Jak prowadzić rejestr czynności przetwarzania danych?
6 mar
Jak prowadzić rejestr czynności przetwarzania danych?
Na wstępie trzeba powiedzieć, że stosowanie ochrony danych osobowych to ważny obowiązek przedsiębiorców, wynikający z wprowadzonego niemalże 10 lat temu rozporządzenia RODO, o którym mogłeś już wcześniej usłyszeć. Z art. 30 RODO wynika, że administrator ma co do zasady obowiązek prowadzenia rejestru czynności przetwarzania danych.
Rejestr pozwala uporządkować procesy związane z przetwarzaniem danych osobowych i wykazać zgodność działalności przedsiębiorstwa z przepisami RODO (zasada rozliczalności). Najczęściej obok polityki bezpieczeństwa informacji to właśnie ten dokument jest jednym z pierwszych, o który pyta organ nadzorczy podczas kontroli.
W artykule wyjaśniam, czym jest rejestr czynności przetwarzania danych, kto musi go prowadzić oraz jakie informacje powinny się w nim znaleźć.
Czym jest rejestr czynności przetwarzania danych?
Jak już wskazałem na wstępie, rejestr czynności przetwarzania danych to dokument wymagany przez art. 30 RODO. Zawiera zestawienie wszystkich procesów, w których przedsiębiorstwo przetwarza dane osobowe.
Można powiedzieć, że jest to swoista „mapa przetwarzania danych” w organizacji. Dlaczego? Wskutek prawidłowego wdrożenia rejestru, administrator danych jest w stanie:
- uporządkować procesy związane z danymi osobowymi,
- ocenić zgodność działań z przepisami RODO,
- identyfikować ryzyka związane z przetwarzaniem danych.
TIP: Urząd Ochrony Danych Osobowych (UODO) stoi na stanowisku, że nie trzeba w rejestrze opisywać pojedynczych operacji technicznych. Wystarczy opisać grupy procesów przetwarzania danych, np. rekrutację pracowników, prowadzenie dokumentacji pracowniczej, obsługę klientów, prowadzenie działań marketingowych. Opisując to w ten sposób, każdy z tych procesów może obejmować wiele operacji na danych, takich jak ich zbieranie, przechowywanie czy usuwanie. [źródło: Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO, Urząd Ochrony Danych Osobowych, 25 maja 2018 r.]
Kto musi prowadzić rejestr czynności przetwarzania danych?
Zgodnie z art. 30 ust. 1 RODO obowiązek prowadzenia rejestru dotyczy administratorów danych, czyli podmiotów decydujących o celach i sposobach przetwarzania danych osobowych, a także – gdy ma to zastosowanie – przedstawiciela administratora.
Kim jest administrator danych?
Odpowiedź zacznijmy od ustalenia tego, kim jest administrator danych osobowych. Pojęcie „administrator” bywa mylące dla osób, które nie zajmują się na co dzień ochroną danych, dlatego, że może kojarzyć się ono np. z administratorem systemu informatycznego lub osobą zarządzającą infrastrukturą. Tymczasem w świetle przepisów RODO znaczenie tego pojęcia jest zupełnie inne. Zgodnie z art. 4 pkt 7 RODO:
„’administrator’ oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania”. (art. 4 pkt 7 RODO)
Oznacza to, że administrator jako podmiot podejmujący kluczowe decyzje dotyczące przetwarzania danych osobowych, decyduje o tym, w jakim celu i w jaki sposób dane są przetwarzane. To właśnie dlatego administrator odpowiada m.in. za prawidłowe prowadzenie dokumentacji RODO, w tym za rejestr czynności przetwarzania danych.
Administratorami danych mogą być zarówno podmioty publiczne, jak i prywatne przedsiębiorstwa. W praktyce bardzo często zdarza się, że są nimi organizacje prowadzące działalność gospodarczą lub instytucje publiczne. Poniżej przedstawiam przykłady administratorów danych osobowych:
- pracodawca – w zakresie danych pracowników i kandydatów do pracy,
- internetowa księgarnia – w zakresie danych klientów,
- biuro podróży – w zakresie danych klientów korzystających z usług.
- spółki jawne,
- spółki partnerskie,
- spółki komandytowe,
- spółki komandytowo-akcyjne,
- spółki z ograniczoną odpowiedzialnością,
- spółki akcyjne,
- jednoosobowe działalności gospodarcze,
- organizacje branżowe i stowarzyszenia przedsiębiorców.
Administratorami danych nie są natomiast osoby pełniące funkcje w organach spółki, np. prezes zarządu czy członkowie rady nadzorczej. Oznacza to, że powołanie nowego prezesa zarządu lub zmiana składu zarządu nie powoduje zmiany administratora danych. Administratorem nadal pozostaje ta sama organizacja.
Kim jest przedstawiciel administratora?
W niektórych sytuacjach przepisy RODO wymagają również wyznaczenia przedstawiciela administratora. Zgodnie z art. 4 pkt 17 RODO:
„’przedstawiciel’ oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z niniejszego rozporządzenia”. (art. 4 pkt 17 RODO)
Dotyczy to przede wszystkim administratorów lub podmiotów przetwarzających, którzy nie posiadają jednostki organizacyjnej w Unii Europejskiej, ale oferują swoje usługi osobom znajdującym się na terenie UE lub monitorują ich zachowanie. Przedstawiciel administratora działa wtedy jako punkt kontaktowy dla organów nadzorczych oraz osób, których dane dotyczą. W określonym zakresie może on również wykonywać obowiązki związane z dokumentacją RODO
Czy małe firmy muszą prowadzić rejestr?
Czytelniku, przypuszczam, że być może dla uzyskania tej odpowiedzi, odwiedziłeś stronę internetową kancelarii. Już wyjaśniam. W art. 30 ust. 5 RODO, ustawodawca unijny przewidział ograniczenie obowiązku prowadzenia rejestru czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 osób. Niestety, od tego wyjątku również istnieje wyjątek. Rejestr trzeba obowiązkowo prowadzić w mniejszych firmach, jeżeli przetwarzanie danych:
- nie ma charakteru sporadycznego,
- może powodować ryzyko naruszenia praw lub wolności osób,
- obejmuje szczególne kategorie danych (np. dane zdrowotne),
- dotyczy danych o wyrokach skazujących lub czynach zabronionych.
Z uwagi na powyższe przesłanki, zwłaszcza pkt 1, większość przedsiębiorców powinna posiadać rejestr czynności przetwarzania danych, nawet jeśli nie zatrudniają pracowników.
Jakie informacje powinien zawierać rejestr czynności przetwarzania danych?
Art. 30 ust. 1 RODO wskazuje minimalny zakres informacji, które powinny znaleźć się w rejestrze. Do najważniejszych elementów należą:
| Element rejestru | Opis |
|---|---|
| Dane administratora | Nazwa oraz dane kontaktowe administratora danych. |
| Cele przetwarzania | Informacja, w jakim celu przetwarzane są dane osobowe. |
| Kategorie osób | Opis grup osób, których dane dotyczą (np. pracownicy, klienci). |
| Kategorie danych | Rodzaje danych osobowych przetwarzanych w ramach danej czynności. |
| Odbiorcy danych | Podmioty, którym dane są ujawniane lub przekazywane. |
| Terminy usunięcia danych | Planowany okres przechowywania danych lub kryteria jego ustalania. |
| Współadministrator | Nazwa oraz dane kontaktowe współadministratora danych – jeżeli przetwarzanie odbywa się wspólnie z innym podmiotem. |
| Podmiot przetwarzający | Nazwa oraz dane kontaktowe podmiotu przetwarzającego dane w imieniu administratora (np. biuro księgowe, dostawca usług IT). |
| Transfer danych | Informacje o przekazywaniu danych do państw trzecich lub organizacji międzynarodowych oraz o zastosowanych zabezpieczeniach. |
| Środki bezpieczeństwa | Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa chroniących dane osobowe. |
Warto pamiętać, że RODO wskazuje jedynie minimalny zakres danych w rejestrze. Przedsiębiorcy często rozszerzają go o dodatkowe informacje, które pomagają zarządzać ryzykiem i procesami w firmie, takie jak:
- Nazwa czynności przetwarzania
- Podstawa prawna
- Źródło danych
- Nazwa systemu lub oprogramowania
- DPiA (ocena skutków przetwarzania danych)
Powyższe rozszerzenie rejestru jest pozytywnym sygnałem dla UODO, determinującym przyjęcie, ze administrator rozumie jakie dane osobowe przetwarza, w jaki sposób i w jakim celu.
W jakiej formie prowadzić rejestr czynności przetwarzania danych?
Zgodnie z art. 30 ust. 3 RODO rejestr powinien mieć formę pisemną, w tym formę elektroniczną.
Z praktyki UODO wynika, że najważniejsze jest to, aby dokument był: czytelny (przejrzysty) i zaktualizowany. Dobrą praktyką jest prowadzenie rejestru w arkuszu Excel, albowiem narzędzie to daje przestrzeń do elastycznego dopasowania zakresu rejestru do potrzeb administratora danych osobowych. Zaktualizowany rejestr powinien zostać zaciągnięty do dokumentacji wewnętrznej firmy.
Należy pamiętać o tym, że rejestr powinien być dokumentem aktualnym. Wprowadzenie nowych procesów w firmie takich jak np. wdrożenie systemu CRM lub rozpoczęcie kampanii marketingowej może oznaczać konieczność dodania nowych czynności przetwarzania.
FAQ – rejestr czynności przetwarzania danych
1. Czy każda firma musi prowadzić rejestr czynności przetwarzania?
Co do zasady obowiązek prowadzenia rejestru czynności przetwarzania wynika z art. 30 ust. 1 RODO i dotyczy wszystkich administratorów danych osobowych. Rejestr stanowi podstawowy element dokumentacji RODO i pozwala wykazać zgodność działalności z zasadą rozliczalności. Jest to także jeden z pierwszych dokumentów, o który może poprosić organ nadzorczy podczas kontroli.
2. Czy mała firma musi prowadzić rejestr czynności przetwarzania?
RODO przewiduje wyjątek dla podmiotów zatrudniających mniej niż 250 osób, jednak w praktyce ma on ograniczone zastosowanie. Rejestr trzeba prowadzić również w mniejszych organizacjach, jeżeli przetwarzanie danych nie ma charakteru sporadycznego, może powodować ryzyko naruszenia praw osób lub obejmuje szczególne kategorie danych. Z tego względu zdecydowana większość przedsiębiorców powinna posiadać rejestr czynności przetwarzania danych, nawet jeżeli prowadzi niewielką działalność gospodarczą.
3. Czy rejestr czynności przetwarzania musi mieć formę elektroniczną?
Zgodnie z art. 30 ust. 3 RODO rejestr powinien mieć formę pisemną, przy czym przepisy dopuszczają również formę elektroniczną. W praktyce bardzo często prowadzi się go w arkuszu kalkulacyjnym, np. w Excelu. Najważniejsze jest to, aby dokument był czytelny, przejrzysty oraz na bieżąco aktualizowany w przypadku zmian w procesach przetwarzania danych.
4. Po co jest rejestr czynności przetwarzania?
Rejestr czynności przetwarzania pozwala uporządkować procesy związane z danymi osobowymi w organizacji. Dzięki niemu administrator danych może określić cele przetwarzania, kategorie danych oraz podmioty, którym dane są udostępniane. Dokument ten pomaga również identyfikować ryzyka związane z przetwarzaniem danych oraz wykazać zgodność działalności przedsiębiorstwa z przepisami RODO.
5. Czy Kancelaria prawna Wiktor Dębowski dysponuje rejestrem czynności przetwarzania?
Kancelaria prawna Wiktor Dębowski:
- posiada wzór rejestru czynności przetwarzania,
- dokument jest dostosowywany do specyfiki działalności danego przedsiębiorcy,
- w ramach współpracy kancelaria pomaga również w identyfikacji procesów przetwarzania danych w organizacji.
Dzięki temu przedsiębiorcy otrzymują praktyczny dokument, który może zostać włączony do dokumentacji RODO i wykorzystywany w codziennym funkcjonowaniu firmy.
Jeżeli chcesz dowiedzieć się więcej o tym, jak wdrożyć RODO w swojej firmie, przeczytaj również artykuł: Jak przygotować dokumentację RODO w firmie.
Skontaktuj się z kancelarią
Masz wątpliwości, czy Twoja firma prawidłowo prowadzi dokumentację RODO? A może chcesz przygotować lub uporządkować rejestr czynności przetwarzania danych?
Ochroną danych osobowych oraz wdrażaniem przepisów RODO zajmuję się od wielu lat. Jest to jeden z obszarów mojej specjalizacji. Wspieram przedsiębiorców oraz instytucje publiczne w przygotowaniu dokumentacji RODO, audytach zgodności oraz wdrażaniu procedur ochrony danych osobowych.
Chętnie pomogę również Twojej firmie wdrożyć rozwiązania prawne zgodne z RODO.
Pozdrawiam
Wiktor Dębowski
Skontaktuj się z nami już dziś
Oferujemy kompleksowe usługi prawne, które zabezpieczą Twoje interesy. Sprawdź naszą ofertę i skorzystaj z naszych doświadczeń.
Przeglądaj inne artykuły
6 mar
Jak przygotować dokumentację RODO w firmie?
Jak przygotować dokumentację RODO w firmie krok po kroku?
6 mar
Kara RODO dla firmy za 17 milionów złotych.
Kara RODO dla firmy może wynieść miliony. Sprawdź, czego uczy przypadek McDonald’s.
25 lut
Czy wdrożenie RODO jest obowiązkowe? Przedstawiam praktyczny poradnik dla firm
Wdrożenie RODO bez chaosu i zbędnych dokumentów. Sprawdź, co jest naprawdę wymagane.