podmiotach wyodrębniać jedną kategorię pracowniczą, np. „Prowadzenie ewidencji pracowników i rozliczeń z pracownikami”.
Kolejną kategorią wymagającą wyjaśnienia są „odbiorcy danych”. Jak wskazuje GIODO, „podmiotami objętymi definicją odbiorcy będą podmioty przetwarzające, natomiast nie będą nimi inne podmioty działające z upoważnienia administratora, w jego imieniu i na jego polecenie wewnątrz struktury organizacyjnej”. Oznacza to, że jako odbiorcę wpiszemy np. „Firma księgowa X” zamiast „Pani A., główny specjalista w Firmie Księgowej X”.
Z kolei rozumienie pojęcia kategorii czynności przetwarzania jest szczególnie istotne dla procesorów. Należy je definiować jako rodzaj usługi związanej ze zleconymi czynnościami przetwarzania, która jest realizowana przez procesora na zlecenie administratora.
|
PRZYKŁAD Kategorie czynności przetwarzania: 1) przechowywanie danych klienta (administratora) poprzez udostępnienie mu określonej przestrzeni dyskowej w infrastrukturze przetwarzającego na przechowywanie danych (klient sam zarządza i decyduje o tym, jakie dane tam przechowuje), 2) udostępnienie klientowi (administratorowi) określonej platformy programistycznej (np. serwera WWW wraz z odpowiednim oprogramowaniem do prowadzenia własnej strony internetowej), 3) przechowywanie dokumentacji podatkowej, księgowej, kadrowej i medycznej, 4) prowadzenie dokumentacji podatkowej, księgowej, kadrowej i medycznej. |
W przypadku rejestru kategorii czynności przetwarzania poszczególne wpisy w tym rejestrze powinny być uporządkowane według kategorii przetwarzania.
W tym miejscu warto również wspomnieć o tym, jak ma wyglądać ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. W tej kwestii GIODO podał konkretne wskazówki. Otóż w każdym przypadku opis taki ma umożliwiać administratorowi, procesorowi oraz organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych) wstępną ocenę zastosowanych środków w odniesieniu do poszczególnych czynności i kategorii czynności zamieszczonych w rejestrze.
|
PRZYKŁAD Opis środków bezpieczeństwa: „Do kontroli dostępu do danych przetwarzanych w systemie informatycznym zastosowano kontrolę dostępu bazującą na wydawanych kartach z certyfikatami dostępu oraz przekazanych ich użytkownikom kodach PIN”. |
Wzory poszczególnych rejestrów wraz z przykładami przygotowane przez Generalnego Inspektora Ochrony Danych Osobowych pobierzesz ze strony odo.wip.pl, zakładka wzory dokumentów. Można je modyfikować. Niemniej jednak, z praktycznego punktu widzenia, rejestr powinien być tak skonstruowany, aby:
Z kolei w przypadku rejestru kategorii przetwarzania, obok wydzielenia strony z danymi procesora na podobnych zasadach jak opisane wcześniej, warto dla każdego wpisu w rejestrze na pierwszej pozycji umieścić nazwę danej „kategorii czynności przetwarzania” (rodzaj usługi) jako wartości pozwalającej pogrupować wszystkie wpisy, a następnie umieścić:
W kolejnych pozycjach należy zamieścić pozostałe informacje wymagane wskazanymi przepisami.
Nie ma również przeszkód, aby w kolejnych pozycjach rejestru znalazły się inne informacje, które z przyczyn porządkowych uznamy za zasadne, takie jak np. wskazanie podstawy prawnej przetwarzania, dane kontaktowe procesorów czy też wskazanie źródła pozyskania danych.
Rejestry czynności przetwarzania danych osobowych i kategorii czynności przetwarzania danych osobowych, z uwagi na swoją zawartość, mogą stanowić również podstawę monitorowania zgodności przetwarzania danych z prawem przez inspektorów ochrony danych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
