Czym jest rejestr czynności przetwarzania?
Rejestr czynności przetwarzania (RCP) w praktyce stanowi on uporządkowany zbiór informacji o procesach przetwarzania danych, które są realizowane w ramach organizacji. Nie są to informacje przypadkowe, ponieważ ich zakres określa art. 30 ust. 1 RODO.
W kontekście RCP należy wspomnieć również o innym rejestrze, a mianowicie rejestrze kategorii czynności przetwarzania. Czym się one różnią? Otóż w rejestrze czynności przetwarzania organizacja zamieszcza informacje o tym, w jaki sposób przetwarza dane osobowe będąc ich administratorem. Rejestr kategorii czynności przetwarzania prowadzą natomiast podmioty, które przetwarzają dane w sposób określony przez samodzielnego administratora i w wyznaczonych przez niego celach.
Kto odpowiada za prowadzenie rejestru czynności przetwarzania?
Prowadzenie rejestru czynności przetwarzania to jeden z obowiązków administratora danych osobowych, który może w tym przypadku współpracować z innymi członkami organizacji, co pozytywnie wpłynie na rzetelność oraz aktualność RCP. Istotne jest jednak to, by rejestru nie prowadził inspektor ochrony danych, ponieważ jest on odpowiedzialny za inne czynności. Do niego należy między innymi kontrola zgodności prowadzonego rejestru z obowiązującymi przepisami prawa. W efekcie prowadzenie przez niego rejestru spowodowałoby, że kontrolowałby sam siebie.
Kiedy należy prowadzić rejestr czynności przetwarzania?
Prowadzenie rejestru czynności przetwarzania jest korzystne dla firmy, ponieważ ułatwia wywiązywanie się z obowiązków nakładanych przez RODO. W tym miejscu warto jednak wspomnieć o tym, że istnieją przypadku, w których prowadzenie RCP jest obligatoryjne. Zgodnie z RODO obowiązek ten zachodzi w sytuacji, gdy:
-
firma zatrudnia co najmniej 250 pracowników;
-
przetwarzanie danych może powodować ryzyko naruszenia praw bądź wolności osób, których one dotyczą;
-
przetwarzanie danych nie ma charakteru sporadycznego, a co za tym idzie, jest realizowane w sposób ciągły;
-
przetwarzanie obejmuje szczególne kategorie danych, o których mowa w art. 9 ust 1 (przykładowo ujawniające pochodzenie rasowe, poglądy polityczne czy przekonania religijne);
-
przetwarzanie dotyczy danych o wyrokach skazujących i naruszeniach prawa, co określa art. 10 RODO.
Przetwarzający dane osobowe powinni mieć świadomość tego, że obowiązek prowadzenia rejestru czynności przetwarzania pojawia się w momencie zaistnienia minimum jednej z wymienionych wyżej przesłanek. W praktyce może okazać się zatem, że zobowiązany będzie do tego podmiot, który zatrudnia mniej niż 250 osób, ale przetwarza szczególne kategorie danych, np. dotyczące zdrowia.
Rejestr czynności przetwarzania – jak go prowadzić?
W kontekście obowiązku prowadzenia rejestru czynności przetwarzania istotne jest to, że obowiązujące przepisy nie regulują w żaden sposób tego, w jaki sposób ma on wyglądać. Należy pamiętać jednak o tym, że zgodnie z postanowieniami RODO rejestr czynności przetwarzania musi być prowadzony w formie pisemnej. Nie ma znacznie jednak to, czy będzie on sporządzany w wersji papierowej, czy elektronicznej. Istotne jest oczywiście to, by rejestr był czytelny, a co za tym idzie, prowadzi się go zazwyczaj w układzie tabelarycznym. Każdy wiersz tabeli odnosi się wówczas do odrębnego procesu przetwarzania danych.
Co powinien zawierać rejestr czynności przetwarzania?
Rejestr czynności przetwarzania to dokument, który zgodnie z art. 30 ust. 1 RODO musi zawierać określone elementy, a ich brak sprawi, że będzie on niekompletny i będzie stanowił naruszenie obowiązujących przepisów. Do obligatoryjnych elementów rejestru czynności przetwarzania zalicza się:
-
imię i nazwisko bądź nazwę oraz dane kontaktowe administratora i wszystkich współadministratorów, a w sytuacji, gdy ma to zastosowanie również przedstawiciela administratora oraz inspektora ochrony danych;
-
cele przetwarzania;
-
opis kategorii osób, których dane dotyczą, a także opis kategorii danych osobowych;
-
kategorie odbiorców, którym dane zostały bądź dopiero zostaną ujawnione (w tym także kategorie odbiorców w państwach trzecich lub organizacjach międzynarodowych) – nie są to pracownicy administratora, którzy będąc w jego strukturze organizacyjnej, działają z jego upoważnienia, ale zewnętrzne podmioty przetwarzające;
-
gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym także nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń;
-
planowane terminy usunięcia poszczególnych kategorii danych, jeżeli ich określenie jest możliwe;
-
gdy jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których stanowi art. 32 ust. 1 RODO, czyli przykładowo:
-
pseudonimizację i szyfrowanie danych osobowych;
-
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
-
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
-
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
W tym miejscu warto wspomnieć także o tym, że o ile obowiązujące przepisy wyszczególniają obligatoryjne elementy, które muszą znaleźć się w rejestrze czynności przetwarzania, to nie jest to katalog zamknięty. W efekcie administrator danych może zamieścić w nim także dodatkowe informacje, jeżeli tylko uzna to za zasadne. Przykładem może być stworzenie kategorii takiej jak właściciel procesu. Jest nim osoba odpowiadająca za prawidłowy przebieg konkretnego procesu przetwarzania danych (z reguły zwierzchnik działu bądź ktoś przez niego wyznaczony). Wyszczególnienie właścicieli procesów w RCP jest dobrowolne, jednak może być korzystne ze względu na możliwość uniknięcia przerzucania się odpowiedzialnością za ich przebieg pomiędzy poszczególnymi pracownikami.
W jakim celu należy prowadzić rejestr czynności przetwarzania?
Cele prowadzenia rejestru czynności przetwarzania określone zostały w motywie 82 RODO. Zgodnie z jego treścią chodzi o:
-
zachowanie przez administratora danych i podmiot przetwarzający zgodności z przepisami RODO;
-
umożliwienie organowi nadzorczemu monitorowania przetwarzania, co wynika z faktu, że każdy administrator danych i podmiot przetwarzający zobowiązany jest do udostępnienia prowadzonego rejestru na żądanie organu nadzorczego.
W praktyce prowadzenie rejestru czynności przetwarzania ma umożliwić usystematyzowanie wykonywanych czynności, a także umożliwić kontrolę tego, czy realizowane procesy przetwarzania danych są zgodne z celami biznesowymi oraz obowiązującymi wymaganiami prawnymi. Z punktu widzenia organu nadzorczego, prowadzenie RCP ma ułatwić natomiast kontrolę wszystkich podejmowanych w organizacji czynności dotyczących danych osobowych. Wynika to z faktu, że organ nadzorczy ma możliwość wezwania do przedstawienia rejestru czynności przetwarzania zarówno w przypadku prowadzenia kontroli w organizacji, jak i w ramach prowadzenia innych postępowań. Szczegółowe informacje na temat tego, jak przygotować się do kontroli UODO zostały opisane w artykule: Kontrola UODO – Jak przebiega postępowanie przed Urzędem Ochrony Danych Osobowych i czy można się do niego przygotować?
W tym miejscu należy wspomnieć także o tym, że rejestr czynności przetwarzania to dokument wewnętrzny, który nie zawiera informacji o charakterze publicznym. Orzekł tak Wojewódzki Sąd Administracyjny w Łodzi sygn. akt II SAB/Łd 181/18, który w wyroku z 12 lutego br. uznał, że prezydent Łodzi nie musi udostępniać w trybie dostępu do informacji publicznej m.in. rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania, a także wskazania czynności przetwarzania. Jest to bardzo istotne instytucji publicznych, które bardzo często otrzymują wnioski o udostępnienie dokumentów związanych z RODO w trybie dostępu do informacji publicznej. W przytoczonej sprawie Prezydent łodzi nie zgodził się na ujawnienie rejestrów, co poskutkowało złożeniem skargi przez wnioskodawcę do Wojewódzkiego Sądu Administracyjnego w Łodzi. Orzeczony przez niego wyrok rozwiał wątpliwości, co ułatwiło pracę podmiotom publicznym, które do tej pory w różny sposób interpretowały to, czego nie można pokazać publicznie oraz dlaczego nie należy tego robić.
Rejestr czynności przetwarzania – jakie kary grożą za jego brak bądź nieprawidłowe prowadzenie?
Obowiązek prowadzenia rejestru czynności przetwarzania wynika z przepisów RODO, a co za tym idzie jego brak lub prowadzenie w nieprawidłowy sposób podlega karze. W skrajnym przypadku jej wysokość może sięgnąć nawet 10 milionów euro, a maksymalna kara, jaka może zostać nałożona na przedsiębiorstwo to do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Istotne w tym przypadku jest to, że zgodnie z obowiązującymi regulacjami zastosowanie ma wyższa kwota kary.
Negatywne konsekwencje braku bądź nieprawidłowego prowadzenia rejestru czynności przetwarzania sprowadzają się jednak nie tylko do ewentualnych kar finansowych z tego tytułu. Wynika to z faktu, że zaniechanie obowiązku lub prowadzenie rejestru w sposób niezgodny z przepisami prawa może powodować zamęt w procesach przetwarzania, co może przyczyniać się do powstawania kolejnych nieprawidłowości.
Przykładem może być przetwarzanie danych w sposób nadmiarowy dla danego celu lub przekraczanie okresów retencji. Każdy z tego typu błędów może stanowić niezależną podstawę do nałożenia kary przez organ nadzorczy, a osoby, których dane dotyczą, mogą wystąpić o dodatkowe zadośćuczynienie, przez co ewentualne straty finansowe mogą być jeszcze większe.
Jako przykład nieprawidłowego prowadzenia rejestru czynności przetwarzania może posłużyć kontrola w jednym z Urzędów Miejskich, w której trakcie stwierdzono różnego rodzaju uchybienia, m.in. brak ujęcia wszystkich czynności przetwarzania czy niewskazanie terminów, w których dane mają zostać usunięte. W efekcie na Burmistrza jako administratora danych została nałożona kara pieniężna w wysokości 40 tys. złotych oraz zobowiązano go do wdrożenia odpowiednich środków organizacyjno-technicznych, które zapewnią, że dane osobowe będą przetwarzane zgodnie z obowiązującymi przepisami. Burmistrz złożył skargę na tę decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie (II SA/Wa 2826/19), która nie została jednak uwzględniona. Sąd ocenił, że skarżący, czyli burmistrz będący administratorem danych nie wykazał tego, że przestrzega wszystkich obowiązujących zasad przetwarzania danych. W efekcie podzielił opinię organu kontrolującego w zakresie poszczególnych naruszeń.
Na podstawie powyższego przykładu doskonale widać, że rejestr czynności przetwarzania powinien być prowadzony w sposób dokładny i szczegółowy. Poza obligatoryjnymi elementami warto przy każdej wymienionej czynności przetwarzania wskazać podstawę prawną przetwarzania danych, która powinna być zgodna z art. 6 RODO. Pozwoli to uniknąć zarzutu nielegalnego przetwarzania danych osobowych.
Podsumowanie
Rejestr czynności przetwarzania to dokument, który jest niezwykle istotny z punktu widzenia zachowania porządku w procesach przetwarzania danych. Możliwość uporządkowania i ujednolicenia procesów powinna być zatem znacznie większą motywacją do jego rzetelnego prowadzenia niż ryzyko otrzymania kar finansowych ze względu na niewywiązywanie się z obowiązku. Jest ono bardzo wysokie, ponieważ w praktyce RCP to jeden z najczęściej żądanych dokumentów RODO w toku postępowań kontrolnych prowadzonych przez organ nadzorczy, czyli Urząd Ochrony Danych Osobowych.
Pytania i odpowiedzi
Tak, ponieważ spełnia się w tym przypadku przesłanka mówiąca o przetwarzaniu szczególnych kategorii danych, o których mowa w art. 9 ust 1. W tym przypadku są to dane dotyczące zdrowia.
Zachowana musi zostać forma pisemna, jednak nie ma znaczenia to, czy dokument będzie sporządzany w wersji papierowej, czy elektronicznej.
Żądanie przedstawienia rejestru czynności przetwarzania może nastąpić zarówno w trakcie prowadzenia kontroli w organizacji, jak i w toku innych postępowań.
Zaufali nam: