Rejestry czynności przetwarzania danych osobowych – kto i w jaki sposób będzie musiał je prowadzić?
System rejestrowania u GIODO zbiorów danych osobowych, funkcjonujący według obecnych przepisów ustawy o ochronie danych osobowych, po rozpoczęciu stosowania unijnego ogólnego rozporządzenia o ochronie danych (RODO), tj. od dnia 25 maja 2018 roku, nie zostanie utrzymany. W miejsce obowiązku rejestracji zbiorów administratorzy danych, a także ich przedstawiciele i podmioty przetwarzające będą musieli prowadzić rejestry czynności przetwarzania danych osobowych.
Podmioty zobowiązane do prowadzenia rejestrów
Do prowadzenia rejestrów czynności przetwarzania danych osobowych zobowiązani będą:
- administrator danych;
- podmiot przetwarzający dane – tj. podmiot przetwarzający dane w imieniu administratora (w praktyce podmioty, które przetwarzają dane na podstawie umowy o powierzeniu przetwarzania danych osobowych zawartej z administratorem);
- przedstawiciel administratora lub podmiotu przetwarzającego – tj. podmiot, który ma miejsce zamieszkania lub siedzibę w UE, wyznaczony na piśmie przez administratora lub podmiot przetwarzający, którzy nie mają jednostki organizacyjnej na terenie UE do ich reprezentowania w zakresie obowiązków wynikających z RODO.
Ustawodawca unijny przewidział wyłączenie obowiązku prowadzenia rejestrów w przypadku przedsiębiorców lub podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
- nie ma charakteru sporadycznego lub
- obejmuje szczególne kategorie danych osobowych (tzw. dane wrażliwe), lub
- obejmuje dane dotyczące wyroków skazujących i naruszeń prawa.
W praktyce powyższe oznacza, że zdecydowana większość podmiotów, pomimo spełnienia przesłanki zatrudnienia niższego niż 250 osób, będzie musiała prowadzić rejestry czynności przetwarzania danych osobowych – w szczególności z uwagi na fakt, że przetwarzanie danych zazwyczaj nie ma charakteru sporadycznego.
Treść i forma rejestru
W przypadku rejestru prowadzonego przez administratora danych (albo jego przedstawiciela) przepisy RODO wymagają, aby zawarte w nim były następujące informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – o ile ma to zastosowanie w przypadku danego administratora – jego przedstawiciela oraz inspektora danych osobowych;
- cele przetwarzania danych;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, informacja na temat przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku określonego rodzaju przekazań, do rejestru należy także załączyć dokumentację odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Podmiot przetwarzający (albo jego przedstawiciel) w rejestrze czynności przetwarzania dokonywanych w imieniu administratora będzie musiał wskazywać:
- imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- gdy ma to zastosowanie – informacje na temat przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku określonego rodzaju przekazań, podmiot ten będzie musiał załączyć do rejestru także dokumentację odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Rejestry czynności przetwarzania danych powinny być, zgodnie z RODO, prowadzone w „formie pisemnej, w tym formie elektronicznej”. Redakcja przepisu dotyczącego formy rejestru może w praktyce budzić wątpliwości – w szczególności co do tego, czy wystarczające będzie prowadzenie rejestru tylko w jednej ze wskazanych form. Literalna treść przepisu, w tym w wersji anglojęzycznej, skłania jednak do wniosku, że podmiot zobowiązany powinien dysponować rejestrem prowadzonym w obu wskazanych formach.
Obowiązek udostępnienia i sankcje
Podmiot zobowiązany do prowadzenia rejestru czynności przetwarzania będzie musiał udostępniać go na żądanie organu nadzorczego. W Polsce, wedle aktualnie procedowanego projektu ustawy o ochronie danych osobowych, organem tym będzie Prezes Urzędu Ochrony Danych Osobowych.
Nieprowadzenie rejestru czynności przetwarzania w przypadku istnienia takiego obowiązku może być dotkliwe w skutkach. RODO przewiduje w takiej sytuacji karę pieniężną w wysokości do 10 milionów euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).
Anna Eliszewska – radca prawny, ukończyła „Praktyczne szkolenie z europejskiego Rozporządzenia o ochronie danych osobowych”