Polityka bezpieczeństwa danych osobowych

Kto musi prowadzić rejestr czynności przetwarzania danych osobowych?

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wynikający z art. 30 RODO spoczywa na administratorze danych oraz podmiocie przetwarzającym dane (lub, jeżeli ma to zastosowanie, na przedstawicielach tych podmiotów).  Obowiązek wyznaczenia przedstawiciela, zgodnie z art. 27 w związku z art. 3 ust. 2 RODO, mają administrator i podmiot przetwarzający nieposiadający jednostek organizacyjnych w Unii wówczas, jeżeli prowadzone przez nich czynności przetwarzania wiążą się z oferowaniem towarów lub usług osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje, że administratorzy danych oraz podmioty przetwarzające mają obowiązek prowadzenia odpowiednio rejestru czynności lub rejestru kategorii czynności przetwarzania. Podmioty przetwarzające, a więc osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora w większości przypadków będą zobowiązane do prowadzenia zarówno rejestru kategorii czynności przetwarzania, jak i rejestru czynności przetwarzania danych, za które odpowiadają jako administratorzy (np. danych osób zatrudnionych).

Rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych, przy czym niektóre z tych procesów występujących w typowych organizacjach mogą być zwolnione z prowadzenia rejestru.

Obowiązek prowadzenia rejestru trzeba realizować, gdy przetwarzanie:

• może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
• nie ma charakteru sporadycznego,
• obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Obowiązek zachodzi już wtedy, gdy którakolwiek z tych sytuacji występuje samodzielnie. 

Cel obowiązku prowadzenia rejestru

82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru: 

1. Zachowanie przez administratora i podmiot przetwarzający zgodności z RODO – możliwość stałej weryfikacji swojej działalności w zakresie przetwarzania danych osobowych oraz poddawania ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie 

2. Umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania - na żądanie organu nadzorczego informacje o prowadzonym przez administratora i podmiot przetwarzający przetwarzaniu będą udostępniane organowi w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji. Prowadzone przez administratorów i przetwarzających rejestry pozwalają im usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Dzięki zebranym w tych rejestrach informacjom, administratorzy i podmioty przetwarzające mogą również ocenić, w jakim zakresie dotyczą ich inne obowiązki wynikające z rozporządzenia ogólnego, np. obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych, która jest na gruncie rozporządzenia przewidziana m.in. w sytuacji przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO. 

Co powinien zawierać rejestr czynności przetwarzania danych osobowych?

1. Rejestr prowadzony przez administratora – rejestr czynności przetwarzania powinien zawierać:

a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych; 

b) cele przetwarzania; 

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; 

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; 

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; 

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; 

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust.

2. Rejestr prowadzony przez podmiot przetwarzający – rejestr kategorii przetwarzania powinien zawierać:

a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych; 

b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów; 

c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; 

d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. 

Przytoczone powyżej składniki rejestrów stanowią ich część obligatoryjną. Jednak wątpliwości może budzić znaczenie poszczególnych pojęć użytych w powołanych przepisach, a także stopień szczegółowości rejestrów i sposób ich prowadzenia. 

W celu ułatwienia realizacji tego zadania Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO), przygotował szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami ich uzupełnienia oraz wyjaśnienia dotyczące sposobu realizacji tego obowiązku. Informacje, które wg UPDO powinny być zawarte w rejestrach przedstawiono w końcowej części artykułu.

Przedstawionych szablonów rejestrów nie należy traktować jako jedynych prawidłowych wzorów. Ze względu na różnorodność administratorów, sektorów, w których działają i procesów przetwarzania danych, które prowadzą oraz innych czynników, w praktyce może występować wiele różnych modeli (struktur) rejestru czynności. Ważne, żeby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić wymagane w art. 30 ust. 1 i 2 RODO elementy w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych, w sposób czytelny i przejrzysty.

W rejestrze czynności przetwarzania i rejestrze kategorii przetwarzania mogą zatem znaleźć inne elementy, które administrator uzna za zasadne, uwzględniając wiele specyficznych dla niego czynników, takich jak np.: 

·wskazanie podstawy prawnej przetwarzania, 

·wskazanie źródła pozyskania danych, 

·wskazanie użytego do przetwarzania systemu informatycznego, 

·informacje dotyczące przeprowadzonej oceny skutków dla ochrony danych itp. 

W niektórych przypadkach uzasadnione może okazać się odnotowanie w rejestrze dodatkowo takich informacji, jak np.: 

·określenie tzw. właścicieli procesów, czyli osób odpowiedzialnych u administratora za konkretne czynności przetwarzania (np. kierownik określonej komórki w organizacji, wydzielone stanowisko itp.), oraz 

·dane kontaktowe podmiotu przetwarzającego oraz podmiotów, którym podpowierzono wykonywanie określonych czynności przetwarzania danych lub określonych operacji w ramach tych czynności (art. 28 ust. 4 RODO). 

Formy prowadzenia rejestrów

RODO nie narzuca układu informacji wymaganych w rejestrach. Stanowi jedynie, że rejestry powinny być prowadzone w formie pisemnej (art. 30 ust. 3). RODO nie narzuca również wymagań dotyczących postaci, w jakiej rejestry powinny być prowadzone, wskazując, że może to być postać zarówno papierowa, jak i elektroniczna. 

Szablony rejestru czynności przetwarzania i rejestru kategorii czynności przygotowane przez Prezesa UODO

REJESTR CZYNNOŚCI PRZETWARZANIA: 

I. STRONA TYTUŁOWA: 

1. Nazwa i dane kontaktowe administratora: 

a) nazwa administratora 

b) adres 

c) email 

d) nr telefonu/faksu 

2. Inspektor Ochrony Danych (gdy ma to zastosowanie): 

a) nazwa inspektora 

b) adres 

c) email 

d) nr telefonu/faksu 

3. Przedstawiciel (gdy ma to zastosowanie): 

a) nazwa przedstawiciela 

b) adres 

c) email 

d) nr telefonu/faksu 

II. INFORMACJE O POSZCZEGÓLNYCH CZYNNOŚCIACH PRZETWARZANIA: 

a) Nazwa czynności przetwarzania 

b) Jednostka organizacyjna 

c) Cel przetwarzania 

d) Kategorie osób 

e) Kategorie danych 

f) Podstawa prawna 

g) Źródło danych 

h) Planowany termin usunięcia kategorii danych 

i) Nazwa współadministratora i dane kontaktowe 

j) Nazwa podmiotu przetwarzającego i dane kontaktowe 

k) Kategorie odbiorców 

l) Nazwa systemu lub oprogramowania 

m) Ogólny opis techniczny i organizacyjny środków bezpieczeństwa

n) DPIA 

o) Transfer do kraju trzeciego lub organizacji międzynarodowej: 

·Transfer do kraju trzeciego lub organizacji międzynarodowej 

·Dokumentacja odpowiednich zabezpieczeń w przypadku transferu 

REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA: 

I. STRONA TYTUŁOWA: 

1. Nazwa i dane kontaktowe przetwarzającego: 

a) nazwa administratora 

b) adres 

c) email 

d) nr telefonu/faksu 

2. Inspektor ochrony danych (gdy ma to zastosowanie): 

a) nazwa inspektora 

b) adres 

c) email 

d) nr telefonu/faksu 

3. Przedstawiciel (gdy ma to zastosowanie): 

a) nazwa przedstawiciela 

b) adres 

c) email 

d) nr telefonu/faksu 

II. INFORMACJE O POSZCZEGÓLNYCH KATEGORIACH CZYNNOŚCI PRZETWARZANIA: 

a) Kategorie przetwarzania 

b) Ogólny opis techniczny i organizacyjny środków bezpieczeństwa 

c) Administrator: 

·Nazwa i dane kontaktowe administratora 

·Nazwa i dane kontaktowe współadministratora (gdy ma to zastosowanie) 

·Nazwa i dane kontaktowe przedstawiciela administratora (gdy ma to zastosowanie) 

·Inspektor ochrony danych administratora (gdy ma to zastosowanie) 

d) Czas trwania przetwarzania 

e) Nazwy państw trzecich lub organizacji międzynarodowych, do których dane są przekazywane 

f) Dokumentacja odpowiednich zabezpieczeń danych osobowych 

g) Podprzetwarzający:

·Nazwa i dane kontaktowe podprzetwarzającego 

·Kategorie podpowierzonych przetwarzań 

Sprawdź wzór RCP i RKCP rekomendowany przez Urząd Ochrony Danych Osobowych:

Rejestr czynności przetwarzania (przykłady dla szkoły)

Rejestr kategorii czynności przetwarzania

Zobacz również:

• Polityka bezpieczeństwa danych osobowych
• Ustawa o ochronie danych osobowych z 29.08.1997 ze zmianami
• Wdrożenie RODO