Opisując rolę rejestru czynności przetwarzania danych osobowych, można posłużyć się słynnym cytatem z powieści G. Orwella pt. „Rok 1984”: „Kto kontroluje przeszłość, ten ma władzę nad przyszłością”. W tym przypadku mówimy jednak o własnej przyszłości – i to w zdecydowanie mniej metaforyczny sposób.
Dostosowując przytoczony cytat do potrzeb tego artykułu: jeżeli zapanujemy nad przetwarzaniem danych, jakie dotychczas wykonywaliśmy w naszej organizacji, łatwiej będzie nam bezpiecznie wdrożyć nowe procesy przetwarzania lub dostosować istniejące do zmieniających się potrzeb. Rejestr czynności przetwarzania (RCP) jest sprzymierzeńcem w utrzymywaniu porządku w obiegu danych, zatem warto napisać o nim jeszcze kilka słów.
Czym jest rejestr czynności przetwarzania
Rejestr czynności przetwarzania jest uporządkowanym zbiorem informacji o procesach przetwarzania danych, jakie są prowadzone w organizacji. Informacje te nie są przypadkowe, ponieważ ich zakres wyznacza art. 30 ust. 1 RODO.
RCP jest dokumentem, w którym organizacja zapisuje informacje o tym, jak przetwarza dane osobowe, będąc ich administratorem. To odróżnia ten dokument od rejestru kategorii czynności przetwarzania, który prowadzą procesorzy, a więc podmioty przetwarzające dane w sposób określony przez samodzielnego administratora i w wyznaczonych przez niego celach.
Kiedy należy prowadzić rejestr czynności przetwarzania
O wiele prościej byłoby odpowiedzieć na pytanie: „Kiedy warto prowadzić rejestr?”. Odpowiedź brzmiałaby: w każdym przypadku. Prowadzenie rejestru pozwala organizacji nie tylko zrealizować zasadę rozliczalności, ale przede wszystkim uporządkować sprawy związane z procesami przetwarzania danych osobowych. To zaś sprawia, że łatwiej i szybciej można przygotować klauzule informacyjne czy zebrać informacje na potrzeby oceny skutków przetwarzania dla ochrony praw i wolności osób fizycznych (DPIA).
RODO wymienia również przypadki, w których prowadzenie rejestru jest obowiązkowe, tj.:
- organizacja zatrudnia 250 lub więcej pracowników,
- przetwarzanie może powodować ryzyko naruszenia praw osób, których dane dotyczą,
- przetwarzanie nie ma charakteru sporadycznego,
- przetwarzanie obejmuje szczególne kategorie danych, o których mowa w art. 9 ust. 1 RODO,
- przetwarzanie obejmuje dane o wyrokach skazujących i naruszeniach prawa, o czym mowa w art. 10 RODO.
Wystarczy, że spełni się jedna z tych przesłanek, aby podmiot musiał prowadzić RCP. Zatem jeżeli podmiot przetwarza szczególne kategorie danych (np. dane dotyczące zdrowia), to mimo że nie zatrudnia 250 pracowników, obejmie go obowiązek prowadzenia RCP.
Jak powinien wyglądać rejestr czynności przetwarzania
Nie ma jednolitych wytycznych co do wyglądu rejestru. Istotne jest, by jego szata graficzna zapewniała łatwy dostęp do informacji o poszczególnych procesach. W praktyce spotyka się rejestry ukształtowane w różny sposób. Najczęściej rejestr jest prowadzony w postaci zwartej tabeli, a każdy z jej wierszy stanowi odrębny proces przetwarzania danych.
ODO 24 proponuje układ, w którym każdy z procesów znajduje się w obrębie tego samego dokumentu, ale stanowi oddzielną tabelę. Takie rozwiązanie zapewnia większą przejrzystość, a równocześnie pozwala zachować skondensowany rejestr w jednym dokumencie.
Warto również wspomnieć, że niektórzy administratorzy wyodrębniają poszczególne procesy i przenoszą je do osobnych plików. To rozwiązanie jest o tyle problematyczne, że nie pozwala zachować jednolitości całego rejestru.
Co zawiera rejestr czynności przetwarzania
Elementy, z których składa się rejestr, można podzielić na obligatoryjne i fakultatywne.
Obligatoryjne elementy RCP zawarto w art. 30 ust. 1 RODO. Ich brak oznacza, że rejestr nie jest kompletny, a tym samym – jest prowadzony z naruszeniem art. 30 ust. 1 RODO. Pełna lista obejmuje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora i wszelkich współadministratorów,
- cele przetwarzania,
- dane przedstawiciela i inspektora ochrony danych – gdy ma to zastosowanie,
- opis kategorii osób, których dane dotyczą,
- opis kategorii danych osobowych,
- kategorie odbiorców, którym dane zostały ujawnione (w tym w państwach trzecich lub organizacjach międzynarodowych),
- przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń – gdy ma to zastosowanie,
- planowane terminy usunięcia poszczególnych kategorii danych – jeżeli jest to możliwe,
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – jeżeli jest to możliwe.
Elementy fakultatywne to takie, których dodanie zależy od woli administratora prowadzącego rejestr. W tym kontekście warto wymienić kategorię taką jak „właściciel procesu”. Właścicielem procesu jest osoba w organizacji, która odpowiada za prawidłowy przebieg konkretnego procesu przetwarzania danych. Najczęściej taką funkcję pełnią zwierzchnicy działów lub osoby przez nich wyznaczone.
Wyznaczenie właścicieli procesów i przyporządkowanie ich do poszczególnych procesów w RCP pozwala uniknąć przerzucania się odpowiedzialnością za przebieg procesu między pracownikami. Jako że jest to element dobrowolny, przepisy nie przesądzają, w jaki sposób informacja o właścicielu procesu może zostać ujawniona w RCP. Najczęściej jednak wskazuje się konkretną osobę lub konkretne stanowisko, którego piastun każdorazowo sprawuje także funkcję właściciela procesu.
Poniżej prezentujemy zasadniczą część rejestru (bez wskazywania danych administratora danych, przedstawiciela ADO oraz IOD-a) dla następujących procesów:
- zatrudnienie,
- monitoring wizyjny,
- newsletter.
Pracownicy i współpracownicy
| Proces / Właściciel procesu biznesowego |
Współadministrator danych | Cel przetwarzania wraz z czynnościami podejmowanymi, aby go osiągnąć | Kategorie osób, których dane dotyczą / Kategorie danych osobowych |
|---|---|---|---|
| Pracownicy i współpracownicy Jan Nowak – Dyrektor Działu HR |
Brak | Zarządzanie zasobami ludzkimi – pracownikami i współpracownikami. Realizacja umów o pracę, umów zlecenia, umów o dzieło oraz umów o współpracę. Realizacja obowiązków wynikających z przepisów prawa, w szczególności prawa pracy. Realizacja uzasadnionych interesów pracodawcy, w szczególności zapewnienie organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania narzędzi pracy udostępnionych pracownikowi. Ustalenie, dochodzenie i obrona roszczeń. Umożliwienie udziału w korzyściach socjalnych, tzn. zgłoszenie i potwierdzenie uprawnień do danej korzyści socjalnej |
Pracownicy i współpracownicy (aktualnie zatrudnieni). Byli pracownicy i współpracownicy. Członkowie rodzin pracowników i współpracowników. Osoby towarzyszące (zgłoszone do korzyści socjalnych). Wskazane przez kandydata osoby udzielające referencji (w przypadku dalszego przechowywania CV z takimi danymi) Pracownicy i współpracownicy (aktualnie zatrudnieni): imiona, nazwisko, płeć, nr PESEL, adres korespondencyjny, data urodzenia, wykształcenie i historia zatrudnienia, uprawnienia i certyfikaty, nr telefonu, adres e-mail, wizerunek, nr konta bankowego, nr rejestracyjny samochodu prywatnego (w przypadku parkowania na terenie organizacji); dane dotyczące mandatów drogowych i egzekucji komorniczych; dane o stanie zdrowia (związane z oceną zdolności do pracy, wykazaniem zgodności z przepisami sanitarno- epidemiologicznymi, weryfikacją uprawnień do zwolnień chorobowych, urlopów macierzyńskich itd.); stopień niepełnosprawności (na potrzeby ZUS). Byli pracownicy: imiona, nazwisko, imiona rodziców, płeć, nr PESEL, nr dowodu osobistego, adres korespondencyjny, data urodzenia, wykształcenie i historia zatrudnienia, uprawnienia i certyfikaty, nr konta bankowego, stan cywilny, data zgonu; dane o stanie zdrowia (związane z oceną zdolności do pracy, wykazaniem zgodności z przepisami sanitarno- epidemiologicznymi, weryfikacją uprawnień do zwolnień chorobowych, urlopów macierzyńskich itd.); stopień niepełnosprawności (na potrzeby ZUS). Członkowie rodzin: imiona, nazwisko, adres, stopień pokrewieństwa ze zgłaszającym pracownikiem, nr PESEL |
| Odbiorcy danych / Przekazywanie danych do państw trzecich | Terminy usunięcia danych | Techniczne i organizacyjne środki bezpieczeństwa |
|---|---|---|
| Organy publiczne, otrzymujące dane w związku z realizacją obowiązków prawnych administratora. Firmy świadczące usługi informatyczne lub dostarczające rozwiązań informatycznych. Firmy świadczące usługi kadrowe. Banki, zakłady ubezpieczeń oraz pozostałe instytucje finansowe i płatnicze. Placówki medyczne. Klienci organizacji. Podwykonawcy oraz dostawcy organizacji. Firmy świadczące usługi doradcze i audytorskie. Firmy archiwizujące i niszczące dokumenty. Firmy świadczące usługi kurierskie i pocztowe. Firmy świadczące usługi ochroniarskie, kontroli dostępu i monitorujące wykorzystanie narzędzi pracy. Firmy prowadzące działania marketingowe Dane osobowe nie będą przekazywane do państw trzecich |
Pracownicy: a) przez okres 10 lat od ustania/rozwiązania stosunku pracy, gdy został on nawiązany nie wcześniej niż 01.01.2019 r., b) przez okres 50 lat od ustania/rozwiązania stosunku pracy, gdy został on nawiązany wcześniej niż 01.01.2019 r., c) w przypadku nawiązania umowy o współpracę/zlecenie/dzieło – do czasu upływu terminu przedawnienia roszczeń wynikających z umowy lub wygaśnięcia obowiązków przechowywania danych wynikających z przepisów prawa, w szczególności przechowywania dokumentów księgowych, d) do dnia wniesienia uzasadnionego sprzeciwu lub cofnięcia zgody, w sytuacji gdy podstawą przetwarzania danych osobowych jest prawnie uzasadniony interes administratora lub dobrowolna zgoda osoby, której dane dotyczą. Jeśli okres przechowywania wybranych dokumentów będzie krótszy, administrator będzie przestrzegał tego krótszego terminu. Współpracownicy. Do czasu przedawnienia roszczeń. Przez czas zgłoszenia do korzyści oferowanych w związku z zatrudnieniem, a po upływie tego terminu – do czasu upływu terminów wynikających stąd roszczeń |
Szyfrowanie dysków, oprogramowanie antywirusowe, cykliczne zmiany haseł |
Newsletter
| Proces / Właściciel procesu biznesowego |
Współadministrator danych | Cel przetwarzania wraz z czynnościami podejmowanymi, aby go osiągnąć | Kategorie osób, których dane dotyczą / Kategorie danych osobowych |
|---|---|---|---|
| Komunikacja marketingowa (w tym newsletter, rozmowy głosowe, mailing, SMS i poczta tradycyjna) Anna Nowak – dyrektor Działu Marketingu |
Brak | Marketing produktów i usług administratora z wykorzystaniem następujących form komunikacji: – newsletter (wysyłka biuletynu informacyjnego) | Subskrybenci newslettera Dane kontaktowe właściwe dla stosowanej formy komunikacji: adres e-mail, nr telefonu, adres pocztowy |
| Odbiorcy danych / Przekazywanie danych do państw trzecich | Terminy usunięcia danych | Techniczne i organizacyjne środki bezpieczeństwa |
|---|---|---|
| Firmy prowadzące działania marketingowe. Firmy świadczące usługi informatyczne lub dostarczające rozwiązań informatycznych Dane osobowe nie będą przekazywane do państw trzecich. |
Do czasu wycofania zgody opartej na przepisach ustawy o świadczeniu usług drogą elektroniczną lub ustawy – Prawo telekomunikacyjne lub do czasu wniesienia sprzeciwu, tj. okazania nam w dowolny sposób, że osoba, której dane dotyczą, nie życzy sobie pozostawać z nami w kontakcie i otrzymywać informacji o podejmowanych przez nas działaniach. Po wycofaniu zgody lub wyrażeniu sprzeciwu dane osobowe mogą być przechowywane na potrzeby wykazywania prawidłowości spełnienia obowiązków prawnych spoczywających na administratorze i na potrzeby związanych z nimi roszczeń (terminy przedawnienia roszczeń liczone od wycofania zgody lub złożenia sprzeciwu) | Szyfrowanie dysków, oprogramowanie antywirusowe, cykliczne zmiany haseł |
Monitoring wizyjny
| Proces / Właściciel procesu biznesowego |
Współadministrator danych | Cel przetwarzania wraz z czynnościami podejmowanymi, aby go osiągnąć | Kategorie osób, których dane dotyczą / Kategorie danych osobowych |
|---|---|---|---|
| Monitoring wizyjny Jan Kowalski – kierownik Działu Bezpieczeństwa |
Brak | Zapewnienie bezpieczeństwa osób znajdujących się na terenie organizacji, ochrona mienia, kontrola produkcji, zapewnienie ochrony danych osobowych i bezpieczeństwa informacji. Zapewnienie organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania narzędzi pracy udostępnionych pracownikowi | Pracownicy i współpracownicy, goście Pracownicy i współpracownicy: imię, nazwisko, stanowisko, ewidencja dostępu do pomieszczeń, dane o wykorzystaniu narzędzi pracy. Osoby znajdujące się w zasięgu monitoringu: wizerunek |
| Odbiorcy danych / Przekazywanie danych do państw trzecich | Terminy usunięcia danych | Techniczne i organizacyjne środki bezpieczeństwa |
|---|---|---|
| Firmy świadczące usługi ochroniarskie, kontroli dostępu i monitoringu. Firmy świadczące usługi informatyczne lub dostarczające rozwiązań informatycznych Przekazywanie danych do państw trzecich – do uzupełnienia. W przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO – dokumentacja zabezpieczeń |
Do 3 miesięcy, jeśli zaś będzie to niezbędne do ustalenia, dochodzenia lub obrony roszczeń – do czasu ich prawomocnego zakończenia, a w przypadku postępowań egzekucyjnych – do czasu ostatecznego zaspokojenia dochodzonych roszczeń | Szyfrowanie dysków, oprogramowanie antywirusowe, cykliczne zmiany haseł |
Kto odpowiada za prowadzenie rejestru czynności przetwarzania
E-learning RODO to już standard!
Jakkolwiek ostatecznie odpowiedzialność za odpowiedni kształt i treść rejestru spoczywa na administratorze, to nic nie stoi na przeszkodzie, by korzystał on z pomocy wybranych osób w ramach codziennej dbałości o rzetelność i aktualność RCP. W takiej sytuacji naturalnym wyborem – w zakresie poszczególnych procesów – stają się właściciele procesów. Również z tego względu warto ich wyznaczyć. Z reguły to oni posiadają największą wiedzę na temat przepływów danych osobowych w procesie, a niezależnie od tego – jest im relatywnie najłatwiej dotrzeć do osób, które bezpośrednio uczestniczą w procesie.
Jakie kary grożą za niewłaściwe prowadzenie rejestru czynności przetwarzania
Dla porządku należy wspomnieć o karach, jakie mogą grozić z tytułu nieprowadzenia lub niezgodnego z przepisami prowadzenia RCP. W przypadku skrajnie niekorzystnego przebiegu zdarzeń podstawę sankcji może stanowić art. 30 ust. 4 lit. a RODO. Maksymalna wysokość kary to 10 000 000 EUR, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Jak jednak wiadomo, jeżeli administrator zaniecha prowadzenia rejestru lub prowadzi go w sposób niespełniający wymogów przewidzianych prawem, naraża się na dodatkowe skutki takiej niefrasobliwości. Do tych należy zaliczyć w szczególności zamęt i niepewność co do rzeczywiście prowadzonych procesów przetwarzania i ich kształtu. W dłuższej perspektywie może to prowadzić chociażby do przetwarzania danych w sposób nadmiarowy w aspekcie ilościowym (przetwarzanie zbyt dużej liczby kategorii w stosunku do tego, co jest niezbędne do osiągnięcia danego celu) lub czasowym (przekroczenie okresów retencji). Każdy z tych błędów może stanowić niezależną podstawę ukarania administratora przez organ nadzorczy, ale też rodzi ryzyko, że osoba, której dane dotyczą, zażąda zadośćuczynienia w związku z doznaną krzywdą.
Podsumowanie
Rejestr czynności przetwarzania danych to dokument, którego rolą jest udzielenie odbiorcy odpowiedzi na pytanie: „W jaki sposób organizacja przetwarza dane osobowe?”. Motywacja do rzetelnego prowadzenia RCP gwałtownie wzrasta w momencie, gdy uświadomimy sobie, że jest to jeden z dokumentów najczęściej żądanych przez kontrolerów Urzędu Ochrony Danych Osobowych. Na administratorze zaś – zgodnie z art. 30 ust. 4 RODO – ciąży obowiązek udostępnienia rejestru na żądanie organu nadzorczego.
Chociaż perspektywa kary za niewłaściwe prowadzenie rejestru może budzić grozę, to warto skupić się raczej na jego głównej funkcji, czyli uporządkowaniu i ujednoliceniu procesów przetwarzania danych. To pozwoli potraktować rejestr jako wartość dodaną i krok ku kompletności systemu ochrony danych osobowych w całej organizacji.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Wskaż zdanie fałszywe: