Jak prawidłowo rejestrować "czynności przetwarzania"?

megafon

Jak prawidłowo rejestrować "czynności przetwarzania"?

Zgodnie z art. 30 ust. 1 RODO: „Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają; w rejestrze tym zamieszcza się wszystkie następujące informacje:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  2. cele przetwarzania;
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.”

 

Z kolei Motyw 82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru:

  1. zachowanie przez administratora i podmiot przetwarzający zgodności z RODO – możliwość stałej weryfikacji swojej działalności w zakresie przetwarzania danych osobowych oraz poddawania ocenie każdego nowo wprowadzanego lub modyfikowanego procesu już na jego najwcześniejszym etapie;
  2. umożliwienie organowi nadzorczemu monitorowania prowadzonego przetwarzania - na żądanie organu nadzorczego informacje o prowadzonym przez administratora i podmiot przetwarzający przetwarzaniu będą udostępniane organowi w sposób jednolity, czytelny i uproszczony, umożliwiający dokonanie ich szybkiego przeglądu i wstępnej weryfikacji.

 

Prowadzone przez administratorów i przetwarzających rejestry pozwalają im usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych. Nie należy przy tym utożsamiać pojęcia czynności przetwarzania z operacjami przetwarzania. Operacje przetwarzania zostały zdefiniowane w art. 4 pkt. 2 RODO i są to m.in. zbieranie, porządkowanie, usuwanie danych osobowych. RODO nie definiuje pojęcia „czynności przetwarzania”, jednak posługuje się nim w kilku przepisach lub motywach w różnych kontekstach.

 

Jak interpretować?

Powstaje zatem pytanie, jak należy interpretować pojęcie „czynności przetwarzania danych” biorąc pod uwagę ww. definicję oraz fakt, że rejestr takich czynności odnosi się nie tylko do pojedynczych czynności przetwarzania, ale, jak wynika również z angielskiej wersji dokumentu („records of procesing activities”) do czynności w liczbie mnogiej. Zgodnie z rekomendacją wskazaną w dokumencie „Wskazówki i wyjaśnienia dotyczące obowiązku z art. 30 ust. 1 i 2 RODO” (dalej „Wskazówki”), w kontekście obowiązku określonego w art. 30 ust. 1 RODO, przyjąć należy, że czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane. Jak trafnie ujmują to w/w „Wskazówki” w przypadku rekrutacji pracowników jeden cel będzie obejmował wiele cząstkowych operacji niewymagających szczegółowego ich opisywania w rejestrze, takich jak. pozyskiwanie informacji o kandydatach z ofert nadesłanych w wyniku ogłoszenia, dokonywanie ich selekcji, uzyskiwanie dodatkowych informacji w ramach przeprowadzania wywiadów z wybranymi osobami, usunięcie danych osób, które nie zostały wskazane do zatrudnienia itp. Nie ma konieczności opisywania każdej poszczególnej operacji wykonywanej na danych w procesie określonym zbiorczo „rekrutacja pracowników”, bo nie jest to konieczne dla scharakteryzowania przetwarzania w świetle wskazanych w art. 30 ust. 1 RODO kryteriów. Spróbujmy przyjrzeć się bliżej czynnościom przetwarzania w obrębie zbioru „KADRY I PŁACE”. Wydaje się, że moglibyśmy wyodrębnić następującą grupę procesów w obrębie tego zbioru:

  1. prowadzenie ewidencji pracowników, czasu ich pracy,
  2. delegacje pracowników,
  3. podnoszenie kwalifikacji i szkolenia pracowników
  4. prowadzenie urlopów oraz zwolnień lekarskich,
  5. zgłaszanie pracowników i członków ich rodzin do ZUS oraz zgłaszanie aktualizacji dotyczących ich informacji,
  6. wyliczanie wynagrodzeń i ich wypłata, a także wyliczanie składek na ubezpieczenie emerytalne, rentowe, chorobowe, wypadkowe i przekazywanie tych informacji do ZUS wraz z imiennymi raportami miesięcznymi ZUS RCA o należnych składkach i wypłaconych świadczeniach;
  7. przetwarzanie danych w ramach Zakładowego Funduszu Świadczeń Socjalnych;
  8. korzystanie przez pracowników z dodatkowych benefitów (kart sportowych, ubezpieczenia, opieki medycznej);
  9. wykorzystywanie wizerunku pracowników;
  10. monitorowanie aktywności pracowników w sieci teleinformatycznej;
  11. prowadzenie floty samochodów,
  12. obsługa Pracowniczego Programu Emerytalnego,
  13. zajęcie komornicze.

 

W ramach „Wskazówek” widoczne jest rekomendowane przez UODO wdrożenie „zasady proporcjonalności”, w myśl której w małych podmiotach może być tak, że wszystkie wymienione wyżej operacje wykonuje jedna, ta sama osoba i z tego względu mogą być one pogrupowane inaczej, np. wszystkie operacje wykonywane przy użyciu programów „Kadry i Płace” mogą być ujęte jako jeden proces nazwany „Prowadzenie ewidencji pracowników i rozliczeń z pracownikami”, pozostałe zaś wykonywane przy użyciu programu „Płatnik” jako „Prowadzenie obsługi ubezpieczeniowej pracowników”. Proces związany z obsługą ubezpieczeniową pracowników będzie obejmował wówczas zarówno zgłaszanie pracowników i członków ich rodzin do ubezpieczenia, jak i zgłaszanie deklaracji rozliczeniowych, imiennych raportów o wynagrodzeniu i naliczonych składkach na poszczególne rodzaje ubezpieczenia. To, co wydaje się tutaj najbardziej istotne, to fakt, iż kryterium definiującym poszczególne czynności przetwarzania będzie „cel przetwarzania danych osobowych” przez administratora. Każdy odrębny cel przetwarzania powinien zostać wskazany w rejestrze w sposób precyzyjny i w oparciu o istniejący w tym zakresie stan faktyczny u danego administratora.. Tak jak zostało to wskazane na wstępie, cele przetwarzania ściśle związane są z dokonywanymi czynnościami przetwarzania danych. Administrator Danych określa cel oraz legitymizuje prowadzone przez siebie przetwarzanie, zgodnie z odpowiednią podstawą prawną wskazaną w art. 6 ust. 1 RODO lub art. 9 ust. 2 RODO. Dla każdego z celów z osobna wskazywany jest okres retencji, ewentualni współadministratorzy lub podmioty przetwarzające.

 

Podręcznik Inspektora Ochrony Danych Wytyczne dla inspektorów ochrony danych w sektorze publicznym i quasi[1]publicznym dotyczące sposobu zapewnienia zgodności z europejskim ogólnym rozporządzeniem o ochronie danych (Rozporządzenie (UE) nr 2016/679) w odniesieniu do struktury i rodzaju rejestrowanych czynności przetwarzania stwierdza: Inspektor ochrony danych powinien skonstruować rejestr w oparciu o wpisy, jakie otrzymuje w odniesieniu do każdej odrębnej operacji przetwarzania danych osobowych. Z reguły najlepiej posortować je według organizacji oraz w ramach organizacji według właścicieli. Dla każdego z wpisów inspektor ochrony danych powinien posiadać całą odpowiednią dokumentację (wskazaną w szablonach formularzy). Taka rekomendacja sugeruje, iż poszczególne procesy przetwarzania powinny zostać odpowiednio wyszczególnione, a kryterium ich definiowania powinien być cel przetwarzania danych osobowych. Trudno zatem zaakceptować sytuację, w której - w ramach zbioru KADRY I PŁACE w podmiocie, który nie spełnia kryteriów „małej firmy” – w RCP wskazanych zostało jedynie kilka procesów przetwarzania, np.:

  1. prowadzenie ewidencji pracowników zgodnie z Kodeksem pracy, zgłoszenie do ZUS;
  2. rozliczenia z pracownikami, wypłata wynagrodzeń, naliczanie składek do ZUS;
  3. bezpieczeństwo i higiena pracy,

 

Opracował

Arkadiusz Kraus

A2KP KANCELARIA Sp. z o.o.