Wewnętrzny rejestr przetwarzania danych

Obecnie jednym z obowiązków administratorów danych osobowych (ADO) jest zgłaszanie do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów przetwarzanych danych osobowych. Takiego wymogu nie ma, jeżeli zbiory podlegają zwolnieniu z obowiązku rejestracji na mocy art. 43 ust. 1 ustawy o ochronie danych osobowych lub ADO powołał administratora bezpieczeństwa informacji i nie przetwarzał danych wrażliwych. Po wejściu w życie unijnej reformy przepisów o ochronie danych osobowych, tj. z dniem 25 maja br., obowiązek rejestracji zbiorów u GIODO zniknie całkowicie. W zamian za to niektóre podmioty będą zobowiązane prowadzić wewnętrzne rejestry czynności przetwarzania.

Rejestracja czynności przetwarzania

Ogólne rozporządzenie o ochronie danych osobowych (RODO) odchodzi od obowiązku zgłaszania do rejestracji organowi nadzorczemu zbiorów przetwarzanych danych (w Polsce GIODO, a od 25 maja br. Prezes Urzędu Ochrony Danych Osobowych). To oznacza, że od 25 maja br. administratorzy danych zarówno wrażliwych, jak i tych zwykłych, posiadający ustanowionego inspektora ochrony danych czy też nie, nie będą zgłaszać żadnych zbiorów danych do rejestracji Prezesowi Urzędu Ochrony Danych Osobowych.

RODO kładzie duży nacisk na dokumentowanie czynności przetwarzania danych, jako jeden z podstawowych sposobów wykazywania przez administratorów danych zgodności prowadzonych działań na danych osobowych z wymogami rozporządzenia. Zasady rejestrowania czynności przetwarzania określa art. 30 RODO. Przy czym opisane w tym artykule obowiązki nie dotyczą przedsiębiorców lub innych podmiotów zatrudniających mniej niż 250 osób. Jednakże od tej zasady są wyjątki. Obowiązek rejestracji czynności przetwarzania obejmie również innych przedsiębiorców i inne podmioty, jeżeli przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 (są to tzw. dane wrażliwe dotyczące np. zdrowia) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO. Powyższe oznacza, że takie rejestry będą musiały prowadzić np. przychodnie czy przedszkola integracyjne. Nawet jeżeli zatrudniają mniej niż 250 osób, to przetwarzają dane wrażliwe m.in. o stanie zdrowia pacjentów czy dzieci.

W przypadku administratorów danych rejestr czynności przetwarzania danych osobowych powinien zawierać następujące informacje:

• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także - gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych,
   
• cele przetwarzania,
   
• opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
   
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
   
• dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - gdy ma to zastosowanie,
   
• planowane terminy usunięcia poszczególnych kategorii danych - jeżeli jest to możliwe,
   
• ogólny opis technicznych i organizacyjnych środków bezpieczeństwa przetwarzania - jeżeli jest to możliwe.

W przypadku przetwarzających dane w imieniu administratora danych na podstawie umowy powierzenia (np. biura rachunkowe, firmy informatyczne) rejestr wszystkich kategorii czynności przetwarzania powinien zawierać:

• imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
   
• kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
   
• informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w niektórych przypadkach również o dokumentacji odpowiednich zabezpieczeń - gdy ma to zastosowanie,
   
• ogólny opis technicznych i organizacyjnych środków bezpieczeństwa - jeżeli jest to możliwe.

Elementy tych rejestrów są bardzo podobne do tych, które obecnie muszą zawierać zgłoszenia zbioru do rejestracji u GIODO oraz wewnętrzne rejestry zbiorów danych osobowych prowadzone przez ABI na podstawie ustawy o ochronie danych. Nowe rejestry będą musiały mieć formę pisemną, w tym formę elektroniczną. W praktyce to inspektor ochrony danych (w tych jednostkach, w których będzie ustanowiony) będzie tworzył i prowadził powyższe rejestry na podstawie danych otrzymanych od pozostałych komórek organizacji.

Część ekspertów stoi na stanowisku, że obowiązek prowadzenia rejestru będzie dotyczył wszystkich podmiotów ze względu na przesłankę mówiącą o przetwarzaniu niemającym charakteru sporadycznego. Przykładowo każdy pracodawca przetwarza dane pracowników stale, nie sporadycznie. Rejestr czynności przetwarzania będzie prawdopodobnie pierwszym dokumentem, jakiego będzie żądał podczas kontroli Prezes Urzędu Ochrony Danych Osobowych (PUODO).