W drugiej części cyklu o najważniejszych zmianach, jakie wprowadza Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) wyjaśniamy na czym polega obowiązek prowadzenia rejestru przetwarzania.
Przeczytaj pierwszą część cyklu: Rozszerzony obowiązek informacyjny i profilowanie
W przepisach unijnego Rozporządzenia (RODO) zrezygnowano z często uciążliwego dla administratorów obowiązku rejestracji zbiorów danych osobowych w GIODO. Zamiast tego nowe przepisy nakładają na administratora danych obowiązek prowadzenia rejestru przetwarzania. Wynika to z art. 30., przy czym istnieją pewne wyjątki od obowiązku prowadzenia rejestru dla poszczególnych grup administratorów danych.
Obowiązek ten nie będzie miał zastosowania w sytuacji, gdy administrator danych zatrudnia mniej niż 250 osób. Niemniej, pomimo zatrudniania poniżej 250 pracowników, obowiązek taki będzie zawsze istniał względem administratorów, gdy dokonywane przez nich przetwarzanie:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
- nie ma charakteru sporadycznego,
- obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust 1,
- obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.
Można więc śmiało stwierdzić, że obowiązek ten będzie spoczywał także na mikroprzedsiębiorcach (jednoosobowej działalności gospodarczej), bo proces przetwarzania danych osobowych rzadko będzie odbywał się sporadycznie.
Wymogi co do zawartości rejestru przypominają niewątpliwie prowadzony obecnie przez ABI jawny rejestr zbiorów danych osobowych, choć należy odnotować, że RODO wymaga dodania nowych elementów jak np. konieczność wskazania, jeżeli to możliwe, planowanego terminu usunięcia poszczególnych kategorii danych. RODO rozróżnia dwa rejestry – różnią się w zależności od tego, czy dane przetwarzane są przez administratora, czy podmiot przetwarzający, tj.:
- rejestr czynności prowadzi administrator danych dla swoich danych,
- rejestr kategorii przetwarzania prowadzi podmiot przetwarzający dla danych, które zostały mu powierzone.
Jak stworzyć rejestr czynności przetwarzania?
Zasady tworzenia rejestru czynności przetwarzania określa art. 30 RODO, zgodnie z którym rejestr musi zawierać:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
- cele przetwarzania, np. przeprowadzenie konkursu;
- opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych (kategoria osób, to na przykład uczestnicy konkursu, natomiast przy kategorii danych należy wskazać, czy są to dane zwykłe czy wrażliwe);
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych (RODO co prawda zezwala na wskazanie tylko kategorii odbiorców, jednak jestem zwolenniczką wskazywania konkretnych odbiorców, aby zapewnić rozliczalność danych);
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń (zwracam uwagę na wiążące reguły korporacyjne oraz tarczę prywatności UE – USA, które stanowią opis zabezpieczeń);
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych (przetwarzanie danych powinno być celowe i ograniczone czasowo);
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. (można wskazać ogólnie najważniejsze rzeczy oraz odnieść się do zapisów z polityki bezpieczeństwa).
Ogromną korzyścią, okazuje się fakt, iż na dzień dzisiejszy żadne przepisy wykonawcze nie odnoszą się do sposobu tworzenia i prowadzenia rejestru przetwarzania, więc administrator danych ma swobodę i sam podejmuje decyzję jak to robić. Można wskazać co najmniej dwie możliwości: albo oddzielny rejestr, tożsamy do obecnego rejestru zbiorów ABI albo rozszerzenie tabeli z wykazem zbiorów w polityce bezpieczeństwa o dodatkowe kolumny. Myślę, że godnym polecenia jest drugie rozwiązanie, bo daje możliwość większej kontroli przez administratora.
Inaczej jest w przypadku podmiotu przetwarzającego, który nie może dopisać kolejnych kolumn do wykazu swoich danych osobowych w polityce bezpieczeństwa, ponieważ zbiory powierzone nie są zbiorami administrowanymi przez niego. We wskazanej sytuacji, dobrym rozwiązaniem staje się dołączenie dodatkowej kolumny z danymi administratora danych. Przydatną może stać się informacja o dacie zawarcia umowy powierzenia, czasu trwania, czy zasady zakończenia współpracy, a także dodatkowe informacje o dalszym podpowierzeniu. Daje nam to pełną kontrolę oraz ,,poukładaną’’ wiedzę na temat procesów powierzenia i umowy.
I najważniejsza informacja dla każdego z nas – za nieprowadzenie rejestru będzie groziła kara pieniężna w wysokości do 10 mln EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
