Kto musi prowadzić rejestr czynności przetwarzania danych osobowych?

Posted On 22 kwietnia 2018 Bez kategorii

Zgodnie z Rozporządzeniem ogólnym UE w sprawie ochrony danych osobowych, niemal każdy administrator danych będzie musiał prowadzić rejestr czynności przetwarzana danych osobowych. Jest to dokument, który ma pokazywać w szczególności w jakich procesach w organizacji są przetwarzane dane osobowe, w jakim celu, kogo dotyczą oraz jak są zabezpieczane.

Wyłączenie obowiązku prowadzenia rejestru. Obowiązek prowadzenia rejestru czynności przetwarzania przez administratora (lub jego przedstawiciela) i rejestr kategorii czynności przetwarzania przez podmiot przetwarzający (lub jego przedstawiciela) nie dotyczy przedsiębiorców lub podmiotów zatrudniających mniej niż 250 osób.

Zwolnienie z obowiązku prowadzenia rejestru nie będzie jednak miało zastosowania co do tych przedsiębiorców lub podmiotów w przypadku gdy:

1) przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,

2) nie ma charakteru sporadycznego, lub

3) obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO (dane wrażliwe), lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

W odniesieniu do interpretacji terminu „zatrudnienie” należy przyjąć, że wykładnia celowościowa przepisów RODO wskazuje, że chodzi o szerokie pojmowanie tego pojęcia, zatem uwzględniające nie tylko pracowników w rozumieniu Kodeksu Pracy.

Przykłady:
• przedsiębiorcy zatrudniający mniej niż 250 osób muszą prowadzić rejestr w odniesieniu do danych osobowych
kadrowych (dane pracowników, dokumentacja medyczna) – takie przetwarzanie nie ma charakteru sporadycznego i obejmuje szczególne kategorie danych
osobowych,
• przedsiębiorca zatrudniający mniej niż 250 osób, który będzie jednorazowo przetwarzał dane osobowe nie obejmujące szczególnych kategorii danych, np. w celu organizacji eventu promocyjnego, będzie w odniesieniu do
takiego procesu przetwarzania danych zwolniony z obowiązku prowadzenia rejestru.

Rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych – i niektóre z tych procesów występujących w typowych organizacjach mogą być zwolnione z prowadzenia rejestru.

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych dotyczy administratora danych oraz podmiotu przetwarzającego dane. Administrator danych odnotowuje w rejestrze:
a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także
gdy ma to zastosowanie – przedstawiciela administratora oraz IOD,
g) cele przetwarzania,
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego,
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.

Rejestr kategorii czynności przetwarzania

Rejestr czynności przetwarzania podmiotu przetwarzającego (lub jego przedstawiciela) składa się co do zasady z analogicznych elementów jak rejestr czynności administratora danych. Podstawową jednak różnicą jest to, iż nie odnosi się on do czynności przetwarzania danych, ale kategorii takich czynności przetwarzania, dokonywanych w imieniu administratora. Oznacza to, że może się – co do zasady – charakteryzować w tym zakresie (wymienienia/wskazania czynności przetwarzania) mniejszą szczegółowością niż rejestr administratora. Należy podkreślić, że dotyczy to przetwarzania danych w roli procesora (w imieniu administratora), gdyż w stosunku do przetwarzania danych jako administrator – zastosowanie znajdzie ust. 1 art. 30 RODO.
Jeżeli zaś chodzi o elementy składające się na sam rejestr, to rejestr procesora (odmiennie niż administratora) nie zawiera informacji w zakresie:
1) celów przetwarzania,
2) opisu kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
3) kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
4) planowanych terminów usunięcia poszczególnych kategorii danych (art. 30 ust. 1 lit. b–d i f RODO).
Dodatkowo podmiot przetwarzający powinien umieścić w rejestrze informację o kategoriach przetwarzań (rodzajach czynności przetwarzania) dokonywanych w imieniu każdego z administratorów (art. 30 ust. 2 lit. b RODO).
Analogicznie jak w przypadku rejestru prowadzonego przez administratora danych, rejestr podmiotu przetwarzającego powinien natomiast zawierać:
1) dane identyfikujące procesora lub procesorów (imię, nazwisko lub nazwę oraz dane kontaktowe), a także dane przedstawiciela administratora lub procesora oraz inspektora danych osobowych – jeżeli zostali wyznaczeni (zgodnie z art. 29 i 37 RODO) – art. 30 ust. 2 lit. a RODO.
2) informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa lub organizacji, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO (por. uwagi powyżej), dokumentację odpowiednich zabezpieczeń, gdy dochodzi do takiego przekazania danych do państwa trzeciego lub organizacji międzynarodowej,
3) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO – o ile to jest możliwe.

Forma prowadzenia rejestrów.

Rejestr może być prowadzony w formie pisemnej bądź w postaci elektronicznej.