Korzyści z rejestru czynności przetwarzania
Dobrze prowadzony rejestr czynności przetwarzania pozwala:
- zorientować się i panować nad tym, jakie dane i dlaczego przetwarzane są w organizacji, niezależnie od tego kto jest ich administratorem,
- skupić w jednym dokumencie przegląd wszystkich czynności na danych osobowych w Twojej organizacji,
- łatwo przypisać osoby odpowiedzialne za poszczególne obszary (tzw. właścicieli procesów),
- łatwo zgromadzić dane do przygotowania klauzul informacyjnych i zapewnić ich jednolitość,
- o wiele sprawniej i dokładniej przeprowadzić audyt oraz ocenę skutków dla ochrony danych (DPIA).
I na koniec - rejestr czynności przetwarzania to jeden z podstawowych dokumentów, o które proszą kontrolerzy z Urzędu Ochrony Danych Osobowych. Powód jest ten sam, co opisany w punkcie pierwszym.
Przegląd wszystkich czynności na danych osobowych
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Na proces składają się wszystkie czynności nakierowane na realizację konkretnego celu przetwarzania danych, np. rekrutacji pracowników, realizacji umów z klientami, wysyłki biuletynu informacyjnego czy kontroli dostępu do budynku i monitoringu wizyjnego. Nasza organizacja może mieć zarówno procesy, które realizuje:
- We własnym imieniu – wtedy jako administrator prowadzi rejestr czynności przetwarzania (art. 30 ust. 1 RODO).
- W imieniu innych organizacji – wtedy jako podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania (art. 30 ust. 2 RODO).
- Wspólnie z innymi – jako jeden ze współadministratorów – wtedy jako administrator prowadzi rejestr czynności przetwarzania (art. 30 ust. 1 RODO), ale powinien prawidłowo wskazać nazwę i dane kontaktowe wszelkich współadministratorów.
Poniżej przedstawiamy możliwy kształt rejestru dla przykładowych procesów. Oprócz danych dotyczących wszystkich procesów, w rejestrze powinny znaleźć się informacje o tożsamości i danych kontaktowych Twojej organizacji i jej inspektora ochrony danych, jeśli został wyznaczony.
Przykład wpisu w rejestrze dla administratora:
Pytanie |
Proces: Rekrutacja |
Właściciel procesu |
Jan Kowalski |
Cel przetwarzania danych |
Zatrudnianie nowych pracowników. |
Kategorie osób, których dane dotyczą |
Kandydaci do pracy; osoby wskazane przez kandydatów jako udzielające referencji. |
Kategorie przetwarzanych danych osobowych |
Kandydaci do pracy: imię i nazwisko; dane kontaktowe; informacje o wykształceniu; informacje o przebiegu zatrudnienia. W przypadku kandydatów, którzy pomyślnie przeszli rekrutację - także PESEL i data urodzenia (na potrzeby wystawienia skierowania na badania); Dane o stanie zdrowia w zakresie zdolności do pracy (wynikające z orzeczenia lekarskiego).Osoby udzielające referencji: imię, nazwisko, stanowisko, adres e - mail. |
Kategorie odbiorców |
Wskazane przez kandydata osoby udzielające referencji (w przypadku kontaktu z zapytaniem o rekomendacje); placówki medyczne (odbiorcy skierowań na badania medycyny pracy); firmy niszczące dokumenty. |
Planowane terminy usunięcia poszczególnych kategorii danych lub kryteria ich ustalenia |
Dane w formie papierowej są usuwane niezwłocznie po zakończeniu rekrutacji, chyba że kandydat wyrazi zgodę na przetwarzanie dokumentów aplikacyjnych do celów przyszłych rekrutacji (wtedy dane są przechowywane przez 9 miesięcy). |
Zakres danych osobowych przekazywanych do państwa trzeciego lub organizacji międzynarodowej oraz nazwa tego państwa trzeciego lub organizacji międzynarodowej. |
Brak. |
W przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, proszę wskazać odpowiednie zabezpieczenia. |
Nie dotyczy. |
Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa |
Dane w formie elektronicznej przechowywane w folderze sieciowym o ograniczonym dostępie; szyfrowanie dysków oraz mocne hasła do komputerów. Dane w formie papierowej drukowane w systemie druku podążającego, zamykane w szafkach na klucz i usuwane niezwłocznie po zakończeniu rekrutacji przy użyciu niszczarki lub we współpracy z firmą niszczącą dokumenty. |
W przypadku współadministrowania: imiona i nazwiska lub nazwy oraz dane kontaktowe wszelkich współadministratorów |
Agencja rekrutacyjna ABC, ul. Przykładowa 1, 12 - 345 Warszawa, e-mail: agencja@rekrutacyjna.pl |
Przykładowy rejestr dla podmiotu przetwarzającego (procesora):
Pytanie |
Proces: Archiwizacja |
Nazwa i dane kontaktowe każdego administratora, w imieniu którego działa podmiot przetwarzający |
Abrakadabra sp. z o.o., ul. Wzorcowa 2, 54-321 Warszawa. XYZ sp. z o.o., ul. Szablonowa 3, 53 - 376 Gdańsk. |
Właściciel procesu po stronie procesora |
Dział archiwizacji, Zofia Nowak |
Zakres danych przetwarzanych w imieniu administratora i cel ich przetwarzania |
Dane znajdujące się w powierzonych do przechowywania aktach osobowych pracowników (akta są zapieczętowane i jako procesor nie mamy do nich wglądu). Celem przetwarzania jest świadczenie usług przechowywania danych osobowych. |
Zakres danych osobowych przekazywanych do państwa trzeciego lub organizacji międzynarodowej oraz nazwa tegopaństwa trzeciego lub organizacji międzynarodowej. |
Brak. |
Jakie środki techniczne i organizacyjne są podejmowane dla zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzania? |
Monitoring wizyjny terenu wokół budynku, gdzie przechowywane są dane osobowe, stała obecność pracownika firmy ochroniarskiej na obiekcie, alarm w pomieszczeniu, gdzie przechowywane są dane osobowe. |
W przypadku przekazań poza EOG, o których mowa w art. 49 ust. 1 akapit drugi RODO, proszę wskazać odpowiednie zabezpieczenia. |
Nie dotyczy. |
Przypisanie osób odpowiedzialnych
Prowadzenie i bieżącą aktualizację rejestru czynności przetwarzania powinna koordynować jedna osoba, Inspektor Ochrony Danych, lub inna osoba odpowiedzialna za ochronę danych w organizacji lub wskazana do ich prowadzenia.
W powyższych przykładach treści rejestru, oprócz informacji wymaganych przez art. 30 RODO, rekomendujemy wskazać właściciela procesu. Osoba ta powinna być formalnie zobowiązana do informowania osoby prowadzącej rejestr o jakiejkolwiek planowanej zmianie w informacjach na temat swojego procesu.
Niezależnie od tego utrzymujący rejestry powinien regularnie prosić osoby o przegląd rejestrów i ewentualną ich aktualizację.
Przykład: Szef działu kadr powinien niezwłocznie poinformować osobę prowadzącą rejestr czynności przetwarzania o skróceniu ustawowego okresu przechowywania akt osobowych pracowników lub o planowanej współpracy z firmą archiwizującą.
Korzyść: Dzięki zaangażowaniu właścicieli procesów, rejestr będzie aktualny, informowanie o planowanych zmianach osoby odpowiedzialnej za ochronę danych da jej także okazję do realizacji wymogu ochrony danych w fazie projektowania.
Przygotowanie i ujednolicenie klauzul informacyjnych
Rejestr czynności przetwarzania prowadzony przez administratora jest świetnym punktem wyjścia dla przygotowania oraz aktualizacji treści klauzul informacyjnych kierowanych dla osób, których dane przetwarzamy.
Też wolisz profilaktykę niż leczenie?
Korzyść: Treść klauzul informacyjnych i polityki prywatności będzie stale aktualizowana i wewnętrznie spójna.
Prawidłowo skonstruowany rejestr czynności przetwarzania w zasadzie jest pierwszym z etapów dokonywania oceny skutków dla ochrony danych, ponieważ stanowi opis operacji przetwarzania. Jest to dobry punkt wyjścia dla dalszej analizy – tzn. oceny zgodności z RODO, jak również oceny skutków dla ochrony danych (OSOD, ang. DPIA), a więc analizy prawdopodobieństwa i wagi zagrożeń dla osób, których dane przetwarzamy.
Przykład: Osoba przeprowadzająca audyt lub dokonująca DPIA, może porównać informacje z rejestru czynności przetwarzania z tymi uzyskanymi w toku audytu – i w razie potrzeby wyjaśnić rozbieżności.
Korzyść: Audyt i DPIA nie rozpoczyna się od zbierania podstawowych informacji, ale polega na ich weryfikacji i dokonywaniu bardziej szczegółowych ustaleń. Oszczędza to czas i jednocześnie zwiększa jakość.
Podsumowanie
Dobrze prowadzony rejestr stanowi centrum utrzymania zgodności z RODO – stanowi przegląd wszystkich operacji na danych, wskazuje osoby odpowiedzialne, a także zawiera dane przydatne do przygotowania innych dokumentów, takich jak klauzule informacyjne, raport z audytu czy oceny skutków dla ochrony danych. Jeśli Twoja organizacja potrafi osiągnąć te korzyści, będzie to bardzo dużym atutem w razie kontroli z Urzędu Ochrony Danych Osobowych.