REJESTR CZYNNOŚCI PRZETWARZANIA – nowy obowiązek, czy znaczące ułatwienie – Cz. IV

Jowita Kania-Stachura18 grudnia 201721 komentarzy

Szanowni Państwo!

Wielki finał! Ostatni odcinek dotyczący rejestru czynności przetwarzania, a w nim kilka podstawowych wskazówek, jak taki rejestr można zorganizować. Krótko i w punktach.

  1. Zrób go w tabeli. Dzięki temu, że niezbędne informacje zostaną zamieszczone w tabeli, będzie można łatwo rejestr modyfikować, aktualizować i stanie się on czytelny;
  2. Podaj na samym początku dane informacyjne. Zanim zaczniesz budować faktyczny rejestr czynności przetwarzania, podaj w jego wstępie dane administratora, współadministratorów, ewentualnie przedstawiciela w UE i inspektora;
  3. Wprowadzaj tylko kategorie i informacje niezbędne. Nie ma konieczności w rejestrze wpisywać np. informacji o systemach, za pomocą których przetwarzane są dane. Rób wiec tylko to, do czego jesteś zobowiązany. Rejestr powinien być czytelny, dlatego prowadź go w sposób przejrzysty.

Poniżej zamieszczam przykładowy i bardzo prosty wzór rejestru czynności przetwarzania.

Rejestr czynności przetwarzania - wszystko o RODO

Jak widać, wbrew pozorom rejestr czynności przetwarzania jest stosunkowo prosty do skonstruowania. Jednak trzeba pamiętać, że należy go tworzyć uwzględniając kontekst działalności każdego administratora lub podmiotu przetwarzającego.

Podsumowując, rejestr czynności przetwarzania, to w istocie duże  ułatwienie, w szczególności w kontekście usunięcia obowiązku prowadzenia rejestru zbiorów danych oraz wykazu przepływu danych pomiędzy systemami. A teraz proszę chwilę pomyśleć, zebrać informacje dotyczące danych i powoli zacząć tworzyć własny rejestr. Wiosna już za pasem.

{ 21 komentarze… przeczytaj je poniżej albo dodaj swój }

Beata Luty 27, 2018 o 15:16

Jednak dalej nie jest jasne jakiego typu CZYNNOŚCI maja być zapisywane w rejestrze czynności. Czy odnotowywać tam chociażby robienie kopii bezpieczeństwa bazy. Inny przykład, mamy bazę klientów czy kontrahentów i dodajemy jeszcze jedną informację do tej bazy, np. informację czy klient życzy sobie żeby przypomnieć mu o kończącej się umowie. Czy dołożenie dodatkowego pola do istniejącej bazy ma być odnotowane w rejestrze czynności czy jednak ustawodawca zupełnie inne czynności miał na myśli, no właśnie jakie?

Odpowiedz

Jowita Kania-Stachura Luty 27, 2018 o 16:16

Szanowna Pani! Jak sama nazwa rejestru wskazuje, powinien on zawierać „czynności przetwarzania”, a więc wszystkie czynności, o których mowa w art. 4 pkt 2 RODO i które są wykonywane przez konkretnego administratora. W większości przypadków takimi czynnościami będzie zbieranie, utrwalanie, wykorzystywanie i usuwanie danych. W podanym przez Panią przykładzie, przywołane „przypominanie o kończącej się umowie”, to nic więcej niż właśnie wykorzystywanie danych. Podsumowując, przygotowując rejestr czynności przetwarzania proszę zawsze zwracać uwagę na brzmienie art. 4 pkt 2 RODO i wskazane tam przykłady oraz analizować go w kontekście kategorii posiadanych danych. Mam nadzieję, że udało mi się pomóc. Pozdrawiam.

Odpowiedz

Beata Luty 27, 2018 o 17:03

No niestety, ale dalej nie rozumiem, nie jestem prawnikiem tylko informatykiem i w tym kontekście pytam. Postaram się najprościej jak potrafię:
1. Codziennie automatycznie wykonuje się kopia bezpieczeństwa. Czy taki fakt ma zostać wpisany do rejestru czynności?
2. Mam np. bazę danych klientów, czyli imię, nazwisko, adres itd. oraz powiedzmy datę końca umowy – wyobraźmy sobie taką bazę jako tabelkę. Teraz do tej tabelki dokładam jedną kolumnę, w której dodatkowo chcę coś zapisać, np. własnie to czy klient życzy sobie przypomnienie czy nie. Jeszcze nie wysyłam żadnych przypomnień tylko dokładam taką kolumnę – czy taki fakt odnotowuję w rejestrze czynności?
3. Jeżeli już odwołujemy się do art. 4 pkt. 2 czy to oznacza, że w rejestrze czynności mam odnotować wysłanie maila do pojedynczego klienta z takim przypomnieniem? Czy mam tam odnotować fakt, że pracownik X przeglądał dane klienta Y?

Odpowiedz

Jowita Kania-Stachura Luty 28, 2018 o 15:12

Szanowna Pani!
Bardzo cieszę się z Pani pytań. Ten blog został właśnie po to założony, żeby dzielić się wiedzą z czytelnikami najlepiej jak tylko umiemy. Myśląc o rejestrze, trzeba pamiętać, czym on w ogóle jest, a jest to wyłącznie sposób na pokazanie gdzie w strukturze administratora pojawią się dane osobowe i co się z nimi dzieje. Odpowiadając już bezpośrednio na zadane pytania:
Ad. 1. Tworzenie kopi zapasowej danych to jeden sposób przetwarzania, mianowicie kopiowanie. Jednak nie ma konieczności odnotowywania tego faktu w rejestrze.
Ad. 2. Nie ma konieczności odnotowywać takiego faktu w rejestrze, ponieważ sam ustawodawca wylicza rodzaje informacji, które muszą się w nim znaleźć.
Ad. 3. Nie, nie, nie! Rejestr czynności przetwarzania to nie jest zestawienie każdego przykładu przetwarzania danych.

Rejestr czynności przetwarzania, to wyłącznie sposób na pokazanie gdzie w strukturze administratora pojawią się dane osobowe i co się z nimi dzieje. Proszę jeszcze raz przyjrzeć się wzorowi rejestr, który przygotowałam. Tworząc rejestr musi Pani wskazać tylko:
a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora (Pani imię, nazwisko, nr telefonu, adres email);
b) cele przetwarzania (cele dla których korzysta Pani z danych, np. wykonanie umowy, cele marketingowe, zawarcie umowy o pracę) ;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych (np. dane osobowe kontrahentów – imiona, nazwiska, numery telefonów);
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych (np. dane spółek tworzących grupę kapitałową, jeżeli im przekazano dane osobowe);
e) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
f) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa;
g) imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego, jeżeli w imieniu administratora działać będzie podmiot przetwarzający.

Proszę tworząc rejestr zawsze kierować się tylko wymaganiami ustawodawcy, w szczególności jeżeli nie przetwarza Pani danych masowo. Wzór, który umieściłam na stronie wydaje się być dla Pani wystarczający. Pozdrawiam i w razie dalszych niejasności czekam na pytania.

Odpowiedz

Katarzyna Marzec 13, 2018 o 16:42

Powyższe informacje sporo wyjaśniają ale nie wszystko. Chciałabym jeszcze dopytać o kategorie odbiorców. W przypadku firmy dla której pracuję mamy bazę odbiorców newslettera. Wśród odbiorców są zarówno osoby z Polski jak i z zagranicy (z wielu państw). Jak w rejestrze czynności przetwarzania opisać kategorie odbiorców? Dodam, że nie posiadamy pełnej wiedzy o kraju odbiorców. Jest to imię, nazwisko, stanowisko, firma i e-mail. Ponadto organizujemy spotkania biznesowe i wysyłamy informacje o planowanych imprezach/konferencjach do naszej bazy. Czy w rejestrze muszę wykazywać listę uczestników każdej imprezy jako osobną bazę danych i czas przez jaki będziemy przechowywać dane? Próbując sprzedawać swoje produkty (np. bilety na konferencje lub bezpłatne uczestnictwo w innych imprezach) zazwyczaj powielamy wysyłki mailingów do tych samych osób plus do nowo pozyskanych kontaktów. Można powiedzieć, że posiadamy jedną ogólną bazę, do której trafiają nasze oferty i osobne bazy dla każdej imprezy ale te same kontakty są kopiowane do bazy ogólnej. Kolejne pytanie, które się z tym wiąże dotyczy uzyskania zgody na otrzymanie ofert udziału w wydarzeniach przez nas organizowanych. Co można zrobić aby nie trzeba było za każdym razem pytać o zgodę? Czy możemy uzyskać zgodę na przetwarzanie danych na czas nieokreślony dla celów marketingowych?

Odpowiedz

Jowita Kania-Stachura Marzec 20, 2018 o 13:14

Szanowna Pani!
Bardzo dziękuję za pytania. Pisząc o odbiorcach newsletterów zapewne myli Pani dwa pojęcia, „odbiorcy danych” i „kategorie osób, których dane dotyczą”. Odbiorcy newsletterów, niezależnie z jakich krajów pochodzą, to osoby fizyczne, które powinny być wskazane jako jedna z podkategorii w rubryce „kategorie osób, których dane dotyczą”. To ich dane osobowe są bowiem przetwarzane poprzez wysyłanie im wiadomości. Odbiorcami danych są podmioty prowadzące działalność gospodarczą, którym przysyła się dane osób fizycznych.
Uczestnicy wszelkich szkoleń i imprez również mogą funkcjonować jako jedna z podkategorii w rubryce „kategorie osób, których dane dotyczą”, nie ma konieczności rozbijać tej podkategorii na poszczególne szkolenia.
Możliwe jest uzyskanie od jednej osoby fizycznej jednej zgody na otrzymywanie wszelkich ofert handlowych bądź marketingowych. Jednak sam formularz zapytania o zgodę oraz sposób jej udzielenie powinien spełniać konkretne cechy określone w RODO.
Udzielone powyżej odpowiedzi są dosyć ogólne, jeżeli chciałaby Pani otrzymać więcej konkretnych wskazówek, musielibyśmy otrzymać od Pani więcej informacji. Pozdrawiam.

Odpowiedz

Ewa Kwiecień 4, 2018 o 15:53

Moja firma podpisuje i przechowuje umowy. W umowach są wskazane osoby upoważnione do podpisania umowy w imieniu Spółki – Kontrahenta. Czy taki sposób ujęcia danych w rejestrze jest wystarczający: kategoria osób – osoby reprezentujące Kontrahenta, kategoria danych – imię i nazwisko, stanowisko / stopień służbowy (wojsko), cel przetwarzania – działalność gospodarcza Administratora?

Odpowiedz

Jowita Kania-Stachura Kwiecień 10, 2018 o 14:57

Szanowna Pani!
Bardzo dziękuję za pytanie. Zgadzam się z tak podanymi przez Panią opisami. Mam tylko jedno zastrzeżenie. Samą kategorię osób nazwałbym po prostu „Kontrahenci”. Wynika to z tego, że często zdarza się pozyskiwać dane nie tylko osób reprezentujących kontrahentów (członków zarządów, prokurentów), ale również dane ich pracowników. W ten sposób kategoria „Kontrahenci” mogłaby obejmować dane osób reprezentujących spółkę, ich pracowników, czy nawet dane innych osób współpracujących z tamtymi spółkami na innej podstawie.

Odpowiedz

Ewa Kwiecień 5, 2018 o 10:00

czy członkowie rodziny pracownika to osobna kategoria osób w rejestrze?

Odpowiedz

Jowita Kania-Stachura Kwiecień 10, 2018 o 14:57

Szanowna Pani!
Nie widzę przeszkód, aby tę kategorię danych nazwać „Dane pracowników i członków ich rodzin”. Można również rozbić te zbiory na dwie kategorie. Każdy rodzaj postepowania będzie prawidłowy

Odpowiedz

Ewa Kwiecień 5, 2018 o 10:14

Proszę o więcej na temat celów przetwarzania danych. Czy w rejestrze jako cel przetwarzania danych np. pracowników wystarczy ogólny zapis np „zatrudnianie pracowników”, czy trzeba wypisać wszelkie szczegółowe cele np zgłoszenie do ubezpieczenia społecznego itp

Odpowiedz

Jowita Kania-Stachura Kwiecień 5, 2018 o 14:54

Szanowni Państwo!
Obiecuję odpowiedzieć na wszystkie komentarze. Proszę o chwilę cierpliwości.

Odpowiedz

Jowita Kania-Stachura Kwiecień 10, 2018 o 14:59

Proszę pamiętać, że cele, o których mowa w art. 30 RODO, czyli cele, które powinny zostać wskazane w rejestrze czynności przetwarzania, to są te same cele, o których mowa w art. 6 i 9 RODO. Oznacza to, że są to cele przetwarzania, dla których dane zostały pozyskane. Dla pracowników będzie to „realizacja stosunku pracy”. Cele szczegółowe, o których Pani wspomniała, albo wynikają z istoty stosunku pracy, albo powodowane są decyzją ustawodawcy, w każdym zaś wypadku mieszczą się w pojęciu przetwarzania danych „w celu realizacji stosunku pracy”.

Odpowiedz

Piotr Kwiecień 10, 2018 o 19:06

Witam Panią i dziękuję za cierpliwe udzielanie odpowiedzi (wielu, jak widać) zdezorientowanym osobom, do których należę i ja… 🙁
Moje pytanie jest następujące: prowadzę jednoosobową firmę (działalność gospod.), świadczącą usługi wyłącznie dla przedsiębiorstw. Oczywiście w ramach pozyskiwanych od nich (czyli samych przedsiębiorstw) danych (np. ich finanse, działalność itp.) pojawiają się również dane niektórych zatrudnionych w tych firmach osób, w tym ich życiorysy zawodowe, które są wykorzystywane przeze mnie do tworzenia dla tych firm (moich klientów) różnego rodzaju dokumentacji (np. projektowej, gdzie wskazuje się członków grupy projektowej). Rozumiem, iż w takim wypadku mam obowiązek prowadzenia rejestru przetwarzania takich danych? Jak mam jednak określić termin usunięcia tych danych w mojej bazie? One mogą tam pozostać latami, tym bardziej, że dane po jakimś czasie mogą być (sporadycznie!!!) ponownie wykorzystane. Kolejna kwestia: jak ma się rzecz to zgody na przetwarzanie danych osobowych? Czy mam każdorazowo prosić o taką zgodę daną osobę, informować ją „na wszelki wypadek” – gdyby jednak o tym nie wiedziała – że jej pracodawca przesłał do mnie jej dane osobowe (w ramach mnóstwa innych informacji przekazanych mi o jego firmie)?

Odpowiedz

Jowita Kania-Stachura Kwiecień 16, 2018 o 10:45

Szanowny Panie!
Staram się pomóc osobom zdezorientowanym najlepiej jak potrafię :-). Odpowiadając na Pana pytanie, w pierwszej kolejności chciałabym Pana nieco uspokoić. Reforma RODO nie jest tak przerażająca, jak mogłoby się to wydawać. Wiele regulacji zbliżonych do tych, które znajdują się w RODO obowiązuje już teraz na podstawie dotychczasowych przepisów ustawy o ochronie danych osobowych. Ponadto ideą, taką myślą przewodnią RODO, nie jest karanie przedsiębiorców, czy utrudnianie im życia, ale urzeczywistnianie praw osób fizyczny, by (aż zacytuje klasyka) „żyło się lepiej, wszystkim”. Z tego względu przede wszystkim proszę o więcej optymizmu. Odnosząc się już wprost do samego pytania, informuje, że spoczywa na Panu kilka obowiązków w zakresie ochrony danych. Co prawda Pańscy kontrahenci to przedsiębiorcy, ale ich pracownicy (a nawet osoby reprezentujące!), to już osoby fizyczne posiadające dane osobowe, które niewątpliwie są przez Pana przetwarzane. Podstawą do przetwarzania danych osobowych tych osób nie jest ich zgoda, ale Pana uzasadniony interes gospodarczy wynikający z zawartej umowy. Oznacza to, że nie musi Pan ich pytać o wyrażenie zgody na przetwarzanie danych. Nie wyłącza to jednak obowiązku poinformowania o danych administratora oraz o prawach osób fizycznych – art. 14 RODO. Co do samego rejestru przetwarzania, podał Pan za mało informacji, aby dokładnie ocenić, czy w ogóle ma Pan obowiązek jego prowadzenia. Być może przetwarza Pan dane sporadycznie, co eliminuje konieczność sporządzania rejestru. Jednakże, jeśli okaże się konieczne jego przygotowanie, to proszę zauważyć, że powinien podać Pan orientacyjny czas przechowywania danych. Nie musi to być dokładny okres. W związku z tym, że dane gromadzone są w związku z zawarta umową, okres ich przechowywania nie powinien być krótszy niż okres przedawnienia ewentualnych roszczeń z tych umów. W Pana wypadku proszę o podanie zatem racjonalnego terminu np. 5 lat, ponieważ danych nie należy przetrzymywać „na zapas”.

Odpowiedz

Marcin Kwiecień 16, 2018 o 16:26

Witam, 🙂
Mam takie pytanie. Prowadząc małą firmę wystawiam faktury vat. Tworząc tą tabelę rozumiem że w „Kategoria osób” wpisuję „Klienci” i teraz, czy muszę w tę tabelę wpisać każdego klienta z osobna? Chodzi tu np. „Anna Zal przedsiębiorstwo XYZ, ul. XZ 12…”? i tak dalej… A może wystarczy odnośnik do programu fakturującego gdzie te dane są?
Pozdrawiam

Odpowiedz

Jowita Kania-Stachura Kwiecień 17, 2018 o 09:23

Szanowny Panie!
Prawodawca unijny nie wymaga, aby podawał Pan informacje o tym, kim są Pana klienci, nie musi Pan również tworzyć odnośników do odpowiedniego programu fakturującego. Dla Pańskiego przedsiębiorstwa rejestr czynności przetwarzania może być bardzo prosty, a i tak będzie to wystarczające.

Odpowiedz

Marcin Kwiecień 18, 2018 o 09:37

Dziękuję bardzo. Jeszcze mam pytanie. Czytam na różnych stronach poradniki i często one od siebie się różnią. Zakładając taką sytuacje, dzwoni do mnie klient i chce umówić się na usługę. Zapisując go w kalendarzu, potrzebuję tylko jego nr telefonu oraz markę samochodu lub imię i nazwisko (prowadzę myjnie samochodową).
1. Muszę stosować jakąś formułkę prosząc o dane? (np. Proszę o wyrażenie zgody na przetwarzanie danych w celu wpisania ich do kalendarza.) – dziwnie to brzmi.

Odpowiedz

Jowita Kania-Stachura Kwiecień 19, 2018 o 14:15

Szanowny Panie! Pana pytanie stawia nas w trudnej sytuacji i obnaża słabość postawy związanej ze sztywnym trzymaniem się litery prawa :-). Przestrzegając ściśle przepisów należałoby Panu odpowiedzieć tak: jeśli zbiera Pan te dane w kalendarzu i nie wyrywa kartek po zrealizowaniu usługi to powinien Pan wygłaszać te wszystkie regułki, albo poinformować klienta, że zasady przetwarzania danych są zawarte na Pana stronie internetowej.

Odpowiedz

Beata Maj 25, 2018 o 12:16

Witam. Mam takie pytanie odnośnie prowadzenia rejetru. Mam firmę projektową. Wykonujemy projekty i wystawiamy faktury dla firm , gmin jak i dla osób prywatnych. Jak mam te różne typy kontrahentów wpisywać? Jako kontrahent nazwa firmy? a co z gminą?
Pozdrawiam
Beata

Odpowiedz

Ewelina Czerwiec 22, 2018 o 09:57

Witam, proszę o pomoc w rozwiązaniu problemu- czy Audytor Wewnętrzny zatrudniony w instytucji publicznej również powinien zostać uwzględniony w rejestrze czynności przetwarzania? Wątpliwości mamy z uwagi na to, że Audytor prowadzi czynności doradcze i wspierające dotyczące wyłącznie pracowników i jednostek podległych. Będę wdzięczna za odpowiedź.

Odpowiedz

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez Kania Stachura Toś Kancelaria Radców Prawnych Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest Kania Stachura Toś Kancelaria Radców Prawnych z siedzibą w Krakowie.

Kontakt z Administratorem jest możliwy pod adresem jowita.kania@kancelariakst.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Generalnego Inspektora Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: