Rejestry czynności przetwarzania danych osobowych – kto i w jaki sposób będzie musiał je prowadzić?

Rejestry czynności przetwarzania danych osobowych – kto i w jaki sposób będzie musiał je prowadzić?

Rejestry czynności przetwarzania danych osobowych – kto i w jaki sposób będzie musiał je prowadzić?

System rejestrowania u GIODO zbiorów danych osobowych, funkcjonujący według obecnych przepisów ustawy o ochronie danych osobowych, po rozpoczęciu stosowania unijnego ogólnego rozporządzenia o ochronie danych (RODO), tj. od dnia 25 maja 2018 roku, nie zostanie utrzymany. W miejsce obowiązku rejestracji zbiorów administratorzy danych, a także ich przedstawiciele i podmioty przetwarzające będą musieli prowadzić rejestry czynności przetwarzania danych osobowych.

Podmioty zobowiązane do prowadzenia rejestrów

Do prowadzenia rejestrów czynności przetwarzania danych osobowych zobowiązani będą:

  • administrator danych;
  • podmiot przetwarzający dane – tj. podmiot przetwarzający dane w imieniu administratora (w praktyce podmioty, które przetwarzają dane na podstawie umowy o powierzeniu przetwarzania danych osobowych zawartej z administratorem);
  • przedstawiciel administratora lub podmiotu przetwarzającego – tj. podmiot, który ma miejsce zamieszkania lub siedzibę w UE, wyznaczony na piśmie przez administratora lub podmiot przetwarzający, którzy nie mają jednostki organizacyjnej na terenie UE do ich reprezentowania w zakresie obowiązków wynikających z RODO.

Ustawodawca unijny przewidział wyłączenie obowiązku prowadzenia rejestrów w przypadku przedsiębiorców lub podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego lub
  • obejmuje szczególne kategorie danych osobowych (tzw. dane wrażliwe), lub
  • obejmuje dane dotyczące wyroków skazujących i naruszeń prawa.

W praktyce powyższe oznacza, że zdecydowana większość podmiotów, pomimo spełnienia przesłanki zatrudnienia niższego niż 250 osób, będzie musiała prowadzić rejestry czynności przetwarzania danych osobowych – w szczególności z uwagi na fakt, że przetwarzanie danych zazwyczaj nie ma charakteru sporadycznego.

Treść i forma rejestru

W przypadku rejestru prowadzonego przez administratora danych (albo jego przedstawiciela) przepisy RODO wymagają, aby zawarte w nim były następujące informacje:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – o ile ma to zastosowanie w przypadku danego administratora – jego przedstawiciela oraz inspektora danych osobowych;
  • cele przetwarzania danych;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, informacja na temat przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku określonego rodzaju przekazań, do rejestru należy także załączyć dokumentację odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Podmiot przetwarzający (albo jego przedstawiciel) w rejestrze czynności przetwarzania dokonywanych w imieniu administratora będzie musiał wskazywać:

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  • gdy ma to zastosowanie – informacje na temat przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku określonego rodzaju przekazań, podmiot ten będzie musiał załączyć do rejestru także dokumentację odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Rejestry czynności przetwarzania danych powinny być, zgodnie z RODO, prowadzone w „formie pisemnej, w tym formie elektronicznej”. Redakcja przepisu dotyczącego formy rejestru może w praktyce budzić wątpliwości – w szczególności co do tego, czy wystarczające będzie prowadzenie rejestru tylko w jednej ze wskazanych form. Literalna treść przepisu, w tym w wersji anglojęzycznej, skłania jednak do wniosku, że podmiot zobowiązany powinien dysponować rejestrem prowadzonym w obu wskazanych formach.

Obowiązek udostępnienia i sankcje

Podmiot zobowiązany do prowadzenia rejestru czynności przetwarzania będzie musiał udostępniać go na żądanie organu nadzorczego. W Polsce, wedle aktualnie procedowanego projektu ustawy o ochronie danych osobowych, organem tym będzie Prezes Urzędu Ochrony Danych Osobowych.

Nieprowadzenie rejestru czynności przetwarzania w przypadku istnienia takiego obowiązku może być dotkliwe w skutkach. RODO przewiduje w takiej sytuacji karę pieniężną w wysokości do 10 milionów euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Anna Eliszewska  – radca prawny, ukończyła „Praktyczne szkolenie z europejskiego Rozporządzenia o ochronie danych osobowych”