RODO co do zasady nakłada na organizacje obowiązek prowadzenia rejestru przetwarzania. Za jego zlekceważenie grożą wysokie kary pieniężne w wysokości nawet do 10 mln euro. Istnieją jednak pewne wyjątki co do obowiązku prowadzenia tego typu rejestru.
Rejestr przetwarzania danych osobowych
Do czasu wejścia w życie ogólnego rozporządzenia o ochronie danych osobowych jednym z obowiązków administratorów danych była bieżąca rejestracja zbiorów informacji w GIODO. Nowe rozporządzenie wprowadza w to miejsce obowiązek prowadzenia rejestru przetwarzania, który wynika z art. 30 RODO. Za niewywiązanie się z tego obowiązku grozi kara pieniężna w kwocie nawet do 10 mln euro, przy czym w przypadku przedsiębiorstw kwota ta stanowi nawet 2% całkowitego rocznego światowego zysku z poprzedniego roku obrotowego.
Istnieją jednak wyjątki od obowiązku prowadzenia tego typu rejestru. Pierwszy wyjątek stanowi sytuacja, gdy administrator danych zatrudnia w swojej organizacji mniej niż 250 osób. Należy jednak zwrócić uwagę na to, iż obowiązek prowadzenia rejestru będzie nadal spoczywać na administratorze danych, pomimo zatrudniania mniej niż 250 osób, wówczas, gdy:
- proces przetwarzania danych osobowych może spowodować ryzyko co do naruszenia praw bądź wolności jednostek, których dane te dotyczą;
- proces przetwarzania dotyczy kategorii danych określonych w art. 9 ust 1 RODO;
- proces przetwarzania dotyczy danych osobowych związanych z wyrokami skazującymi bądź naruszeniami prawa określonymi w art. 10 RODO;
- proces przetwarzania nie odbywa się w sposób sporadyczny; w tej sytuacji obowiązek przetwarzania będzie więc spoczywał na osobach prowadzących jednoosobową działalność gospodarczą, gdyż przetwarzanie danych osobowych w mikroprzedsiębiorstwach odbywa się dość często.
W praktyce może się zatem okazać, że wiele podmiotów jednak musi taki rejestr prowadzić albo prowadzi go “na wszelki wypadek” z uwagi na potencjalnie wysoką sankcję finansową.
Zawartość rejestru przetwarzania danych
Zgodnie z wymogami RODO zawartość rejestru jest niewątpliwie zbliżona do prowadzonego niegdyś przez ABI jawnego rejestru zbiorów danych osobowych. Nowe rozporządzenie zastrzega jednak konieczność dodawania nowych elementów, takich jak chociażby dokładne wskazanie planowanego terminu usuwania poszczególnych informacji. Zgodnie z RODO wyodrębnia się dwie kategorie rejestrów, które różnią się między sobą w zależności od tego, czy informacje przetwarzane są przez samego administratora, czy też przez podmiot przetwarzający. Administrator danych odpowiada za prowadzenie rejestru czynności, z kolei podmiot przetwarzający odpowiada za prowadzenie rejestru kategorii przetwarzania.
Zasady tworzenia rejestru czynności przetwarzania
Zgodnie z art. 30 ust. 1 RODO rejestr czynności przetwarzania musi zawierać:
- dane osobowe, a więc imię i nazwisko bądź nazwę oraz dane kontaktowe administratora danych i wszystkich współadministratorów, a także opcjonalnie przedstawiciela podmiotu administrującego oraz inspektora ochrony danych;
- dokładny cel przetwarzania;
- dokładny opis kategorii osób, których dane te dotyczą, a także opis kategorii danych osobowych;
- kategorie poszczególnych odbiorców, którym informacje zostały bądź zostaną ujawnione, w tym także odbiorców w organizacjach międzynarodowych oraz odbiorców w państwach trzecich;
- w niektórych przypadkach, dane osobowe do państw trzecich lub organizacji międzynarodowych, w tym także nazwa państwa trzeciego lub organizacji, gdzie w przypadku przekazań także dokumentację odpowiednich zabezpieczeń;
- opcjonalnie planowane terminy usunięcia poszczególnych informacji;
- opcjonalnie opis technicznych oraz organizacyjnych środków bezpieczeństwa.
Co istotne, RODO nie stawia żadnych wymagań formalnych co do sposobu tworzenia oraz samego prowadzenia rejestrów przetwarzania. W ten sposób administratorzy danych mają zupełną swobodę działania w tym zakresie choć zaleca się robić to w formie elektronicznej lub pisemnej.
Z kolei rejestr kategorii czynności przetwarzania danych musi zawierać, zgodnie z art. 30 ust. 2, następujące informacje:
- imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Także podmiot przetwarzający ma swobodę w zakresie sposobu prowadzenia tego rejestru, jednak zaleca się, podobnie jak przy rejestrze czynności, formę elektroniczną lub pisemną.