Rejestracja zbiorów w GIODO jak i jego późniejsza aktualizacja, to uciążliwy obowiązek jaki w tej chwili ciąży na administratorach danych osobowych. Uciążliwy ale i niefunkcjonalny- nie chroni na bieżąco procesu przetwarzania danych, co w dobie rozwoju technologicznego i przyspieszenia cyklu przetwarzania danych, zwłaszcza w tej formie, straciło na wartości ochronnej i kontrolnej. RODO nie nakłada więc na administratorów już tego obowiązku.

Jako, że życie nie znosi próżni – w tym i świat prawniczy – dlatego też pustkę po obowiązku rejestracji zbiorów do GIODO będzie miał za zadanie wypełnić rejestr czynności przetwarzania.

Administratorze czas więc przygotować się do nowego zadania 😉

Pytanie czym jest rejestr czynności przetwarzania?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływy takich danych oraz uchylenia dyrektywy 95/46/WE -czyli RODO, już w motywie 82 przewiduje iż „administrator lub podmiot przetwarzający powinni prowadzić rejestru czynności przetwarzania, za które są odpowiedzialni” Czy zatem „powinni” oznacza że „trzeba” ?

Odpowiedzi należy szukać w art. 30 RODO, gdzie wskazano, że „każdy administrator oraz- gdy ma to zastosowanie- przedstawiciel administratora prowadzą rejestr czynności przetwarzania, za które odpowiadają (…) Każdy podmiot przetwarzający oraz- gdy ma to zastosowanie- przedstawiciel podmiotu przetwarzającego prowadzi rejestr wszystkich kategorii czynności przetwarzania”. Tym samym nie jest to powinność i obowiązek, zarówno administratora danych osobowych jak i procesora.  Furtką do nieprowadzenia rejestru pozostaje jednak ustęp 5 art. 30 RODO. Bowiem obowiązek prowadzenia rejestru czynności przetwarzania nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób.

Jednak mali i średni przedsiębiorcy niech nie cieszą się przedwcześnie. Bowiem w dalszej części ustęp 5 przewiduje, że pomimo zatrudniania mniej niż 250 osób podmiot będzie zobowiązany do  prowadzenia rejestru czynności przetwarzania zawsze gdy:

• przetwarzanie danych może naruszać prawa i wolności osób, których dane dotyczą;

• przetwarzanie nie ma charakteru sporadycznego;

• zakres przetwarzania danych obejmuje szczególne kategorie danych (dane wrażliwe);

• zakres przetwarzania obejmuje wyroki skazujące i dotyczy naruszeń prawa.

Sumując całość wniosek może być tylko jeden –  większość administratorów będzie musiała prowadzić rejestry, zwłaszcza z uwagi na to, iż procesy przetwarzania nie mają zazwyczaj sporadycznego charakteru, czy też przetwarzanie w większości sytuacji może naruszać prawa i wolności osób których dane dotyczą.

Skoro już ustaliliśmy, że obowiązek ten ominie nielicznych, warto dowiedzieć się co tak naprawdę musi zawierać rejestr czynności przetwarzania.  Inaczej bowiem wyglądać ma rejestr administratora a inne dane ma zawierać rejestr podmiotu przetwarzającego.

Administrator oraz przedstawiciel administratora (przetwarzający w imieniu i na rzecz administratora) budować będą rejestr czynności zawierający następujące elementy:

1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora danych osobowych oraz wszelkich współadministratorów (kolejna nowość którą przedstawimy w artykułach Rodokompasu), a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych (IOD, którego sylwetkę poznaliście w poprzednim artykule);

2. cele przetwarzania;

3. opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;

4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

5. (gdy ma to zastosowanie) informację o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej wraz z dokumentacją opisującą zastosowane zabezpieczenia w  tym procesie;

6. terminy w jakich planowane są usunięcia poszczególnych kategorii danych;

7. opis technicznych oraz organizacyjnych środków bezpieczeństwa.

W przypadku rejestru czynności podmiotu przetwarzającego brak w nim obowiązku wskazania celu przetwarzania. Zawierać za to musi:

1. nazwę i dane kontaktowe podmiot przetwarzającego oraz dane kontaktowe wszystkich administratorów danych w imieniu, których on działa;

2. dane kontaktowe IOD (jeżeli go powołano);

3. kategorie przetwarzań, czyli formy przetwarzania, jakie wykonuje podmiot przetwarzający tj. np. przechowywanie, modyfikowania, usuwanie;

4. informację o przekazywaniu danych do państwa trzeciego wraz z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie;

5. ogólny opis zastosowanych zabezpieczeń technicznych i organizacyjnych.

Forma, jaką obierze zobowiązany do jego prowadzenia jest zasadniczo dowolna – może być zarówno pisemna jak i elektroniczna.  

Trzeba jednak będzie mieć na uwadze, że niewykonanie tego obowiązku może nieść za sobą dotkliwe sankcje. Sam przepis art. 30 wskazuje, że podmiot zobowiązany do prowadzenia rejestru ma obowiązek udostępnienia tego rejestru na każde żądanie organu nadzorczego.

Rejestr to jednak przyszłość, co prawda już coraz bliższa, ale jednak przyszłość. W natłoku przygotowań do stosowania RODO nie można bowiem zapominać o tym, iż rodzima ustawa o ochronie danych osobowych nadal nas obowiązuje. Do 25 maja 2018 r. o rejestracji zbiorów do GIODO nie można zapominać 🙂 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.