Poczucie bezpieczeństwa jest tym, czym się staje.
Zgodnie z art. 30 ust. 1 RODO: „Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają; w rejestrze tym zamieszcza się wszystkie następujące informacje:
Z kolei Motyw 82 RODO określa dwie podstawowe funkcje obowiązku prowadzenia rejestru:
Prowadzone przez administratorów i przetwarzających rejestry pozwalają im usystematyzować wykonywane czynności oraz całościowo spojrzeć na wykonywane operacje przetwarzania danych osobowych pod względem zgodności zarówno z celami biznesowymi, jak i wymaganiami prawnymi. Rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych. Nie należy przy tym utożsamiać pojęcia czynności przetwarzania z operacjami przetwarzania. Operacje przetwarzania zostały zdefiniowane w art. 4 pkt. 2 RODO i są to m.in. zbieranie, porządkowanie, usuwanie danych osobowych. RODO nie definiuje pojęcia „czynności przetwarzania”, jednak posługuje się nim w kilku przepisach lub motywach w różnych kontekstach.
Jak interpretować?
Powstaje zatem pytanie, jak należy interpretować pojęcie „czynności przetwarzania danych” biorąc pod uwagę ww. definicję oraz fakt, że rejestr takich czynności odnosi się nie tylko do pojedynczych czynności przetwarzania, ale, jak wynika również z angielskiej wersji dokumentu („records of procesing activities”) do czynności w liczbie mnogiej. Zgodnie z rekomendacją wskazaną w dokumencie „Wskazówki i wyjaśnienia dotyczące obowiązku z art. 30 ust. 1 i 2 RODO” (dalej „Wskazówki”), w kontekście obowiązku określonego w art. 30 ust. 1 RODO, przyjąć należy, że czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane. Jak trafnie ujmują to w/w „Wskazówki” w przypadku rekrutacji pracowników jeden cel będzie obejmował wiele cząstkowych operacji niewymagających szczegółowego ich opisywania w rejestrze, takich jak. pozyskiwanie informacji o kandydatach z ofert nadesłanych w wyniku ogłoszenia, dokonywanie ich selekcji, uzyskiwanie dodatkowych informacji w ramach przeprowadzania wywiadów z wybranymi osobami, usunięcie danych osób, które nie zostały wskazane do zatrudnienia itp. Nie ma konieczności opisywania każdej poszczególnej operacji wykonywanej na danych w procesie określonym zbiorczo „rekrutacja pracowników”, bo nie jest to konieczne dla scharakteryzowania przetwarzania w świetle wskazanych w art. 30 ust. 1 RODO kryteriów. Spróbujmy przyjrzeć się bliżej czynnościom przetwarzania w obrębie zbioru „KADRY I PŁACE”. Wydaje się, że moglibyśmy wyodrębnić następującą grupę procesów w obrębie tego zbioru:
W ramach „Wskazówek” widoczne jest rekomendowane przez UODO wdrożenie „zasady proporcjonalności”, w myśl której w małych podmiotach może być tak, że wszystkie wymienione wyżej operacje wykonuje jedna, ta sama osoba i z tego względu mogą być one pogrupowane inaczej, np. wszystkie operacje wykonywane przy użyciu programów „Kadry i Płace” mogą być ujęte jako jeden proces nazwany „Prowadzenie ewidencji pracowników i rozliczeń z pracownikami”, pozostałe zaś wykonywane przy użyciu programu „Płatnik” jako „Prowadzenie obsługi ubezpieczeniowej pracowników”. Proces związany z obsługą ubezpieczeniową pracowników będzie obejmował wówczas zarówno zgłaszanie pracowników i członków ich rodzin do ubezpieczenia, jak i zgłaszanie deklaracji rozliczeniowych, imiennych raportów o wynagrodzeniu i naliczonych składkach na poszczególne rodzaje ubezpieczenia. To, co wydaje się tutaj najbardziej istotne, to fakt, iż kryterium definiującym poszczególne czynności przetwarzania będzie „cel przetwarzania danych osobowych” przez administratora. Każdy odrębny cel przetwarzania powinien zostać wskazany w rejestrze w sposób precyzyjny i w oparciu o istniejący w tym zakresie stan faktyczny u danego administratora.. Tak jak zostało to wskazane na wstępie, cele przetwarzania ściśle związane są z dokonywanymi czynnościami przetwarzania danych. Administrator Danych określa cel oraz legitymizuje prowadzone przez siebie przetwarzanie, zgodnie z odpowiednią podstawą prawną wskazaną w art. 6 ust. 1 RODO lub art. 9 ust. 2 RODO. Dla każdego z celów z osobna wskazywany jest okres retencji, ewentualni współadministratorzy lub podmioty przetwarzające.
Podręcznik Inspektora Ochrony Danych Wytyczne dla inspektorów ochrony danych w sektorze publicznym i quasi[1]publicznym dotyczące sposobu zapewnienia zgodności z europejskim ogólnym rozporządzeniem o ochronie danych (Rozporządzenie (UE) nr 2016/679) w odniesieniu do struktury i rodzaju rejestrowanych czynności przetwarzania stwierdza: Inspektor ochrony danych powinien skonstruować rejestr w oparciu o wpisy, jakie otrzymuje w odniesieniu do każdej odrębnej operacji przetwarzania danych osobowych. Z reguły najlepiej posortować je według organizacji oraz w ramach organizacji według właścicieli. Dla każdego z wpisów inspektor ochrony danych powinien posiadać całą odpowiednią dokumentację (wskazaną w szablonach formularzy). Taka rekomendacja sugeruje, iż poszczególne procesy przetwarzania powinny zostać odpowiednio wyszczególnione, a kryterium ich definiowania powinien być cel przetwarzania danych osobowych. Trudno zatem zaakceptować sytuację, w której - w ramach zbioru KADRY I PŁACE w podmiocie, który nie spełnia kryteriów „małej firmy” – w RCP wskazanych zostało jedynie kilka procesów przetwarzania, np.:
Opracował
Arkadiusz Kraus
A2KP KANCELARIA Sp. z o.o.
Aktualności / BLOG
Zapewniamy zgodność z przepisami ochrony danych osobowych.
Jesteśmy też ekspertami w dziedzinie prawa pracy.
Aenean sagittis mattis purus ut hendrerit. Mauris felis magna, cursus in venenatis ac, vehicula eu massa. Quisque nunc velit, pulvinar nec iaculis id, scelerisque in diam. Sed ut turpis velit. Integer dictum urna iaculis vestibulum finibus. Etiam tempus dictum rhoncus. Nam vel semper eros. Ut molestie sit amet sapien vitae semper. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas.
Aktualności
Jesteśmy najlepsi
A2KP KANCELARIA Sp. z o.o.
43-300 Bielsko Biała,
ul Ulica Grażyńskiego 71