Jednym z najważniejszych obowiązków nakładanych przez RODO na bardzo znaczną część administratorów danych osobowych jest prowadzenie rejestru czynności przetwarzania danych osobowych. Uchybienia w tym zakresie (nieprowadzenie rejestru wbrew takiemu obowiązkowi lub nieprawidłowe jego prowadzenie) może grozić karą pieniężną nawet do 10 mln EUR lub 2% światowego obrotu przedsiębiorcy.

Warto odpowiedzieć więc sobie na dwa następujące pytania:

  • Kto zobowiązany będzie do prowadzenia rejestru czynności przetwarzania danych osobowych?
  • Jak prowadzić rejestr czynności przetwarzania danych osobowych?

RODO dostrzega potrzebę ulgowego traktowania mikro, małych i średnich przedsiębiorców, przewidując już w motywie 13 preambuły, że „rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników”. Alleluja! - chciałoby się krzyknąć - na pierwszy rzut oka wydaje się bowiem, że obowiązek prowadzenia rejestru czynności przetwarzania spoczywa tylko na podmiotach zatrudniających co najmniej 250 pracowników. Niestety, motywy motywami, a art. 30 ust.5 RODO wskazuje wyraźnie, że zwolnienie podmiotów zatrudniających mniej niż 250 osób faktycznie obowiązuje, ale za wyjątkiem następujących sytuacji:

  • Przetwarzanie, którego podmiot dokonuje może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, lub
  • Przetwarzanie nie ma charakteru sporadycznego, lub
  • Przetwarzanie obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust.1 RODO, lub
  • Przetwarzane dane osobowe dotyczą wyroków skazujących i naruszeń prawa.

Ze względu na dwie pierwsze z w/w przesłanek uznać należy, że obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych dotyczyć będzie w rzeczywistości zdecydowanej większości przedsiębiorców. Diabeł tkwi więc w szczegółach i mimo słusznego założenia sformułowanego w motywie 13 RODO, art. 30 RODO interpretowany może być (i najprawdopodobniej tak właśnie będzie) w sposób nakładający na zdecydowaną większość przedsiębiorców obowiązek rejestracji czynności przetwarzania. Do rzadkości należeć będą raczej sytuacje by w dobie powszechnego dostępu do Internetu oraz cyfryzacji ogromnej części usług przetwarzanie nie powodowało ryzyka naruszenia praw lub wolności osób. Rzadko mieć będzie również charakter sporadyczny. Pamiętać również należy o tym, że w zasadzie każdy pracodawca przetwarza szczególne kategorie danych osobowych - dane dotyczące zdrowia pracowników, w związku z usprawiedliwianiem ich absencji w pracy.

Jak wyglądać powinien rejestr czynności przetwarzania danych osobowych?

Na pytanie to odpowiada art. 30 ust.1 RODO, wskazując listę informacji wymaganych w przypadku prowadzenia rejestru czynności przetwarzania przez administratora danych osobowych. Rejestr taki zawierać powinien:

  • Imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie, przedstawiciela administratora oraz inspektora ochrony danych;
  • Cele przetwarzania danych osobowych (np. wystawienie faktury, windykacja wierzytelności);
  • Opis kategorii osób, których dane dotyczą (np. klienci, pracownicy) oraz kategorii danych osobowych (np. imię i nazwisko, nr PESEL);
  • Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych (np. dostawcy usług hostingowych, doradcy prawni, doradcy podatkowi);
  • Gdy ma to zastosowanie, informacje na temat przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę państwa trzeciego lub organizacji międzynarodowej oraz dokumentację odpowiednich zabezpieczeń w przypadku przekazania danych w wyjątkowej sytuacji opisanej w art. 49 ust.1 akapit drugi RODO;
  • Jeżeli jest to możliwe – planowane terminy usunięcia poszczególnych kategorii danych;
  • Jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust.1 RODO (np. szyfrowanie, pseudonimizacja).

Przykładowy szablon rejestru czynności przetwarzania opublikowany został przez GIODO (jeszcze przed przekształceniem w PUODO). GIODO zaproponował bardzo rozbudowaną formę rejestru, podając pozycje obligatoryjne oraz sugerowane. Tajemnicą pozostaje w oparciu o jaką podstawę prawną GIODO stwierdził obligatoryjność wyodrębnienia z ogółu odbiorców danych osobowych podmiotów, którym dane osobowe powierzane są do przetwarzania. Należy jasno wskazać, iż rzekomy obowiązek takiego wyodrębnienia nie znajduje podstawy prawnej w treści art. 30 ust.1 RODO. Kształt rejestru zaproponowanego przez GIODO (obecnie PUODO) znaleźć można na stronie internetowej PUODO.

Na marginesie wskazać należy, iż podmiot przetwarzający (a więc podmiot przetwarzający dane osobowe w imieniu administratora) prowadzić powinien natomiast zgodnie z art. 30 ust.2 RODO nieco okrojony w stosunku do rejestru prowadzonego przez administratora, rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający nieco inny zakres informacji.

Dość łatwo wysnuć więc wniosek, że w przypadku ogromnej liczby podmiotów istnieje obowiązek prowadzenia dwóch w/w rejestrów (art. 30 ust.1 i art. 30 ust.2 RODO). Znaczna część przedsiębiorców funkcjonuje bowiem zarówno w roli administratorów danych osobowych, jak i podmiotów przetwarzających dane osobowe powierzone im przez innych administratorów.

W jakiej formie powinien być prowadzony rejestr czynności przetwarzania?

Otóż, zgodnie z art. 30 ust.3 RODO, rejestry czynności przetwarzania mają formę pisemną, w tym elektroniczną. Pojawiły się od razu spory interpretacyjne, jak rozumieć należy formę elektroniczną. Czy musi to być forma elektroniczna w rozumieniu art. 78(1) par.1 KC, a więc czy chodzi o dokument opatrzony kwalifikowanym podpisem elektronicznym? W naszej ocenie, wydaje się, że nie jest to wymagane i przez formę elektroniczną można rozumieć w przypadku art. 30 ust.3 RODO po prostu dokument elektroniczny, bez konieczności opatrzenia go kwalifikowanym podpisem elektronicznym. Sam GIODO zaproponował prowadzenie rejestru w formie pliku Excel.

Czy w rejestrze opisać należy każdą pojedynczą operację dokonywaną na danych w ramach przetwarzania danych osobowych?

Zdecydowanie NIE, rejestr byłby wówczas zbyt szczegółowy, obszerny i przez to nieczytelny a jego prowadzenie byłoby nadmiernym ciężarem dla przedsiębiorcy. W rejestrze – jako poszczególne czynności przetwarzania – opisywać należy zbiorczo różne operacje przetwarzania podejmowane w tym samym celu. Czynnościami przetwarzania opisywanymi w rejestrze czynności przetwarzania będą więc np. wysyłka korespondencji oraz prowadzenie akt osobowych pracowników, a nie np. adresowanie koperty, czy wprowadzanie informacji o karze porządkowej do akt osobowych pracownika.

Czy obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych można powierzyć Inspektorowi Ochrony Danych?

Jak najbardziej TAK. W przypadku gdy Inspektor Ochrony Danych został powołany, powierzenie mu prowadzenia rejestru czynności przetwarzania wydaje się w pełni zasadne i zalecane, jest to ostatecznie specjalista, który powinien posiadać dostateczne kompetencje by rejestr taki prowadzić w sposób należyty. Zapewni to Inspektorowi ponadto możliwie pełny i aktualny wgląd w zakres czynności przetwarzania, co pomoże mu lepiej wywiązywać się z obowiązków nałożonych na niego przez RODO.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

RODO | Kancelaria prawna Poznań