Rejestr czynności przetwarzania – centrum utrzymania zgodności z RODO

Podsumowanie 2018

Rejestrowanie czynności przetwarzania może być jednym z najbardziej efektywnych kroków w kierunku zgodności z RODO. Jeżeli wykonamy go skrupulatnie, będziemy świadomi korzyści i zapewnimy bieżącą aktualizację rejestru. Poniżej wyjaśniamy, jak to osiągnąć.

Korzyści z rejestru czynności przetwarzania

Dobrze prowadzony rejestr czynności przetwarzania pozwala:  1) zorientować się i panować nad tym, jakie dane i dlaczego przetwarzane są w organizacji, niezależnie od tego kto jest ich administratorem,  2)skupić w jednym dokumencie przegląd wszystkich czynności na danych osobowych w Twojej organizacji, 3) łatwo przypisać osoby odpowiedzialne za poszczególne obszary (tzw. właścicieli procesów), 4 )łatwo zgromadzić dane do przygotowania klauzul informacyjnych i zapewnić ich jednolitość,  5) o wiele sprawniej i dokładniej przeprowadzić audyt oraz ocenę skutków dla ochrony danych (DPIA).

I na koniec - rejestr czynności przetwarzania to jeden z podstawowych dokumentów, o które proszą kontrolerzy z Urzędu Ochrony Danych Osobowych. Powód jest ten sam, co opisany w punkcie pierwszym.

Więcej
na ten temat w artykule „Kontrole Prezesa UODO– doświadczenia i wskazówki.

Przegląd wszystkich czynności na danych osobowych

Obowiązek rejestrowania czynności przetwarzania obejmuje wszystkie operacje, jakie Twoja organizacja wykonuje na danych osobowych, takie jak zbieranie, organizowanie, przechowywanie, modyfikowanie, przeglądanie, wykorzystywanie, ujawnianie czy usuwanie. Ponieważ pojedynczych czynności nie dałoby się policzyć, warto opisać je w ramach procesów przetwarzania danych.

Na proces składają się wszystkie czynności nakierowane na realizację konkretnego celu przetwarzania danych, np. rekrutacji pracowników, realizacji umów z klientami, wysyłki biuletynu informacyjnego czy kontroli dostępu do budynku i monitoringu wizyjnego. Nasza organizacja może mieć zarówno procesy, które realizuje:

  • We własnym imieniu – wtedy jako administrator prowadzi rejestr czynności przetwarzania (art. 30 ust. 1 RODO).
  • W imieniu innych organizacji – wtedy jako podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania (art. 30 ust. 2 RODO). W artykule „Powierzenie przetwarzania danych osobowych - czym dokładnie jest i kiedy je stosujemy?” wyjaśniamy, jak zidentyfikować stosunek powierzenia przetwarzania.
  • Wspólnie z innymi – jako jeden ze współadministratorów – wtedy jako administrator prowadzi rejestr czynności przetwarzania (art. 30 ust. 1 RODO), ale powinien prawidłowo wskazać nazwę i dane kontaktowe wszelkich współadministratorów. W artykule „Jak odróżnić współadmistrowanie od powierzenia przetwarzania?” wyjaśniamy, jak zidentyfikować stosunek współadministrowania.

ODO NawigatorPoniżej przedstawiamy możliwy kształt rejestru dla przykładowych procesów. Oprócz danych dotyczących wszystkich procesów, w rejestrze powinny znaleźć się informacje o tożsamości i danych kontaktowych Twojej organizacji i jej inspektora ochrony danych, jeśli został wyznaczony.

Przykład wpisu w rejestrze dla administratora:


Pytanie


Proces: Rekrutacja


Właściciel procesu


Jan Kowalski


Cel przetwarzania danych

Zatrudnianie nowych pracowników.


Kategorie osób, których dane dotyczą


Kandydaci do pracy; osoby wskazane przez kandydatów jako udzielające referencji.


Kategorie przetwarzanych danych osobowych


Kandydaci do pracy: imię i nazwisko; dane kontaktowe; informacje o wykształceniu; informacje o przebiegu zatrudnienia. W przypadku kandydatów, którzy pomyślnie przeszli rekrutację - także PESEL i data urodzenia (na potrzeby wystawienia skierowania na badania); Dane o stanie zdrowia w zakresie zdolności do pracy (wynikające z orzeczenia lekarskiego).Osoby udzielające referencji: imię, nazwisko, stanowisko, adres e - mail.


Kategorie odbiorców


Wskazane przez kandydata osoby udzielające referencji (w przypadku kontaktu z zapytaniem o rekomendacje); placówki medyczne (odbiorcy skierowań na badania medycyny pracy); firmy niszczące dokumenty.


Planowane terminy usunięcia poszczególnych kategorii danych lub kryteria ich ustalenia


Dane w formie papierowej są usuwane niezwłocznie po zakończeniu rekrutacji, chyba że kandydat wyrazi zgodę na przetwarzanie dokumentów aplikacyjnych do celów przyszłych rekrutacji (wtedy dane są przechowywane przez 9 miesięcy).


Zakres danych osobowych przekazywanych do państwa trzeciego lub organizacji międzynarodowej oraz nazwa tego państwa trzeciego lub organizacji międzynarodowej.


Brak.


W przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, proszę wskazać odpowiednie zabezpieczenia.


Nie dotyczy.


Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa


Dane w formie elektronicznej przechowywane w folderze sieciowym o ograniczonym dostępie; szyfrowanie dysków oraz mocne hasła do komputerów. Dane w formie papierowej drukowane w systemie druku podążającego, zamykane w szafkach na klucz i usuwane niezwłocznie po zakończeniu rekrutacji przy użyciu niszczarki lub we współpracy z firmą niszczącą dokumenty.


W przypadku współadministrowania: imiona i nazwiska lub nazwy oraz dane kontaktowe wszelkich współadministratorów


Agencja rekrutacyjna ABC, ul. Przykładowa 1, 12 - 345 Warszawa, e-mail: agencja@rekrutacyjna.pl

Usługa DPIA

Przykładowy rejestr dla podmiotu przetwarzającego (procesora):


Pytanie


Proces: Archiwizacja


Nazwa i dane kontaktowe każdego administratora, w imieniu którego działa podmiot przetwarzający


Abrakadabra sp. z o.o., ul. Wzorcowa 2, 54-321 Warszawa. XYZ sp. z o.o., ul. Szablonowa 3, 53 - 376 Gdańsk.


Właściciel procesu po stronie procesora


Dział archiwizacji, Zofia Nowak


Zakres danych przetwarzanych w imieniu administratora i cel ich przetwarzania


Dane znajdujące się w powierzonych do przechowywania aktach osobowych pracowników (akta są zapieczętowane i jako procesor nie mamy do nich wglądu). Celem przetwarzania jest świadczenie usług przechowywania danych osobowych.


Zakres danych osobowych przekazywanych do państwa trzeciego lub organizacji międzynarodowej oraz nazwa tegopaństwa trzeciego lub organizacji międzynarodowej.


Brak.


Jakie środki techniczne i organizacyjne są podejmowane dla zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzania?


Monitoring wizyjny terenu wokół budynku, gdzie przechowywane są dane osobowe, stała obecność pracownika firmy ochroniarskiej na obiekcie, alarm w pomieszczeniu, gdzie przechowywane są dane osobowe.


W przypadku przekazań poza EOG, o których mowa w art. 49 ust. 1 akapit drugi RODO, proszę wskazać odpowiednie zabezpieczenia.


Nie dotyczy.

Przypisanie osób odpowiedzialnych

Prowadzenie i bieżącą aktualizację rejestru czynności przetwarzania powinna koordynować jedna osoba, Inspektor Ochrony Danych, lub inna osoba odpowiedzialna za ochronę danych w organizacji lub wskazana do ich prowadzenia.

W powyższych przykładach treści rejestru, oprócz informacji wymaganych przez art. 30 RODO, rekomendujemy wskazać właściciela procesu. Osoba ta powinna być formalnie zobowiązana do informowania osoby prowadzącej rejestr o jakiejkolwiek planowanej zmianie w informacjach na temat swojego procesu.

Niezależnie od tego utrzymujący rejestry powinien regularnie prosić osoby o przegląd rejestrów i ewentualną ich aktualizację.

Przykład: Szef działu kadr powinien niezwłocznie poinformować osobę prowadzącą rejestr czynności przetwarzania o skróceniu ustawowego okresu przechowywania akt osobowych pracowników lub o planowanej współpracy z firmą archiwizującą.

Korzyść: Dzięki zaangażowaniu właścicieli procesów, rejestr będzie aktualny, informowanie o planowanych zmianach osoby odpowiedzialnej za ochronę danych da jej także okazję do realizacji wymogu ochrony danych w fazie projektowania, o którym więcej w artykule ”Jak uwzględnić prywatność w fazie projektowania? O wymogu privacy by design dla tych, którzy wolą zapobiegać niż leczyć”.

Przygotowanie i ujednolicenie klauzul informacyjnych

Rejestr czynności przetwarzania prowadzony przez administratora jest świetnym punktem wyjścia dla przygotowania oraz aktualizacji treści klauzul informacyjnych kierowanych dla osób, których dane przetwarzamy. Przykładowe klauzule informacyjne udostępniamy w artykule ”Klauzule RODO”.

Przykład: Wskazane w rejestrze dane kontaktowe administratora, inspektora ochrony danych, a także cele przetwarzania i informacje o kategoriach przetwarzanych danych, odbiorcach, o przekazywaniu danych poza Europejski Obszar Gospodarczy oraz o terminach usunięcia danych osobowych najczęściej można po prostu skopiować do treści klauzul informacyjnych.

Korzyść: Treść klauzul informacyjnych i polityki prywatności będzie stale aktualizowana i wewnętrznie spójna.

Audyt RODO

Punkt wyjścia do audytu i DPIA

Prawidłowo skonstruowany rejestr czynności przetwarzania w zasadzie jest pierwszym z etapów dokonywania oceny skutków dla ochrony danych, ponieważ stanowi opis operacji przetwarzania. Jest to dobry punkt wyjścia dla dalszej analizy – tzn. oceny zgodności z RODO, jak również oceny skutków dla ochrony danych (OSOD, ang. DPIA), a więc analizy prawdopodobieństwa i wagi zagrożeń dla osób, których dane przetwarzamy. Wszystkie kroki dokonywania DPIA opisujemy w artykule „Ocena skutków dla ochrony danych (DPIA)".

Przykład: Osoba przeprowadzająca audyt lub dokonująca DPIA, może porównać informacje z rejestru czynności przetwarzania z tymi uzyskanymi w toku audytu – i w razie potrzeby wyjaśnić rozbieżności.

Korzyść: Audyt i DPIA nie rozpoczyna się od zbierania podstawowych informacji, ale polega na ich weryfikacji i dokonywaniu bardziej szczegółowych ustaleń. Oszczędza to czas i jednocześnie zwiększa jakość.

Podsumowanie

Dobrze prowadzony rejestr stanowi centrum utrzymania zgodności z RODO – stanowi przegląd wszystkich operacji na danych, wskazuje osoby odpowiedzialne, a także zawiera dane przydatne do przygotowania innych dokumentów, takich jak klauzule informacyjne, raport z audytu czy oceny skutków dla ochrony danych. Jeśli Twoja organizacja potrafi osiągnąć te korzyści, będzie to bardzo dużym atutem w razie kontroli z Urzędu Ochrony Danych Osobowych.


-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Dr Paweł Mielniczek
13 czerwca 2019

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu