Już niedługo przedsiębiorcy będą zobowiązani wykazać się spełnieniem nowego obowiązku: prowadzenia rejestru czynności przetwarzania danych osobowych. To istotny element dokumentacji danych osobowych wymaganej przez unijne rozporządzenie RODO. Prowadzenie rejestru będzie obowiązkowe dla wszystkich podmiotów, które zatrudniają co najmniej 250 osób, ale również w wielu wypadkach dla mniejszych, m.in. jeżeli przetwarzanie, którego dokonują, nie ma charakteru sporadycznego, może powodować naruszenie praw lub wolności osób lub obejmuje szczególne kategorie danych (np. o stanie zdrowia, przynależność do związków zawodowych). Co ważne, rejestr powinien być gotowy na 25 maja tego roku, a więc na dzień, kiedy zacznie być stosowane RODO. Problem w tym, że przedsiębiorcy nie wiedzą, jakie czynności przetwarzania należy uwzględnić w rejestrze. Unijne rozporządzenie nie definiuje czynności przetwarzania. Organy nadzorcze w UE natomiast dotąd nie wyjaśniły tego szczegółowo. Od generalnego inspektora ochrony danych osobowych uzyskaliśmy informację, że organ czeka na ustalenia w ramach unijnej Grupy Roboczej Art. 29 – po to, aby ewentualna rekomendacja GIODO była spójna z ustaleniami w innych krajach UE. Zapowiada jednak, że w najbliższym czasie opublikuje takie precyzyjne wyjaśnienia. Zatem do tematu powrócimy.
Co w rejestrze / Dziennik Gazeta Prawna
25 maja 2018 r. zaczną być stosowane nowe regulacje o ochronie danych osobowych – RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1). Weszło ono w życie już w maju 2016 r., ale za cztery miesiące upłynie dwuletni okres, który unijny legislator dał przedsiębiorcom na dostosowanie się do nowych wymagań. W praktyce oznacza to, że od tego dnia krajowy organ nadzoru – prezes Urzędu Ochrony Danych Osobowych (który najprawdopodobniej powstanie w miejsce obecnego GIODO) będzie mógł sprawdzić, jak przedsiębiorcy przygotowali się do stosowania zmienionych przepisów. Wydaje się, że o obowiązkach wynikających z unijnego rozporządzenia powiedziano już bardzo dużo, jednak obserwujemy, że wiele polskich firm nawet nie rozpoczęło prac zmierzających do jego wdrożenia, a niektórzy wciąż jeszcze nie mają świadomości, iż taki obowiązek na nich spoczywa. Kontynuujemy zatem serię artykułów poradniczych, w których przybliżymy najważniejsze zmiany i nowe obowiązki wynikające z RODO. Dziś wskazujemy, od czego zacząć przygotowania do wdrożenia RODO i jak rozplanować prace.
NA CZYM POLEGA NOWY OBOWIĄZEK
Obowiązek prowadzenia rejestru czynności przetwarzania danych wynika z przepisów rozporządzenia RODO.
Rejestr ten powinien być gotowy na 25 maja tego roku, tj. na dzień, gdy rozporządzenie zacznie być w pełni stosowane. To nowy wymóg. Dotychczas przedsiębiorcy, którzy przetwarzają dane osobowe, nie byli zobowiązani do prowadzenia takiego rejestru. Był natomiast obowiązek prowadzenia rejestru zbiorów danych. Zobowiązani byli prowadzić go ci administratorzy danych, którzy powołali administratorów bezpieczeństwa danych i zgłosili ich do generalnego inspektora ochrony danych osobowych, a zatem nie wszyscy.
NA KIM SPOCZYWA
Nowy obowiązek dotyczy prawie wszystkich administratorów danych. Teoretycznie zwolnieni z niego są ci przedsiębiorcy, który zatrudniają mniej niż 250 osób. Ale w praktyce niewielu przedsiębiorców skorzysta z tego zwolnienia.
Zgodnie z przepisami RODO przedsiębiorcy zatrudniający mniej niż 250 osób i tak będą zobowiązani prowadzić taki rejestr, jeśli przetwarzanie, którego dokonują:

może powodować naruszenie praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego, lub obejmuje szczególne kategorie danych (np. dane o stanie zdrowia, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przynależność do związków zawodowych), lub obejmuje dane dotyczące wyroków skazujących i naruszeń prawa.

Trudno przywołać przykłady przedsiębiorców, którzy przetwarzają dane osobowe tylko sporadycznie. [PRZYKŁAD]
PRZYKŁAD
Sporadycznie, nie bez zwolnienia
Przedsiębiorca prowadzi jednoosobową działalność gospodarczą polegającą na oferowaniu towarów klientom, którzy tylko sporadycznie proszą o wystawienie faktury (zawierającej dane identyfikujące klienta). Ponieważ przedsiębiorca gromadzi dane swoich kontrahentów i reprezentantów kontrahentów i przetwarza je w sposób ciągły, z dużym prawdopodobieństwem i on nie skorzysta z tego wąskiego zwolnienia.
ZAKRES DOTYCHCZASOWYCH REJESTRÓW
W dotychczasowych rejestrach zbiorów danych ujmowane były następujące informacje:
nazwa zbioru danych; oznaczenie administratora danych i adres jego siedziby oraz numer REGON; oznaczenie przedstawiciela administratora danych, jeśli został wyznaczony; oznaczenie podmiotów, którym powierzono przetwarzanie danych osobowych i adres ich siedziby; podstawa prawna upoważniająca do prowadzenia zbioru danych; cel przetwarzania danych w zbiorze; opis kategorii osób, których dane są przetwarzane w zbiorze; zakres danych przetwarzanych w zbiorze; sposób zbierania danych do zbioru; sposób udostępnienia danych ze zbioru; oznaczenie odbiorców danych lub kategorii odbiorców danych; informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego.
ZAKRES REJESTRU CZYNNOŚCI PRZETWARZANIA DANYCH
Rejestry czynności przetwarzania danych wymagane przepisami RODO są skonstruowane w odmienny sposób niż dotychczasowe rejestry zbiorów. Nie odzwierciedlają podziału kategorii danych osobowych na zbiory danych, ale na czynności przetwarzania.
Pojęcie czynności przetwarzania nie jest zdefiniowane w przepisach rozporządzenia. W przepisach tych można znaleźć rozróżnienie stosowania pojęć „operacje” przetwarzania danych i „czynności” przetwarzania. Przykładami operacji przetwarzania danych są: zbieranie, utrwalanie, porządkowanie, pobieranie, przeglądanie, udostępnianie czy usuwanie. Jak się wydaje, czynności przetwarzania danych to jedna lub więcej operacji przetwarzania danych łączące się ze względu na cel, którym kieruje się administrator, lub proces, który administrator realizuje, np. rekrutacja pracowników, zarządzanie karierą pracownika. Pewną wskazówkę, jak określić czynność przetwarzania danych, dają przykłady rejestrów czynności przetwarzania stworzone przez belgijskie i brytyjskie organy nadzorcze ochrony danych osobowych. W projekcie rejestru brytyjskiego organu jako kategorie czynności wskazane zostały: obsługa płac pracowników, prowadzenie księgowości, przechowywanie danych w chmurze. [SCHEMAT]
Co w rejestrze
Zgodnie z art. 30 ust. 1 RODO rejestr czynności przetwarzania danych osobowych powinien zawierać:
1. nazwę (lub imię i nazwisko) administratora oraz jego dane kontaktowe (także imię i nazwisko lub nazwę oraz dane kontaktowe współadministratorów, przedstawicieli administratora oraz inspektora ochrony danych, jeśli ma to zastosowanie);
2. cele przetwarzania;
3. opis kategorii osób, których dane dotyczą;
4. opis kategorii danych osobowych, których dotyczy przetwarzanie;
5. kategorie odbiorców, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
6. gdy ma to zastosowanie, informacje o przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz dokumentację odpowiednich zabezpieczeń;
7. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
8. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Artykuł 30 ust. 1 RODO nie wskazuje wprost, że rejestr powinien zawierać podział na czynności przetwarzania danych osobowych. Skoro jednak ma to być spis takich czynności, to wydaje się, że zestawienie informacji powinno być przygotowane przez pryzmat ustalonych czynności.
Rejestr powinien zawierać wszystkie czynności przetwarzania danych osobowych u danego przedsiębiorcy – administratora. Brytyjski organ nadzorczy ochrony danych osobowych zaleca, aby przygotowanie rejestru zacząć od zidentyfikowania wszystkich procesów biznesowych, w których dochodzi do przetwarzania danych osobowych. Następnie tak ustaloną listę należy podzielić na mniejsze części, uwzględniając cel przetwarzania danych osobowych. Ten sposób działania powinien pomóc ustalić wyczerpującą listę czynności przetwarzania danych.
Przykładowy (niepełny) rejestr czynności przetwarzania danych mógłby mieć formę tabeli. [WZÓR 1]
WZÓR 1

Uwaga! W tabeli nie zostały zaproponowane przykłady nazw konkretnych czynności przetwarzania, aby nie wprowadzać w błąd – w sytuacji, w której w nieodległym terminie GIODO planuje przedstawić swoją interpretację pojęcia „czynności przetwarzania danych” i określić poziom szczegółowości wypełnienia rejestru.
Rejestr powinien zawierać wszystkie informacje wskazane w punktach 1–8 powyżej. Jednak organy nadzorcze w innych państwach zachęcają do zamieszczania w nim większego zakresu informacji niż wymagany przepisami.
Brytyjski organ nadzorczy wskazał, że takimi dodatkowymi informacjami mogą być:

nazwy procesów biznesowych, informacja o podstawie prawnej przetwarzanych danych, informacja o uprawnieniach osób, których dotyczy przetwarzanie danych, informacja o zautomatyzowanym przetwarzaniu danych osobowych, w tym o profilowaniu, źródło, z którego administrator otrzymał dane osobowe, informacja o uzyskaniu zgody na przetwarzanie danych osobowych, miejsce przechowywania danych, informacja o zidentyfikowanej konieczności przeprowadzenia oceny skutków przetwarzania ochrony danych, informacja o naruszeniach ochrony danych osobowych.

Belgijski organ nadzorczy wskazał ponadto takie dodatkowe informacje, jak:

wskazanie technologii, aplikacji lub systemów informatycznych, w których następuje przetwarzanie danych osobowych, termin rozpoczęcia przetwarzania danych.

W praktyce tworzone rejestry często zawierają także informację o departamencie lub dziale u danego przedsiębiorcy, który jest odpowiedzialny za dany proces przetwarzania danych osobowych.
!W najbliższym czasie GIODO planuje zamieścić na stronie internetowej urzędu obszerniejsze materiały wyjaśniające kwestie związane z zawartością zarówno rejestru czynności przetwarzania, jak i rejestru kategorii czynności przetwarzania.
Rejestr może być prowadzony w formie elektronicznej. Każdy przedsiębiorca może wypracować swój wzór rejestru, o ile będzie on zawierał wskazane elementy wymagane przepisami. Przepisy RODO nie nakładają na przedsiębiorców obowiązku prowadzenia tego dokumentu w języku polskim, jednak w praktyce przedsiębiorcy z siedzibą w Polsce powinni pomyśleć o ewentualnej konieczności przygotowania jego tłumaczenia w przypadku prowadzenia go w innym języku.
ODBIORCY DANYCH, CZYLI KTO?
W kontekście przygotowania rejestru czynności warto zwrócić uwagę na pojęcie odbiorcy danych. Zgodnie z przepisem art. 30 ust. 1 lit. d RODO w rejestrze powinna być zawarta informacja o kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich.
Dotychczasowa definicja odbiorcy danych obowiązująca w polskim prawie ochrony danych osobowych była dość wąska. Obejmowała „każdego, komu udostępnia się dane osobowe”, z wyłączeniem jednak osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, przedstawiciela administratora, podmiotu przetwarzające dane osobowe na podstawie powierzenia oraz organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem (art. 7 pkt 6 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych).
W przepisach RODO definicja ta jest szersza, ponieważ obejmuje osoby fizyczne lub prawne, organy publiczne, jednostkę lub inny podmiot, którym ujawnia się dane osobowe, niezależnie od tego, czy są one stroną trzecią. Stroną trzecią jest podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które z upoważnienia administratora mogą przetwarzać dane osobowe (art. 4 pkt 9 i 10 RODO). Jak widać, podmioty, które były uprzednio wyraźnie wyłączone z zakresu pojęcia odbiorcy danych (w tym osoby upoważnione czy podmioty przetwarzające), teraz będą traktowane jako odbiorcy danych.
Przygotowując rejestr czynności przetwarzania danych przedsiębiorcy powinni uwzględnić wszystkie kategorie odbiorców, także podmioty przetwarzające czy osoby upoważnione do przetwarzania danych.
KONIECZNA STAŁA AKTUALIZACJA
Rejestr powinien być nie tylko gotowy na 25 maja tego roku. Musi być także systematycznie uaktualniany, w zależności od zmian w sposobie przetwarzania danych osobowych przez administratora.
Przedsiębiorcy, którzy stworzą taki rejestr, są zobowiązani udostępniać go na żądanie organu nadzorczego. Można zatem powiedzieć, że rejestr czynności przetwarzania danych będzie formą ściągawki dla takiego organu, ułatwiającą mu zorientowanie się, w jakim zakresie administrator przetwarza dane osobowe.
Prawidłowo wypełniony rejestr może być także pomocnym narzędziem dla samego administratora. Może mu ułatwić zarządzanie danymi osobowymi. Przygotowując taki rejestr, warto zatem ustalić równocześnie, kto u danego przedsiębiorcy będzie zobowiązany do dokonywania zmian w rejestrze oraz kto będzie odpowiedzialny za aktualność i prawidłowość informacji w nim zawartych.
REJESTR PROWADZONY PRZEZ PODMIOT PRZETWARZAJĄCY
Obowiązek prowadzenia rejestru ciąży nie tylko na administratorze, lecz także na podmiotach przetwarzających. Podmioty przetwarzające powinny prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.
W celu wyjaśnienia: podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Rejestry podmiotów przetwarzających różnią się zakresem od rejestrów, które mają za zadanie prowadzić administratorzy. W rejestrze kategorii czynności przetwarzania danych powinny być zawarte następujące informacje:
1) nazwa (lub imię i nazwisko) oraz dane kontaktowe podmiotu przetwarzającego oraz każdego administratora, w imieniu którego działa podmiot przetwarzający (gdy ma to zastosowanie, także dane przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych),
2) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
3) gdy ma to zastosowanie – informację o przekazaniu danych do państwa trzeciego i dokumentację odpowiednich zabezpieczeń,
4) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Przykład wzoru rejestru kategorii czynności przetwarzania danych osobowych został przygotowany i udostępniony przez brytyjski organ nadzorczy ochrony danych osobowych. Według tego organu rejestr taki mógłby mieć postać tabeli. [WZÓR 2]
WZÓR 2

Podmiot przetwarzający, podobnie jak administrator, jest zobowiązany udostępniać rejestr na żądanie organu nadzorczego. I podobnie jak w przypadku administratorów z obowiązku prowadzenia rejestru kategorii czynności przetwarzania zwolnione są tylko te podmioty przetwarzające, które zatrudniają nie więcej niż 250 osób. Jednak nawet w takim przypadku nie są one zwolnione z tego obowiązku, jeśli przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
Stanowisko GIODO z 2 lutego 2018 r.
Pojęcie „czynności przetwarzania” (jak również „kategorii czynności przetwarzania”) faktycznie nie zostało doprecyzowanie w przepisach ogólnego rozporządzenia o ochronie danych (RODO).
Generalny inspektor ochrony danych osobowych (GIODO) zajmował się już tą kwestią. Dla ułatwienia jej zrozumienia pierwsze wskazówki interpretacyjne zostały zamieszczone na stronie internetowej urzędu w serwisie „ABI-informator”. Tam właśnie, w sekcji „Inspektor ochrony danych” w części poświęconej jego zadaniom znaleźć można informację poświęconą tej tematyce (jest dostępna pod linkiem https://abi.giodo.gov.pl/inspektor-ochrony-danych/zadania-inspektora-ochrony-danych w punkcie siódmym, który jest rozwijalny). Wskazówki takie znalazły się również w przygotowanej przez GIODO specjalnej publikacji pt. „Czy jesteś gotowy na RODO?”, zwracającej uwagę na najważniejsze zagadnienia i obszary, w których następować będą znaczące zmiany. W jej części 8 znalazło się odniesienie obowiązku prowadzenia rejestru czynności przetwarzania. Publikacja jest dostępna na stronie internetowej urzędu tutaj>>
Wskazać jednak należy, że wyjaśnienia te mają charakter wstępny. GIODO pracuje nad bardziej szczegółowym omówieniem tej kwestii, tak by informacje na ten temat były jak najbardziej użyteczne dla administratorów danych i ułatwiły im przygotowanie się do prowadzenia rejestru czynności przetwarzania zgodnie z RODO.
W najbliższym czasie GIODO planuje zamieścić na stronie internetowej urzędu obszerniejsze materiały wyjaśniające kwestie związane z zawartością zarówno rejestru czynności przetwarzania, jak i rejestru kategorii czynności przetwarzania, mając przy tym pełną świadomość, że wyjaśnienia te mogą w przyszłości podlegać pewnym modyfikacjom w zależności od stanowiska wypracowanego na forum UE. Należy bowiem zaznaczyć, że również Grupa Robocza Art. 29, której GIODO jest członkiem, ma w swoich planach wydanie w 2018 roku wytycznych dotyczących rejestrów czynności przetwarzania.
Jak się wydaje, żaden podmiot przetwarzający nie będzie mógł skorzystać ze wskazanego zwolnienia z obowiązku prowadzenia rejestru kategorii czynności przetwarzania danych osobowych, ponieważ podmiot przetwarzający z racji swojej roli w procesie przetwarzania danych osobowych najczęściej nie przetwarza ich sporadycznie.
PODSUMOWANIE
Przygotowanie i wypełnienie treścią rejestru czynności przetwarzania nie jest błahym zadaniem. Jeśli przedsiębiorca nie zinwentaryzował uprzednio danych osobowych, które przetwarza, wyszukiwanie informacji do wypełnienia rejestru może mu zająć niemało czasu. Warto zabrać się za tę pracę jak najszybciej. Rzetelnie wypełniony rejestr pomoże przedsiębiorcom w spełnieniu kolejnych wymagań RODO, np. w prawidłowym powierzeniu przetwarzania danych podmiotom przetwarzającym. Brak lub nieprawidłowe prowadzenie rejestru czynności przetwarzania danych osobowych są zaś zagrożone ryzykiem nałożenia na przedsiębiorcę wysokiej kary pieniężnej przez organ nadzorczy.
Linki do przewodników w innych krajach: