Sprawdź, jak wypełnić rejestr czynności przetwarzania danych

Elementy rejestru

Objaśnienia

Imię i nazwisko lub nazwa oraz dane kontaktowe administratora, a także współadministratorów, przedstawiciela administratora i inspektora ochrony danych

Wskazany wymóg związany jest z wolą zapewnienia identyfikowalności podmiotów zobowiązanych, w szczególności administratora, względem organu nadzoru, który jest uprawniony do żądania udostępnienia mu rejestru na podstawie art. 30 ust. 4 RODO. Podanie natomiast informacji na temat inspektora ochrony danych skorelowane jest w zakresie ograniczonym danych kontaktowych z przepisem art. 37 ust. 7, zgodnie z którym dane kontaktowe są publikowane przez administratora, który wyznaczył inspektora, oraz zawiadamiany jest o nich organ nadzorczy, co z kolei jest związane z nałożonym na inspektora obowiązkiem współpracy z organem nadzorczym (art. 39 ust. 1 lit. d RODO). Zgodnie z art. 11 ustawy o ochronie danych osobowych na stronie internetowej administratora należy ujawnić imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora. Zatem taka informacja również powinna pojawić w rejestrze.

Użycie przez prawodawcę liczby mnogiej przy wskazywaniu danych kontaktowych  może sugerować, że wymagane jest wskazanie co najmniej kilku kanałów komunikacji z administratorem, jego przedstawicielem, współadministratorami lub inspektorem ochrony danych. Z pewnością za niewystarczające uznać należy podanie jedynie adresu strony internetowej lub samego adresu e-mail.

Cele przetwarzania danych

W tym kontekście zwrócić należy uwagę w szczególności na obowiązek administratora wynikający z realizacji zasady ograniczenia celu (art. 5 ust. 1 lit. b), zgodnie z którym dane osobowe mogą być zbierane wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być przetwarzane dalej w sposób niezgodny z tymi celami, co jest skorelowane z przesłankami przetwarzania wskazanymi w art. 6 i 9 RODO. Administrator zatem określa cel oraz legitymizuje przetwarzanie zgodnie z odpowiednią podstawą wymienioną w art. 6 ust. 1 lub art. 9 ust. 2, tym samym posiada odpowiednią wiedzę, odzwierciedlaną w rejestrze czynności przetwarzania danych.

Opis kategorii osób, których dane dotyczą

Chodzi o uogólniające wspólne wskazanie grup podmiotów danych, przy uwzględnieniu cech i powiązań wspólnych dla członków tych grup, których dane są przetwarzane przez jednostkę.

Grupami osób, które należy zamieścić w rejestrze są w szczególności:

• kandydaci do pracy,
• pracownicy,
• kontrahenci
• wolontariusze,
• praktykanci,
• zleceniobiorcy.

Kategorie danych osobowych

Administrator, kierując się zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO), określa zakres zbieranych danych, które powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne jest do celów, w których są przetwarzane, a w konsekwencji posiada konieczne informacje umożliwiające wypełnienie treścią rejestru w zakresie wskazanym w art. 30 ust. 1 lit. c RODO.

Przy określeniu kategorii danych można natomiast posiłkowo kierować się podziałem na dane osobowe zwykłe i wydzielone w ich ramach kategorie danych (np. imię, nazwisko, adres e-mail, adres zamieszkania itp.) oraz szczególne kategorie danych wymienione w art. 9 ust. 1 RODO (tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby). Są to kategorie danych w rozumieniu art. 30 ust. 1 lit. c. RODO.

Kategorie odbiorców, którym dane zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych

Obowiązek ten jest pochodną decyzji administratora związanej z zakresem dokonywanych operacji przetwarzania oraz spełnieniem odpowiedniej przesłanki legalizacyjnej (art. 6 ust. 1 lub art. 9 ust. 2 RODO) oraz dodatkowych przesłanek transferowych określonych w przepisach art. 44 i następne RODO.

Pojęcie odbiorcy zostało zdefiniowane w art. 4 pkt 9 RODO i oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem nie są jednak uznawane za odbiorców.

Pojęcie organizacji międzynarodowej zdefiniowane zostało z kolei w art. 4 pkt 26 RODO jako organizacja i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy. Odbiorca w państwie trzecim natomiast to podmiot z siedzibą poza Unią Europejską.

Jak wynika z powyższego, odbiorca danych – w ujęciu generalnym – to każdy podmiot, któremu ujawnia się dane. Ujawnianie oznacza umożliwienie dostępu do danych, niezależnie od tego, w jakiej formie ono następuje.

W rejestrze nie umieszcza się konkretnych danych na temat odbiorców, a jedynie ich kategorie, a zatem informacje na temat poszczególnych grup podmiotów klasyfikowanych według wspólnych im cech lub powiązań pomiędzy nimi, np. podmioty świadczące usługi IT, księgowo-kadrowe, przewoźnicy, kurierzy  itp.

Warto w tym miejscu rozważyć, czy  osoby upoważnione do przetwarzania danych są odbiorcami danych i należy je uwzględnić w rejestrze. Otóż odbiorcą jest wprawdzie podmiot przetwarzający, ale już nie inny podmiot działający z upoważnienia administratora, w jego imieniu i na jego polecenie wewnątrz struktury organizacyjnej. Dlatego na tak postawione pytanie należy odpowiedzieć przecząco.

Wątpliwości może również budzić kwestia, czy w rejestrze czynności przetwarzania należy umieścić czynności przetwarzania danych, które zostały powierzone innemu podmiotowi na podstawie umowy powierzenia przetwarzania danych. Tym razem odpowiedź brzmi inaczej. W rejestrze czynności przetwarzania należy bowiem zamieścić informacje o kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, do których należą m.in. podmioty przetwarzające, którym powierzono przetwarzanie danych.

Jak przykładowo może wyglądać wskazanie kategorii odbiorców w rejestrze? Zob. tabelę nr 2.

Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń

Zob. wyżej

Planowane terminy usunięcia poszczególnych kategorii danych - jeżeli jest to możliwe

Obowiązek ten związany jest z realizacją zasady ograniczenia przetwarzania (art. 5 ust. 1 lit. e RODO), zgodnie z którą m.in. przechowywanie ma następować przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Wymóg ten został także uwypuklony w motywie 39 RODO, podkreślającym nieodzowność zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum i konieczność ustalenia terminu usuwania danych i ich okresowego przeglądu, aby zapobiec ich przechowywaniu przez okres dłuższy, niż jest to niezbędne. Informacja na temat planowanych terminów usunięcia ma być podawana przez administratora w rejestrze jedynie wtedy, kiedy jest to możliwe. W wielu bowiem przypadkach wskazanie nawet planowanych terminów usunięcia nie jest możliwie lub jest co najmniej znacznie utrudnione. Rozważyć zatem należy wprowadzenie rozwiązania wskazującego termin usunięcia liczony np. od określonego zdarzenia lub terminu, np. zakończenia umowy, wycofania zgody.

Zob. także tabelę nr 3.

Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa - jeżeli jest to możliwe

Związane jest to z wykonywaniem przez administratora obowiązku zapewnienia bezpieczeństwa przetwarzania zgodnie z art. 32 RODO, a zatem wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Podobnie jak w poprzednim przypadku zawarcie opisu technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 RODO, nastąpić powinno jedynie wtedy, gdy jest to możliwe, a zatem gdy informacje te są dostępne w związku z wdrożeniem odpowiednich środków.

Jak konkretnie opisać środki bezpieczeństwa w rejestrze? Zob. tabelę nr 4.

Cel przetwarzania

Nazwa podmiotu przetwarzającego
i dane kontaktowe
(jeśli dotyczy)

Kategorie odbiorców
(innych niż podmiot przetwarzający)

Art. 30 ust. 1 pkt b RODO

Art. 30 ust. 1 pkt d RODO

Art. 30 ust. 1 pkt d RODO

Rekrutacja pracowników

Nie dotyczy

Dane nie są przekazywane innym podmiotom

Prowadzenie ewidencji pracowników zgodnie z Kodeksem pracy

Nie dotyczy

ZUS, inne firmy ubezpieczeniowe - dotyczy tylko osób posiadających polisy ubezpieczeniowe

Zgłoszenia pracownika i członków jego rodziny do ZUS, aktualizacja zgłoszenia oraz przekazywanie informacji o zwolnieniach

Nie dotyczy

ZUS, inne firmy ubezpieczeniowe - dotyczy tylko osób posiadających polisy ubezpieczeniowe

Prowadzenie rozliczeń z pracownikami, naliczanie potrąceń, obliczanie składek ZUS

Nie dotyczy

Banki, urzędy skarbowe, ZUS,  inne firmy ubezpieczeniowe - dotyczy tylko osób posiadających polisy ubezpieczeniowe

Cel przetwarzania

Planowany termin usunięcia
kategorii danych
(jeżeli jest to możliwe)

Art. 30 ust. 1 pkt b RODO

Art. 30 ust. 1 pkt f RODO

Rekrutacja pracowników

Po zakończeniu procesu rekrutacyjnego

Prowadzenie ewidencji pracowników zgodnie z Kodeksem pracy

50 lat   - art. 51u ust. 1 ustawy o narodowym zasobie archiwalnym i archiwach, od 1 stycznia 2019 r. – 10 lat

Zgłoszenia pracownika i członków jego rodziny do ZUS, aktualizacja zgłoszenia oraz przekazywanie informacji o zwolnieniach

50 lat  - art. 125a ust. 4  ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, od 1 stycznia 2019 r. – 10 lat

Prowadzenie rozliczeń z pracownikami, naliczanie potrąceń, obliczanie składek ZUS

50 lat  - art. 125a ust. 4  ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, od 1 stycznia 2019 r. – 10 lat

Cel przetwarzania

Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa zgodnie z art. 32 ust. 1 RODO
(jeżeli jest to możliwe)

Art. 30 ust. 1 pkt b RODO

Art. 30 ust. 1 pkt g RODO

Rekrutacja pracowników

Zamykane szafy w pomieszczeniach zamykanych, dostępnych tylko dla upoważnionych osób. Kontrola dostępu do systemu informatycznego, dostęp tylko dla osób upoważnionych.

Prowadzenie ewidencji pracowników zgodnie z Kodeksem pracy

Zamykane szafy w pomieszczeniach zamykanych, dostępnych tylko dla upoważnionych osób. Kontrola dostępu do systemu informatycznego, dostęp tylko dla upoważnionych osób, instalacja oprogramowania zabezpieczającego typu firewall, system antywirusowy, system wykrywania włamań.

Zgłoszenia pracownika i członków jego rodziny do ZUS, aktualizacja zgłoszenia oraz przekazywanie informacji o zwolnieniach

Zamykane szafy w pomieszczeniach zamykanych, dostępnych tylko dla upoważnionych osób. Kontrola dostępu do systemu informatycznego, dostęp tylko dla upoważnionych osób, instalacja oprogramowania zabezpieczającego typu firewall, system antywirusowy, system wykrywania włamań. Szyfrowana transmisja podczas przekazywania danych.

Prowadzenie rozliczeń z pracownikami, naliczanie potrąceń, obliczanie składek ZUS

Zamykane szafy w pomieszczeniach zamykanych, dostępnych tylko dla upoważnionych osób. Kontrola dostępu do systemu informatycznego, dostęp tylko dla upoważnionych osób, instalacja oprogramowania zabezpieczającego typu firewall, system antywirusowy, system wykrywania włamań. Szyfrowana transmisja podczas przekazywania danych.