Aktualności
2018-12-17 Rejestr czynności przetwarzania (RCP) na tapecie
Prowadzenie rejestru czynności przetwarzania danych osobowych jest jednym z obowiązków wprost wymienionych w Rozporządzeniu o ochronie danych RODO. Do właściwego przygotowania rejestru pomocny okaże się poniższy artykuł, który pomoże ci zrozumieć:
- czemu służyć ma prowadzenie RCP i jakie płyną z tego korzyści
- jak prawidłowo i w prosty sposób prowadzić rejestr
- kto jest zobowiązany do jego prowadzenia
- jakie dane powinien zawierać rejestr
- jakie sankcje grożą za brak prowadzenia rejestru
Po co nam rejestr czynności przetwarzania i jakie korzyści płyną z jego prowadzenia
Głównym celem prowadzenia rejestru czynności przetwarzania jest wykazanie w jakich procesach dane osobowe są przetwarzane, jaki jest ich cel, podstawa prawna, kogo dotyczą, jak długo będą przetwarzane i czy są odpowiednio zabezpieczone. Rejestr również doprecyzowuje kwestię kto i na jakim etapie bierze udział w przetwarzaniu danych osobowych, aby z każdej czynności można było się później rozliczyć (art. 5 ust 2 RODO -zasada rozliczalności).
Prowadzony rejestr można luźno przyrównać do swoistego rodzaju „rachunku sumienia” dla przedsiębiorcy, który mając pełen obraz prowadzonych wewnątrz procesów jest w stanie wychwycić słabe punkty, zidentyfikować ewentualne zagrożenia, aby finalnie uszczelnić cały system ochrony danych.
Sumienne i rzetelne prowadzenie rejestru to cena za utrzymywanie pełnej kontroli i szansa na realne monitorowanie procesów przetwarzania danych wewnątrz organizacji.
Jak łatwo przygotować i prawidłowo prowadzić rejestr
Przygotowanie rejestru zacząć można od przeprowadzenia audytu przygotowawczego, który wykaże jakie rodzaje danych osobowych są przetwarzane, skąd te dane pochodzą, na jakiej podstawie prawnej są przetwarzane, jak są zabezpieczane i ewentualnie komu dalej przekazywane. Tak rzetelnie przeprowadzona analiza pomoże również w aktualizacji danych i uporządkowaniu wszelkiej dokumentacji i procedur. Pamiętajmy, że na każdym administratorze danych spoczywa obowiązek zapewnienia, że przetwarzane przez niego dane są zawsze aktualne i prawidłowe, inne muszą niezwłocznie zostać sprostowane czy usunięte.
- Zebrane powyżej dane powinny utworzyć szczegółowy wykaz zbiorów danych i dokonywanych na nich czynności przetwarzania- mapowanie procesów. (O przeprowadzeniu mapowania procesów mówiliśmy w poprzednim artykule.)
Co do samej formy prowadzenia rejestru, tutaj wymagana jest forma pisemna – papierowa bądź elektroniczna (art. 30 ust. 3 RODO).
Kto jest zobowiązany do prowadzenia rejestru czynności przetwarzania
W świetle art. 30 ust. 5 RODO do prowadzenia rejestru zobowiązani są administratorzy i podmioty przetwarzające zatrudniający 250 lub więcej osób. Analizując powyższy przepis prawa można odnieść wrażenie, że fakt zdjęcia obowiązku prowadzenia rejestru w stosunku do pozostałych jest wyrazem dostrzeżenia szczególnej sytuacji mikro, małych i średnich przedsiębiorców i chęci uniknięcia niepotrzebnej biurokracji w odniesieniu do małych podmiotów o nierozwiniętej organizacji. Jednak wyłączenie to nie ma niestety charakteru absolutnego.
Nie znajdzie ono zastosowania gdy:
- Przetwarzane dane mogą powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
- Przetwarzanie odbywa się systematycznie i nie ma charakteru sporadycznego;
- Przetwarzane dane zaliczane są do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO lub dotyczą wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.
Oznacza to, że z obowiązku prowadzenia rejestru czynności przetwarzania będzie musiał wywiązać się nawet mikroprzedsiębiorca prowadzący jednoosobową działalność gospodarczą, jeżeli będzie przetwarzał: dane zaliczane do szczególnej kategorii danych osobowych (w przypadku jednoosobowej praktyki lekarskiej), informacje o wyrokach skazujących lub naruszeniach prawa, dane w sposób ciągły (regularny kontakt z klientami czy kontrahentami) czy na szeroką skalę.
Wydaje się więc, iż w istocie przywilej dotyczący wyłączenia obowiązku prowadzenia rejestru czynności jest tak naprawdę iluzoryczny, bo w praktyce będzie miał zastosowanie jedynie w wyjątkowych sytuacjach, a do większości podmiotów znajdzie zastosowanie któryś z wyjątków wyłączających przywilej.
Co do osoby fizycznie prowadzącej rejestr, to nie ma przeciwskazań, aby zajmował się tym inspektor ochrony danych osobowych. Wprawdzie taki obowiązek nie jest wymieniony bezpośrednio w art. 39 ust. 1 RODO, ale zważywszy na to, że zawarty tam katalog nie jest zamknięty, a zadanie to nie powoduje żadnego konfliktu interesów, prowadzenie przez inspektora ochrony danych rejestru wpisze się w zakres jego podstawowych obowiązków.
Jakie informacje powinien zawierać rejestr czynności przetwarzania
|
Lp. |
Treść rejestru czynności przetwarzania prowadzonego przez administratora danych |
Treść rejestru kategorii czynności przetwarzania prowadzonego przez podmiot przetwarzający |
|
1. |
imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych |
imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych |
|
2. |
cele przetwarzania |
|
|
3. |
opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych |
kategorie przetwarzań dokonywanych w imieniu każdego z administratorów |
|
4. |
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych |
|
|
5. |
gdy ma to zastosowanie – informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń |
gdy ma to zastosowanie – informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń |
|
6. |
jeżeli jest to możliwe – planowane terminy usunięcia poszczególnych kategorii danych |
|
|
7. |
jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 |
jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 |
Przedstawiony powyżej na bazie art. 30 ust. 1 i ust. 2 RODO katalog informacji nie jest katalogiem zamkniętym, jednak ma charakter minimalny, co oznacza, że zarówno administrator danych jak i podmiot przetwarzający w rejestrze czynności przetwarzania czy odpowiednio w rejestrze kategorii czynności przetwarzania są zobligowani do zawarcia wyżej wymienionych danych.
Co grozi za brak prowadzenia rejestru czynności przetwarzania
Tworząc system bezpiecznego przetwarzania danych w naszej organizacji musimy liczyć się z tym, że może on zostać wyrywkowo skontrolowany przez organ nadzorczy (Urząd Ochrony Danych Osobowych). Kontrola dotyczyć może także prowadzonego rejestru czynności przetwarzania, który na żądanie organu nadzorczego należy mu udostępnić (art. 30 ust. 4 RODO).
Jako, że udostępnienie ma się odbywać jedynie na wyraźny wniosek organu, nie ma tu konieczności proaktywnego działania ze strony administratora danych czy podmiotu przetwarzającego.
Za nie dostosowanie się do wymogu prowadzenia rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania ustawodawca europejski przewidział na mocy art. 83 ust. 4 pkt a RODO sankcję w postaci kary pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa- w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, co zdecydowanie stanowi dodatkową motywację do przestrzegania aktualnie obowiązujących przepisów prawa.
Wróć
Adres
Data Legal Katarzyna Mączyńska
ul. Pirenejska 7 m 37
01-493 Warszawa
e-mail: biuro@datalegal.pl
telefon: +48 508 192 040
NIP: 739-330-38-69