Nie tylko administrator jest zobowiązany do sumiennego rejestrowania dokonywanych przez siebie czynności przetwarzania danych osobowych. Pamiętać o tym musi również podmiot przetwarzający (tzw. procesor).
Zgodnie z definicją wskazaną w art. 4 Ogólnego rozporządzenia o ochronie danych, podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Klasycznymi przykładami takich podmiotów są firmy zajmujące się outsourcingiem usług takich jak kadry czy płace. Procesorami będą również firmy informatyczne, świadczące wsparcie w utrzymaniu systemów, (jeżeli będą miały dostęp do danych przetwarzanych w tych systemach).
Zgodnie z art. 30 ust. 2 RODO, każdy z tych podmiotów ma obowiązek prowadzenia rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora. Powoływany artykuł Rozporządzenia wskazuje obligatoryjne elementy tego rejestru oraz warunki jego prowadzenia, w tym przewidywane zwolnienia z tego obowiązku.
Bazując na naszych doświadczeniach, w niniejszym artykule postaramy się wskazać co konkretnie powinno znaleźć się w rejestrze procesora i jakie są najpraktyczniejsze sposoby jego prowadzenia.
Kategorie przetwarzania
Rejestr kategorii czynności przetwarzania (RKCP) stanowi podstawową dokumentację podmiotu przetwarzającego, związaną z przetwarzaniem przez niego danych osobowych w imieniu innych podmiotów.
Rejestr jest nowym rodzajem dokumentu wprowadzonym przez przepisy RODO. Wcześniej ani Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady WE ani polska Ustawa o ochronie danych osobowych z 1997 r. nie przewidywały prowadzenia tego typu dokumentacji przez podmioty przetwarzające dane na zlecenie.
Obowiązek prowadzenia RKCP jest niezależny, choć w pewnym stopniu powiązany z obowiązkiem prowadzenia rejestru czynności przetwarzania przez administratora.
RKCP składa się co do zasady z analogicznych elementów jak rejestr administratora. Podstawową różnicą jest jednak to, że nie odnosi się on do czynności przetwarzania danych osobowych, ale kategorii takich czynności, dokonywanych w imieniu administratora.
Pojęcie kategorii czynności przetwarzania nie zostało zdefiniowane w Ogólnym rozporządzeniu o ochronie danych. Nie odnosi się również do niego preambuła RODO. To z kolei może powodować znaczne trudności w jego interpretacji.
Już na pierwszy rzut oka można jednak zauważyć, że odniesienie się do kategorii czynności przetwarzania charakteryzuje się mniejszą szczegółowością niż bezpośrednie wskazanie takich czynności.
Z uwagi na to, że w RKCP powinny zostać wskazane wszystkie kategorie czynności przetwarzania dokonywane w imieniu administratorów, rejestr a przede wszystkim sama jego treść, jest ściśle powiązana z rejestrowaniem zawieranych umów powierzenia przetwarzania danych osobowych.
Procesor dokonując nazwania poszczególnych powierzeń, jakie wykonuje na podstawie zawartych umów, odwołuje się zazwyczaj do rodzaju świadczonej na rzecz administratora usługi. Ta z kolei w większości przypadków od razu wskazuje, jakie są (lub mogą być) czynności podejmowane w ramach jej realizacji.
Tym samym, z uwagi na powyższe, przyjąć należy, że kategoria czynności przetwarzania to nic innego jak właśnie rodzaj usługi realizowanej przez podmiot przetwarzający na zlecenie administratora związanej ze zleconymi czynnościami przetwarzania danych.
Przykład
| Procesor | Kategorie czynności przetwarzania |
| Biuro księgowe | Prowadzenie dokumentacji podatkowej i księgowej |
| Podmiot zajmujący się outsourcingiem kadr i płac | Przygotowywanie umów o pracę, umów zlecenia i o dzieło, naliczanie wynagrodzeń i sporządzanie list płac, rozliczenia z ZUS, prowadzenie akt osobowych pracowników |
| Podmiot zajmujący się archiwizacją i niszczeniem nośników informacji | Przechowywanie danych osobowych administratora ujawnionych w przekazywanej dokumentacji papierowej oraz na innych nośnikach, a także niszczenie nośników informacji |
| Podmiot zajmujący się hostingiem serwerów | Udostępnianie administratorowi serwera www wraz z odpowiednim oprogramowaniem do prowadzenia strony internetowej |
Elementy obligatoryjne
Obok wskazania kategorii czynności przetwarzania, dokonywanych w imieniu każdego z administratorów, procesor zobowiązany jest do zamieszczenia w swoim rejestrze szeregu innych informacji, które zostały określne w artykule 30 ust. 2 RODO.
- Imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego, przedstawiciela podmiotu przetwarzającego oraz inspektora ochrony danych
Określenie podmiotu prowadzącego rejestr, czyli procesora, nie powinno stanowić problemu. Należy przy tym wskazać, że Ogólne rozporządzenie o ochronie danych wskazuje na liczbę mnogą wpisywanych w rejestr danych kontaktowych (ang. contact details). Może to sugerować, że wymagane jest ujawnienie co najmniej kilku kanałów komunikacji. Na pewno za niewystarczające należy uznać m.in. podanie jedynie adresu strony internetowej lub adresu email. Ma to m.in. związek z obowiązkiem udostępniania rejestru organowi nadzorczemu. Dokładne wskazanie dróg kontaktu z procesorem zdecydowanie ułatwi organowi prowadzenie konsultacji.
Powyższe uwagi dotyczą także inspektora ochrony danych, którego wpisujemy do rejestru, o ile został on powołany. Tak samo należy postąpić z ujawnianiem danych przedstawiciela procesora.
Wyznaczenie i wskazanie w rejestrze przedstawiciela jest obowiązkowe dla podmiotów przetwarzających niemających jednostek organizacyjnych w Unii Europejskiej, którzy przetwarzają dane osobowe osób przebywających w Unii, a prowadzone przez nich czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom lub monitorowaniem ich zachowania, o ile dochodzi do niego w Unii.
- Imię i nazwisko lub nazwa oraz dane kontaktowe każdego administratora, w imieniu którego działa podmiot przetwarzający, przedstawiciela administratora oraz inspektora ochrony danych
W swoim rejestrze kategorii czynności przetwarzania procesor powinien ujawnić wszystkich administratorów, których dane osobowe przetwarza. O ile wskazanie danych kontaktowych tych podmiotów nie budzi żadnych trudności (są one zawsze ujawnione w zawieranych umowach), to wskazanie danych inspektorów ochrony danych już do tak prostych nie należy.
Co prawda, zgodnie z art. 11 Ustawy o ochronie danych osobowych, administrator, który powołał IOD jest zobowiązany do ujawnienia jego danych (imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu) na swojej stronie internetowej, jednak nie zawsze będzie to dla procesora pomocne. Po pierwsze, nie każdy administrator taką stroną dysponuje, a wówczas zgodnie z UODO dane te udostępnia w sposób ogólnie dostępny w miejscu prowadzenia działalności. Po drugie, przeszukiwanie kilkunastu lub nawet kilkudziesięciu stron internetowych (w zależności od ilości administratorów) do łatwych, szybkich i zbyt przyjemnych nie należy. Po trzecie, niestety nie każdy administrator ten obowiązek realizuje. Dlatego też tak bardzo ważne jest to, aby zawierając z administratorem umowę powierzenia, już w jej treści wskazać, czy strony powołały IOD, a jeżeli tak, jakie są jego dane kontaktowe.
Powyższe będzie pomocne nie tylko w zakresie prowadzenia RKCP, ale również w zakresie całej współpracy stron w związku z przetwarzaniem powierzanych danych osobowych. Warto również w postanowieniach umowy zaznaczyć obowiązek wzajemnego informowania się o zmianach na stanowisku IOD oraz zmianach w zakresie jego danych kontaktowych.
- Przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń
Jeżeli procesor przekazuje powierzone mu dane osobowe do państwa trzeciego lub organizacji międzynarodowej, jest zobowiązany ujawnić te informacje w prowadzonym przez siebie rejestrze kategorii czynności przetwarzania.
W szczególnych sytuacjach, tj. kiedy przekazanie następuje ze względu na ważne, prawnie uzasadnione interesy realizowane przez administratora (art. 49 ust. 1 akapit drugi RODO) rejestr powinien określać zabezpieczenia, które zostały zastosowane przy takim przetwarzaniu.
- Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa
W tym miejscu rejestru, procesor powinien wskazać rzeczywiste środki jakie wdrożył dla ochrony powierzonych mu danych osobowych. Częstszym rozwiązaniem jest określanie tych środków w innej dokumentacji przetwarzania, np. Polityce ochrony danych bądź dokumentacji IT (jeżeli chodzi o zabezpieczenia techniczne). Nic nie stoi na przeszkodzie, aby w tym miejscu RKCP odwołać się do istniejących już dokumentów, które w sposób szczegółowy opisują stosowane środki.
RCP a RKCP
Rejestr kategorii czynności przetwarzania zawiera zdecydowanie mniej obligatoryjnych informacji niż rejestr prowadzony przez administratora. Różnice dotyczące zakresu merytorycznego obowiązków rejestracyjnych tych dwóch rodzajów podmiotów spowodowane są przede wszystkim z pełnionymi przez nie funkcjami w procesach przetwarzania danych osobowych. W szczególności procesor nie ma kompetencji dla określania celów i sposobów przetwarzania danych oraz terminów usunięcia danych czy kategorii odbiorców takich danych. Stąd też takich informacje w RKCP nie znajdziemy. Znajdziemy je jednak w rejestrze czynności przetwarzania prowadzonym przez administratora.
Elementy dodatkowe
Mimo, że celem RKCP nie jest zapewnienie przejrzystości przetwarzania względem administratorów czy też podmiotów danych (nie jest on im przekazywany ani udostępniany publicznie) to jego zawartość merytoryczna ma duże znaczenie przy wywiązywaniu się przez procesora z realizacji zasad przetwarzania danych osobowych.
Tym samym, warto aby oprócz elementów obligatoryjnych znalazły się tam również dodatkowe informacje związane z przetwarzaniem powierzonych danych osobowych. Pozwoli to podmiotowi przetwarzającemu na zebranie, w jednym miejscu, wiedzy na temat przetwarzania danych osobowych konkretnego administratora. To z kolei znacznie ułatwi współpracę stron, jak również może znacznie pomóc przy realizacji obowiązków wskazanych w RODO lub w zawartej umowie powierzenia przetwarzania danych osobowych.
Opierając się na naszym dotychczasowym doświadczeniu, rekomendujemy zamieszczenie w rejestrze kategorii czynności przetwarzania, takich informacji jak:
- Umowa powierzenia przetwarzania danych osobowych informacje, kiedy została zawarta umowa powierzenia z danym administratorem – informacja ta pozwoli na zapewnienie rozliczalności procesów przetwarzania powierzonych danych, a także pozwoli skontrolować czy obowiązek zawarcia umowy powierzenia został dopełniony,
- Charakter zgody na podpowierzenie informacja czy i na jakich warunkach procesor może podpowierzać powierzone mu przez administratora dane osobowe – informacja ta ułatwi wykonywanie czynności na danych osobowych i zlikwiduje potrzebę każdorazowego przeglądania umowy powierzenia (szczególne pomocne w przypadku, kiedy procesor obsługuje większą liczbę administratorów),
- Subprocesorzy informacja komu i w jakim celu podpowierzane są dane osobowe – informacja ta zarówno zapewnia rozliczalność procesów przetwarzania powierzonych danych, jak i ułatwia komunikację z administratorem,
- Daty wpisu i ostatniej aktualizacji informacje, kiedy dany administrator został wpisany do rejestru oraz kiedy miała miejsce ostatnia aktualizacja informacji dotyczących jego wpisu – ta adnotacja będzie stanowić podstawę dla rozliczalności informacji ujawnianych w rejestrze.
Rejestr czynności przetwarzania (RCP) i RKCP
Chcesz spełnić wymóg RODO i prowadzić Rejestr Czynności Przetwarzania oraz Rejestr Kategorii Czynności Przetwarzania, ale nie wiesz od czego zacząć?
Działaj na sprawdzonym szablonie, którego autorem są eksperci Lex Artist – lidera na rynku ochrony danych osobowych w Polsce.
Forma rejestru
RODO wprowadza dowolność, jeżeli chodzi o formę prowadzenia RKCP. Rejestr może być prowadzony w formie pisemnej, w tym elektronicznej. Istotne jest to, aby rejestr był na bieżąco aktualizowany, a jego zawartość odpowiednio chroniona przed nieuprawnionymi osobami.
Najpraktyczniejszą formą prowadzenia rejestru jest forma elektroniczna. Niekoniecznie musi być to dedykowany system informatyczny. Dobrze sprawdza się prowadzenie rejestru w pliku Excel, zwłaszcza, gdy prowadzimy go sumiennie, a każda dokonywana w nim zmiana jest odnotowywana np. w oddzielnym arkuszu.
RODO nie narzuca nam również układu obligatoryjnych elementów RKCP, co oznacza, że podmiot przetwarzający może przyjąć dowolny układ informacji dotyczących kategorii czynności przetwarzania.
Poszczególne wpisy do rejestru mogą być zatem uporządkowane:
- według kategorii czynności przetwarzania, tj. rodzaju usług świadczonych na rzecz administratorów,
- według administratorów, na rzecz których dane osobowe są przetwarzane.
Pierwsze z rozwiązań będzie, w szczególności dobrą opcją dla podmiotów przetwarzających świadczących takie same usługi na rzecz większej ilości podmiotów. Uporządkowanie rejestru według administratora sprawdzi się z kolei, gdy tych przetwarzań będzie mniej i będą dotyczyły różnych usług.
Udostępnianie rejestru
Rejestr ma charakter wewnętrzny, tj. nie musi być nigdzie ujawniany (np. na stronie internetowej). Nie musi on być również ujawniany administratorom, na których zlecenie przetwarzane są dane osobowe. Udostępnienie rejestru może nastąpić dopiero na żądanie organu nadzorczego (np. w przypadku kontroli).
Osoba odpowiedzialna
W strukturze podmiotu przetwarzającego powinna zostać wyznaczona osoba, której zadaniem będzie czuwanie nad aktualnością RKCP, jak również wprowadzanie stosownych zmian.
W przypadkach, kiedy procesor powołał inspektora ochrony danych, naturalnym wydaje się powierzenie prowadzenia rejestru kategorii czynności przetwarzania właśnie jemu. Obowiązek taki nie jest wprawdzie wymieniony w zadaniach IOD w art. 39 ust. 1 RODO, jednakże katalog ten nie jest katalogiem zamkniętym.
W sytuacji, kiedy w strukturze procesora brak jest IOD, wówczas prowadzenie rejestru należy powierzyć innej osobie, nadzorującej zachodzące procesy przetwarzania danych osobowych.
Zwolnienia z prowadzenia rejestru
Z obowiązku prowadzenia rejestru kategorii czynności przetwarzania zwolnieni są procesorzy, którzy zatrudniają mniej niż 250 osób.
Poprzez zatrudnienie, należy rozumieć zarówno zatrudnienie sensu stricte tj. na podstawie umów o pracę, jak również współpracę na podstawie umów cywilnoprawnych, która swoim charakterem zbliżona jest do relacji pracowniczej.
Zwolnienie to będzie miało zastosowanie przede wszystkim w przypadku jednoosobowych działalności gospodarczych. Niemniej, ze zwolnienia mogą skorzystać wszystkie mniejsze podmioty, bez względu na formę prawną prowadzonej działalności, jej cel oraz prywatnoprawny lub publicznoprawny charakter.
Wskazany wyżej wyjątek od prowadzenia RKCP, nie ma jednak charakteru bezwzględnego. Istnieją bowiem trzy rodzaje przetwarzania, do których nie znajdzie on zastosowania. I tak, procesor pomimo tego, że liczba zatrudnionych przez niego osób jest mniejsza niż 250, będzie musiał prowadzić rejestr, gdy dokonywane przez niego przetwarzanie:
- Może powodować ryzyko (nie tylko wysokie) naruszenia praw lub wolności osób, których dane dotyczą,
- Nie ma charakteru sporadycznego,
- Obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
Wymienione rodzaje przetwarzania danych osobowych, do których wyjątek nie ma zastosowania, mają charakter alternatywny i wystąpienie któregokolwiek z nich samodzielnie wywołuje obowiązek prowadzenia rejestru czynności przetwarzania.
Przykład:
Biuro księgowe w postaci jednoosobowej działalności gospodarczej zatrudnia dwie osoby na podstawie umowy o pracę. Biuro świadczy usługi księgowe w pełnym zakresie (księgi handlowe, księgi przychodów i rozchodów, deklaracje podatkowe). Dla niektórych swoich klientów realizuje również usługi z zakresu kadr i płac (przygotowanie umów o pracę, naliczanie wynagrodzeń, sporządzanie listy płac, pomoc przy prowadzeniu akt osobowych). Oznacza to, że przetwarzanie dokonywane przez ten, wydawało się mały, podmiot nie ma charakteru sporadycznego. Co więcej podmiot ten przetwarza też szczególne kategorie danych osobowych pracowników swoich klientów (ujawnione np. w aktach osobowych). W rezultacie biuro księgowe zatrudniające dwie osoby będzie zobowiązane do prowadzenia RKCP.Sankcje
Naruszenie obowiązku w zakresie prowadzenia rejestru kategorii czynności przetwarzania, stanowi przesłankę do nałożenia administracyjnej kary pieniężnej. Zastosowanie znajdzie kara niższa, tj. ta o której mowa w art. 83 ust. 4 lit. a RODO (w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).
Podsumowanie
Podstawowym celem prowadzenia rejestru kategorii czynności przetwarzania jest zachowanie przez podmiot przetwarzający zgodności z RODO. Prawidłowo prowadzony RKCP ułatwi również współpracę z administratorem, na rzecz którego dokonywane jest przetwarzanie, jak również umożliwi organowi nadzorczemu monitorowanie prowadzonego przez procesora przetwarzania.
RKCP pozwala usystematyzować czynności wykonywane na powierzonych danych oraz całościowo spojrzeć na wykonywane na rzecz innych podmiotów operacje przetwarzania danych osobowych.
Zapoznanie się z rejestrem kategorii czynności przetwarzania jest jednym z pierwszym działań podejmowanych przez organ nadzorczy w trakcie kontroli przestrzegania przepisów RODO. Dlatego też do jego opracowania i późniejszego aktualizowania warto podejść na poważnie. W przypadku jakichkolwiek wątpliwości i pytań w tym zakresie warto również skorzystać z pomocy specjalistów.
Źródła:
- Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.)
- Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO
- Stanowisko Grupy Roboczej Art. 29 ds. ochrony danych w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust. 5 RODO z dnia 14 maja 2018 r.
- Ogólne rozporządzenie o ochronie danych. Komentarz, Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.)
- Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Litwiński Paweł (red.), Barta Paweł, Kawecki Maciej
Powiązane artykuły
7 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Szanowni Państwo!
Próba wygenerowania PDF niniejszego artykułu generuje artykuł wcześniejszy o nadzorowaniu pracowników. Proszę o udostępnienie treści tego artykułu w postaci PDF.
Pozdrawiam
Dzień dobry 🙂 dziękujemy za zgłoszenie problemu. Już nad tym pracujemy, pozdrawiamy
Zamieściliśmy już poprawny link: https://blog-daneosobowe.pl/wp-content/uploads/2019/09/2019.08.28-Rejestr-kategorii-czynności-przetwarzania.pdf
Przepraszamy za zamieszanie i jeszcze raz dziękujemy za czujność!
Dzień dobry,
Mam pytanie w kontekście praktyk studenckich – czy podmiot, który realizuje takie praktyki jest procesorem administratora danych czy staje się odrębnym administratorem? a może jest także, że ten podmiot jest procesorem dla realizacji praktyk ale w wielu innych celach powiązanych z realizacją praktyk (np. monitoring) staje się odrębnym ADO
Dzień dobry 🙂 w kwestii praktyk studenckich w obecnej chwili mamy stosowane różne koncepcje. W naszej ocenie właściwym podejściem jest traktowanie podmiotu jako procesora pod warunkiem, że wykonuje przetwarzanie danych wg zaleceń podmiotu kierującego na praktyki. W pozostałej części czynności pozostaje odrębnym administratorem danych np. ubezpieczenie, monitoing. Pozdrawiamy!
Szanowni państwo,
W przypadku urzędu gminy w RCKP oprócz wiadomych usług jak np. serwis IT, niszczenie dokumentów przez zewnętrzną firmę umieszcza się dane z umów powierzenia danych, gdzie urząd jest administratorem czy tylko w momencie gdy taka umowa jest zawarta a urząd jest procesorem?
Pozdrawiam
Dzień dobry, w RKCP wpisujemy powierzenie danych gdzie urząd jest procesorem. Pozdrawiamy!