Tworzenie i prowadzenie rejestru czynności przetwarzania według RODO
Zapewnienie poufności informacji chronionych (nie tylko danych osobowych) wymaga kontroli nad procesami ich przetwarzania, w szczególności komu zostały udostępnione lub powierzone. Jednakże punktem wyjścia jest identyfikacja zasobów chronionych (w szczególności inwentaryzacja zbiorów, o której pisałam tutaj). Jest to proces bardzo trudny dla osoby nie mającej wiedzy w zakresie przepisów o ochronie danych osobowych i/lub tworzenia systemów zarządzania bezpieczeństwem informacji. Nadzór nad procesami przetwarzania informacji chronionych wymaga identyfikacji rodzajów zasobów chronionych (zbiory danych, informacje chronione umownie, dane powierzone, informacje poufne wewnątrz organizacji, informacje biznesowe), procesów przetwarzania (gdzie i jak są gromadzone, jak są przesyłane, jakie czynności są na nich wykonywane, czy są udostępniane), osób dokonujących przetwarzania (nadawanie upoważnień i uprawnień do konkretnych zasobów i procesów), miejsc przetwarzania (pomieszczeń lub części pomieszczeń). W tym momencie wiele osób uświadamia sobie, jak wiele pracy ma do wykonania ABI/IOD i jak specjalistyczną wiedzę musi posiadać. Osoby, które tworzyły polityki bezpieczeństwa oraz instrukcje zarządzania systemami informatycznymi, zidentyfikowały opisane przeze mnie czynności i są w stanie wykazać, że wiedzą, w jaki sposób te procesy funkcjonują w organizacji. To naprawdę ma sens. Wykazy zbiorów w polityce, przepływy danych, służą kontroli nad procesami przetwarzania. Nie jest to sztuka dla sztuki.
Czy będzie rejestr GIODO?
Dotychczas istniał dodatkowy obowiązek polegający na informowaniu organu nadzorującego (GIODO) o procesach przetwarzania, które mają miejsce w organizacji. Wyjątek stanowiły procesy zwolnione na podstawie art. 43 ust. 1 i 1a. GIODO na podstawie otrzymanych zgłoszeń prowadził jawny rejestr przetwarzania danych osobowych. Liczba zgłoszeń przerosła najśmielsze oczekiwania, a po wielu latach dokonywania zgłoszeń, można dojść do wniosku, że właściwie nie wiadomo czemu służy rejestr zbiorów.Dla ciekawych powiem, że pierwotnym celem prowadzenia jawnego rejestru zbiorów jest umożliwienie GIODO sprawowania kontroli nad prawidłowością procesu przetwarzania danych osobowych oraz zapewnienie obywatelom transparentności działań administratorów danych w tym obszarze. Kontrola ta powinna odbywać się po wpłynięciu zgłoszenia zbioru do rejestracji i polegać na dokonaniu oceny m.in. podstaw prawnych prowadzenia danego zbioru oraz zakresu i celu przetwarzania danych, pod względem adekwatności i proporcjonalność do określonego celu, któremu przetwarzanie to ma służyć.
Ogólne rozporządzenie o ochronie danych osobowych rozwiewa wątpliwości dotyczące skuteczności jawnych rejestrów zbiorów:
Motyw 89) Dyrektywa 95/46/WE przewidywała ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych. Obowiązek ten powodując jednak obciążenia administracyjne i finansowe i nie zawsze przyczyniał się do poprawy ochrony danych osobowych. Dlatego należy znieść te powszechne, ogólne obowiązki zawiadamiania i zastąpić je skutecznymi procedurami i mechanizmami koncentrującymi się w zamian na tych rodzajach operacji przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Takie rodzaje operacji przetwarzania obejmują w szczególności operacje, które wiążą się w szczególności z użyciem nowych technologii lub które są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych lub stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania.
Mówiąc krótko, należy skupić się na ocenie skutków przetwarzania, a nie marnować publiczne środki na silnie obciążające organ nadzorujący czynności. RODO nie znosi zupełnie obowiązku prowadzenia rejestru. Jednakże obowiązek zostaje przerzucony z GIODO na administratorów danych, którzy we własnym zakresie będą kontrolować procesy przetwarzania, tzn. samodzielnie prowadzić rejestry, zamiast cokolwiek zgłaszać do GIODO.
Jak stworzyć rejestr czynności przetwarzania?
Zasady tworzenia rejestru czynności przetwarzania określa art. 30 RODO, zgodnie z którym rejestr musi zawierać:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych; zwracam uwagę na konieczność podania danych kontaktowych
- cele przetwarzania; – np. przeprowadzenie konkursu
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; -kategoria osób, to na przykład uczestnicy konkursu, natomiast przy kategorii danych należy wskazać, czy są to dane zwykłe czy wrażliwe
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; – RODO zezwala na wskazanie tylko kategorii odbiorców, jednak jestem zwolenniczką wskazywania konkretnych odbiorców, aby zapewnić rozliczalność danych
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; – zwracam uwagę na wiążące reguły korporacyjne oraz tarczę prywatności UE – USA, które stanowią opis zabezpieczeń
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; – proszę zwracać uwagę, że przetwarzanie danych powinno być celowe i ograniczone czasowo
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. – można wskazać ogólnie najważniejsze rzeczy oraz odnieść się do zapisów z polityki bezpieczeństwa
Na dzień dzisiejszy żadne przepisy wykonawcze nie odnoszą się do sposobu tworzenia i prowadzenia rejestru przetwarzania, więc administrator danych sam podejmuje decyzję jak to robić. Możliwości są dwie: albo oddzielny rejestr, tożsamy do obecnego rejestru zbiorów ABI albo rozszerzenie tabeli z wykazem zbiorów w polityce bezpieczeństwa o dodatkowe kolumny, tworząc rozszerzony rejestr czynności przetwarzania.
Ja preferuję drugie rozwiązanie, bo mam wszystkie informacje dotyczące czynności przetwarzania w danym zbiorze w jednym miejscu. Daje mi to większą kontrolę nad tym co dzieje się z danymi.
Przykładowy rejestr czynności przetwarzania
Rejestr może być prowadzony w formie papierowej lub elektronicznej
Czym jest rejestr kategorii przetwarzania?
Przyznaję się bez bicia, że pierwszy raz o rejestrze kategorii przetwarzania dowiedziałam się z umowy powierzenia danych, którą jeden z moich klientów dostał od swojego kontrahenta. Wcześniej nie zwróciłam uwagi na to, że RODO rozróżnia dwa rejestry, tzn. czynności oraz kategorii przetwarzania danych.
- Rejestr czynności prowadzi administrator danych dla swoich danych
- Rejestr kategorii przetwarzania prowadzi podmiot przetwarzający, dla danych, które zostały mu powierzone
Rejestr kategorii przetwarzania to dodatkowy rejestr, czyli nie zastępuje rejestru czynności. Podmiot przetwarzający ma dane, dla których jest administratorem, np. dane pracowników, klientów oraz dane mu powierzone, np. dane pracowników klienta przekazane w związku z obsługą kadrową.
Rejestr kategorii przetwarzania musi zawierać (art. 30 RODO):
- imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych; zwracam uwagę na konieczność podania administratora danych, który powierzył dane
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów; należy wskazać, czy są to dane zwykłe, czy wrażliwe
- gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; – proszę zwracać uwagę, że przetwarzanie danych powinno być celowe i ograniczone czasowo
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. można wskazać ogólnie najważniejsze rzeczy oraz odnieść się do zapisów z polityki bezpieczeństwa
Podmiot przetwarzający nie może dopisać kolejnych kolumn do wykazu swoich danych osobowych w polityce bezpieczeństwa, ponieważ zbiory powierzone nie są zbiorami administrowanymi przez niego. Rejestr kategorii przetwarzania służy ewidencjonowaniu umów powierzenia. Dlatego należy prowadzić odrębny rejestr (w praktyce okazuje się bardzo przydatny i często sięga się do niego).
Co nie zmienia faktu, że zalecam (i sama tak robię) tworzyć wykazy zbiorów danych powierzonych nam przez innych administratorów z zawartością merytoryczną tożsamą do tej z wykazu zbiorów danych osobowych. Jeżeli dla zbiorów danych powierzonych prowadzi się analogiczny rejestr, jak dla swoich danych osobowych, to wystarczy jedynie dodać dodatkową kolumnę z danymi administratora danych. Ja dodaję jeszcze dodatkowe pola, jak data zawarcia umowy powierzenia, czas trwania umowy, zasady zakończenia współpracy (np. zniszczenie danych, oddanie danych), dane podmiotu, któremu podpowierzono dane.
Ostatecznie w mojej nowej dokumentacji „pod RODO” nie mam już klasycznego wykazu zbiorów, ale dwa rozbudowane rejestry: rejestr czynności oraz rejestr kategorii przetwarzania.
Przykładowy rejestr kategorii przetwarzania danych
Kto jest zwolniony z obowiązku prowadzenia rejestru?
Obowiązek prowadzenia rejestru (czynności/kategorii) przetwarzania nie dotyczy administratorów, zatrudniających mniej niż 250 pracowników. W motywie 13 znajdujemy wyjaśnienie: Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników.
Jednak zwolnienie nie ma zastosowania, gdy przetwarzanie, którego dokonują administratorzy lub podmiot przetwarzający, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Oznacza to, że obowiązek prowadzenia rejestru będzie spoczywał nawet na mikroprzedsiębiorcy (jednoosobowej działalności gospodarczej), jeżeli będzie przetwarzał:
- dane wrażliwe
- informacje o wyrokach skazujących lub naruszeniach prawa dotyczących danej osoby
- przetwarzał dane na szeroką skalę i/lub w szerokim zakresie
- przetwarzanie nie ma charakteru sporadycznego
Powołując się na interpretacje Grupy Roboczej art. 29, rejestr będzie musiał prowadzić każdy administrator, którego głównym przedmiotem działalności jest przetwarzanie danych, np. prowadzenie callcenter, rozsyłanie newsletterów, prowadzenie (jednoosobowej) praktyki lekarskiej.
Pozostaje jedynie wątpliwość, czy jeżeli administrator danych ma obowiązek prowadzić rejestr czynności, a podmiot przetwarzający spełnia warunki zwolnienia z obowiązku prowadzenia rejestru kategorii przetwarzania, to czy może z niego skorzystać. Czas pokaże jak będzie to realizowane w praktyce, ja zalecam podmiotom przetwarzającym prowadzenie rejestru kategorii przetwarzania na rzecz administratorów danych. Dzięki temu będzie łatwiej zachować kontrolę nad procesami powierzenia, czasem trwania umów, itd.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.