Zasadniczo prawie każdy administrator musi prowadzić rejestr czynności przetwarzania danych osobowych, za które odpowiada, a każdy podmiot przetwarzający musi prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.
RODO określa obligatoryjne elementy takich rejestrów, ale można do nich dodać także elementy dodatkowe, co może być przydatne w ustrukturyzowaniu czynności przetwarzania danych.
Kto i w jakich przypadkach powinien prowadzić rejestry?
W praktyce, zasadniczo:
Prawie każdy administrator (o wyjątkach piszemy poniżej) zobowiązany jest prowadzić rejestr czynności przetwarzania danych osobowych, które mają miejsce u administratora. Rejestr ten ma uwzględniać te czynności przetwarzania, których dany podmiot jest administratorem (lub współadministratorem). Np. podmiot X będący pracodawcą powinien uwzględnić w takim rejestrze czynności przetwarzania związane z rekrutacją do pracodawcy X.
Każdy podmiot przetwarzający (o wyjątkach piszemy poniżej) zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. Rejestr ten ma więc uwzględniać te kategorie czynności przetwarzania, dla których dany podmiot jest podmiotem przetwarzającym (tzw. procesorem) w imieniu innych administratorów. Np. jeśli wspomniany wyżej podmiot X świadczy dla swoich klientów usługi IT, w ramach których przetwarza w imieniu klientów dane osobowe ich pracowników, powinien uwzględnić w rejestrze wszystkich kategorii czynności przetwarzania te czynności przetwarzania, których dokonuje w związku ze świadczeniem usług IT na rzecz klientów.
Kiedy nie trzeba prowadzić rejestrów?
Obowiązki prowadzenia rejestrów zgodnie z RODO nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że:
przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
przetwarzanie nie ma charakteru sporadycznego,
przetwarzanie obejmuje:
szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO,
lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
Zakres powyższego wyłączenia z uwagi na próg 250 zatrudnionych osób na pierwszy rzut oka może wydawać się szeroki. Jednak, jak wskazano powyżej, RODO jednocześnie stanowi, że w niektórych przypadkach podmiot zobowiązany jest do prowadzenia rejestru, nawet jeśli zatrudnia mniej niż 250 osób.
Zgodnie ze stanowiskiem Grupy Roboczej art. 29 (obecnie Europejska Rada Ochrona Danych) taki „mniejszy” podmiot powinien realizować ten obowiązek, gdy zachodzi którakolwiek z wymienionych niżej sytuacji:
przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
przetwarzanie nie ma charakteru sporadycznego,
przetwarzanie obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych,
W praktyce przesłanki, które uaktywniają obowiązek prowadzenia rejestru przez „mniejsze” podmioty, zachodzą na tyle często, że brak obowiązku prowadzenia rejestru będzie występował stosunkowo rzadko. Przykładowo w przypadku pracodawców w zasadzie zawsze zachodzi przesłanka aktywująca obowiązek prowadzenia rejestru dotycząca przetwarzania danych szczególnych kategorii. Pracodawcy przetwarzają bowiem dane o zdrowiu pracowników. Podobnie w obrocie gospodarczym bardzo rzadka będzie sytuacja, w której zasadnie będzie można twierdzić, że przetwarzanie danych osobowych prowadzone przez dany podmiot ma charakter sporadyczny, a nie (mniej lub bardziej) trwały.
Jaki jest cel prowadzenia rejestrów?
Jak wskazano w preambule do RODO w motywie 82, rejestry prowadzone są w celu zachowania zgodności z RODO oraz w celu umożliwienia organom nadzorczym monitorowania operacji przetwarzania.
Prawidłowo prowadzone rejestry niewątpliwie pozwalają usystematyzować czynności przetwarzania. Jak wskazuje PUODO:
Dzięki zebranym w tych rejestrach informacjom, administratorzy i podmioty przetwarzające mogą również ocenić, w jakim zakresie dotyczą ich inne obowiązki wynikające z rozporządzenia ogólnego, np. obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych, która jest na gruncie rozporządzenia przewidziana m.in. w sytuacji przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO. Wykonywanie obowiązku określonego w art. 30 RODO pozwala na stałą weryfikację swojej działalności w zakresie przetwarzania danych osobowych oraz poddawanie ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie.
Co istotne, prowadzenie rejestrów jest czynnością ciągłą. Rejestry powinny być na bieżąco aktualizowane, tak aby odzwierciedlać aktualny stan związany z przetwarzaniem danych w organizacji. Rzetelnie prowadzone rejestry mogą w praktyce być niezwykle użytecznym narzędziem do zarządzania procesami przetwarzania danych osobowych – ułatwiającymi m.in. zapewnianie zgodności procesów przetwarzania z RODO.
Jakie elementy powinien zawierać rejestr czynności przetwarzania danych osobowych?
RODO wskazuje obligatoryjne elementy, które musi zawierać rejestr czynności przetwarzania. Są to:
imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
cele przetwarzania,
opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
gdy ma to zastosowanie – informacja na temat przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń,
jeżeli jest to możliwe – planowane terminy usunięcia poszczególnych kategorii danych,
jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Bezwzględnie w rejestrze czynności przetwarzania muszą zawsze znaleźć się informacje, o których mowa w pkt a) – d). Informacje w pkt e) powinny znaleźć się, jeśli administrator dokonuje transferów danych poza EOG. Pozostałe informacje powinny znaleźć się w rejestrze „o ile jest to możliwe”.
W praktyce wskazane jest, by rejestry zawierały również te informacje. Trudno bowiem wskazać, w jakich przypadkach umieszczenie w rejestrze tego rodzaju informacji, przynajmniej częściowo, miałoby być w sposób uzasadniony niemożliwe.
Czy rejestr czynności przetwarzania może zawierać dodatkowe elementy?
Zgodnie ze stanowiskiem PUODO wyrażonym we Wskazówkach w rejestrze mogą znaleźć się także inne elementy, które administrator uzna za zasadne i przydatne w kontekście wykazania zgodności z RODO (np. podstawa prawna przetwarzania, źródło pozyskania danych, używany system informatyczny, informacje dotyczące przeprowadzonej DPIA, wskazanie właścicieli procesów).
Jak rozumieć pojęcie „czynności przetwarzania”?
Rejestr ma obejmować „czynności przetwarzania”, przy czym RODO nie precyzuje, jak należy rozumieć to pojęcie. Jak wskazuje PUODO,
czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.
Czy więc rejestr powinien opisywać każdą cząstkową operację przetwarzania? Nie ma takiej konieczności. PUODO prezentuje to na następującym przykładzie:
w przypadku rekrutacji pracowników, jeden cel będzie obejmował wiele cząstkowych operacji niewymagających szczegółowego ich opisywania w rejestrze, takich jak pozyskiwanie informacji o kandydatach z ofert nadesłanych w wyniku ogłoszenia, dokonywanie ich selekcji, uzyskiwanie dodatkowych informacji w ramach przeprowadzania wywiadów z wybranymi osobami, usunięcie danych osób, które nie zostały wskazane do zatrudnienia itp. Nie ma konieczności opisywania każdej poszczególnej operacji wykonywanej na danych w procesie określonym zbiorczo „rekrutacja pracowników”, bo nie jest to konieczne dla scharakteryzowania przetwarzania w świetle wskazanych w art. 30 ust. 1 RODO kryteriów.
Jakie elementy powinien zawierać rejestr wszystkich kategorii czynności przetwarzania?
RODO wskazuje obligatoryjne elementy, które musi zawierać rejestr wszystkich kategorii czynności przetwarzania prowadzony przez podmiot przetwarzający. Są to:
imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń,
jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Bezwzględnie w rejestrze kategorii czynności przetwarzania muszą zawsze znaleźć się informacje, o których mowa w pkt a) – b). Informacje, o których mowa w pkt c), powinny znaleźć się, jeśli podmiot przetwarzający dokonuje transferów danych poza EOG. Pozostałe informacje powinny znaleźć się w rejestrze „o ile jest to możliwe”.
W praktyce wskazane jest, by rejestry zawierały również te informacje. Trudno bowiem wskazać, w jakich przypadkach umieszczenie w rejestrze tego rodzaju informacji, przynajmniej częściowo, miałoby być w sposób uzasadniony niemożliwe.
Czy rejestr kategorii czynności przetwarzania prowadzony przez podmiot przetwarzający może zawierać dodatkowe elementy?
Podobnie jak rejestr czynności przetwarzania, również rejestr wszystkich kategorii przetwarzania danych może zawierać dodatkowe elementy. We Wskazówkach PUODO wymienia przykładowo takie elementy jak: czas trwania umowy, użyty do przetwarzania system informatyczny, dane kontaktowe dalszych podmiotów przetwarzających.
W jakiej formie należy prowadzić rejestry?
Zgodnie z RODO rejestry mają formę pisemną, w tym formę elektroniczną. Jak potwierdza PUODO we Wskazówkach, dany podmiot ma dowolność w przyjęciu układu informacji na temat poszczególnych czynności przetwarzania.
PUODO daje między innymi następujące wskazówki co do układu rejestrów:
Celowe jest, aby informacje o nazwie administratora danych/podmiotu przetwarzającego (w przypadku rejestru kategorii), jego danych kontaktowych, nazwie przedstawiciela i jego danych kontaktowych oraz nazwisku i danych kontaktowych inspektora ochrony danych umieścić jednorazowo, np. na stronie tytułowej rejestru.
Celowe jest, aby w rejestrze czynności przetwarzania na pierwszej pozycji przy danym wpisie umieścić nazwę lub opis czynności przetwarzania, a następnie pozostałe informacje o danej czynności.
Celowe jest, aby w rejestrze wszystkich kategorii czynności przetwarzania na pierwszej pozycji przy danym wpisie umieścić:
nazwę danej „kategorii czynności przetwarzania” (rodzaj usługi) jako wartość pozwalającą pogrupować wszystkie wpisy,
nazwę i dane kontaktowe administratora danych, dla którego dana usługa jest wykonywana,
nazwę i dane kontaktowe przedstawiciela administratora – jeśli dotyczy – oraz nazwisko i dane kontaktowe wyznaczonego przez niego inspektora ochrony danych.
Ważne jest, żeby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić w sposób czytelny i przejrzysty elementy wymagane w art. 30 ust. 1 i 2 RODO w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych.
Komentarz do art. 30
Rejestr czynności przetwarzania danych osobowych
Kto i w jakich przypadkach powinien prowadzić rejestry?
W praktyce, zasadniczo:
Kiedy nie trzeba prowadzić rejestrów?
Obowiązki prowadzenia rejestrów zgodnie z RODO nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że:
Zakres powyższego wyłączenia z uwagi na próg 250 zatrudnionych osób na pierwszy rzut oka może wydawać się szeroki. Jednak, jak wskazano powyżej, RODO jednocześnie stanowi, że w niektórych przypadkach podmiot zobowiązany jest do prowadzenia rejestru, nawet jeśli zatrudnia mniej niż 250 osób.
Zgodnie ze stanowiskiem Grupy Roboczej art. 29 (obecnie Europejska Rada Ochrona Danych) taki „mniejszy” podmiot powinien realizować ten obowiązek, gdy zachodzi którakolwiek z wymienionych niżej sytuacji:
W praktyce przesłanki, które uaktywniają obowiązek prowadzenia rejestru przez „mniejsze” podmioty, zachodzą na tyle często, że brak obowiązku prowadzenia rejestru będzie występował stosunkowo rzadko. Przykładowo w przypadku pracodawców w zasadzie zawsze zachodzi przesłanka aktywująca obowiązek prowadzenia rejestru dotycząca przetwarzania danych szczególnych kategorii. Pracodawcy przetwarzają bowiem dane o zdrowiu pracowników. Podobnie w obrocie gospodarczym bardzo rzadka będzie sytuacja, w której zasadnie będzie można twierdzić, że przetwarzanie danych osobowych prowadzone przez dany podmiot ma charakter sporadyczny, a nie (mniej lub bardziej) trwały.
Jaki jest cel prowadzenia rejestrów?
Jak wskazano w preambule do RODO w motywie 82, rejestry prowadzone są w celu zachowania zgodności z RODO oraz w celu umożliwienia organom nadzorczym monitorowania operacji przetwarzania.
Prawidłowo prowadzone rejestry niewątpliwie pozwalają usystematyzować czynności przetwarzania. Jak wskazuje PUODO:
Co istotne, prowadzenie rejestrów jest czynnością ciągłą. Rejestry powinny być na bieżąco aktualizowane, tak aby odzwierciedlać aktualny stan związany z przetwarzaniem danych w organizacji. Rzetelnie prowadzone rejestry mogą w praktyce być niezwykle użytecznym narzędziem do zarządzania procesami przetwarzania danych osobowych – ułatwiającymi m.in. zapewnianie zgodności procesów przetwarzania z RODO.
PUODO opublikował Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO, w których można znaleźć pewne praktyczne wyjaśnienia dotyczące prowadzenia rejestrów.
Jakie elementy powinien zawierać rejestr czynności przetwarzania danych osobowych?
RODO wskazuje obligatoryjne elementy, które musi zawierać rejestr czynności przetwarzania. Są to:
Bezwzględnie w rejestrze czynności przetwarzania muszą zawsze znaleźć się informacje, o których mowa w pkt a) – d). Informacje w pkt e) powinny znaleźć się, jeśli administrator dokonuje transferów danych poza EOG. Pozostałe informacje powinny znaleźć się w rejestrze „o ile jest to możliwe”.
W praktyce wskazane jest, by rejestry zawierały również te informacje. Trudno bowiem wskazać, w jakich przypadkach umieszczenie w rejestrze tego rodzaju informacji, przynajmniej częściowo, miałoby być w sposób uzasadniony niemożliwe.
Czy rejestr czynności przetwarzania może zawierać dodatkowe elementy?
Zgodnie ze stanowiskiem PUODO wyrażonym we Wskazówkach w rejestrze mogą znaleźć się także inne elementy, które administrator uzna za zasadne i przydatne w kontekście wykazania zgodności z RODO (np. podstawa prawna przetwarzania, źródło pozyskania danych, używany system informatyczny, informacje dotyczące przeprowadzonej DPIA, wskazanie właścicieli procesów).
Jak rozumieć pojęcie „czynności przetwarzania”?
Rejestr ma obejmować „czynności przetwarzania”, przy czym RODO nie precyzuje, jak należy rozumieć to pojęcie. Jak wskazuje PUODO,
Czy więc rejestr powinien opisywać każdą cząstkową operację przetwarzania? Nie ma takiej konieczności. PUODO prezentuje to na następującym przykładzie:
Jakie elementy powinien zawierać rejestr wszystkich kategorii czynności przetwarzania?
RODO wskazuje obligatoryjne elementy, które musi zawierać rejestr wszystkich kategorii czynności przetwarzania prowadzony przez podmiot przetwarzający. Są to:
Bezwzględnie w rejestrze kategorii czynności przetwarzania muszą zawsze znaleźć się informacje, o których mowa w pkt a) – b). Informacje, o których mowa w pkt c), powinny znaleźć się, jeśli podmiot przetwarzający dokonuje transferów danych poza EOG. Pozostałe informacje powinny znaleźć się w rejestrze „o ile jest to możliwe”.
W praktyce wskazane jest, by rejestry zawierały również te informacje. Trudno bowiem wskazać, w jakich przypadkach umieszczenie w rejestrze tego rodzaju informacji, przynajmniej częściowo, miałoby być w sposób uzasadniony niemożliwe.
Czy rejestr kategorii czynności przetwarzania prowadzony przez podmiot przetwarzający może zawierać dodatkowe elementy?
Podobnie jak rejestr czynności przetwarzania, również rejestr wszystkich kategorii przetwarzania danych może zawierać dodatkowe elementy. We Wskazówkach PUODO wymienia przykładowo takie elementy jak: czas trwania umowy, użyty do przetwarzania system informatyczny, dane kontaktowe dalszych podmiotów przetwarzających.
W jakiej formie należy prowadzić rejestry?
Zgodnie z RODO rejestry mają formę pisemną, w tym formę elektroniczną. Jak potwierdza PUODO we Wskazówkach, dany podmiot ma dowolność w przyjęciu układu informacji na temat poszczególnych czynności przetwarzania.
PUODO daje między innymi następujące wskazówki co do układu rejestrów: