Rejestr czynności przetwarzania danych osobowych
Autor: Ewa Gosiewska
Data: 04.09.2018
Źródło: EG/Kancelaria KONDRAT i Partnerzy
Działy:
Polecamy
Aktualności
Obowiązek prowadzenia tzw. rejestru czynności przetwarzania danych osobowych spoczywa na ściśle określonych w RODO podmiotach. Placówki medyczne muszą być szczególnie uważne. Prawnicy radzą jak to zrobić.
Pytanie:
Jesteśmy średniej wielkości podmiotem prowadzącym działalność w sektorze usług medycznych. Już nie ma jak dotychczas obowiązku zgłaszania zbiorów danych osobowych do GIODO. Czy zamiast tego musimy przygotować rejestr czynności przetwarzania danych osobowych w naszej spółce? Jak się do tego zabrać?
Odpowiedź:
Powinni Państwo przygotować dokument zwany rejestrem czynności przetwarzania danych osobowych w placówce.
Uzasadnienie:
W pierwszej kolejności należy zidentyfikować jakie kategorie danych osobowych są u Państwa przetwarzane. Następnie należy określić podstawę prawną ich przetwarzania. Sugerujemy również kompleksową weryfikację sposobów ich zabezpieczenia. Kolejnym krokiem jest sprawdzenie komu te dane są przekazywane i czy będzie to miało miejsce w państwach spoza obszaru Unii Europejskiej lub do/z organizacji międzynarodowych.
Dopiero po zidentyfikowaniu danych osobowych przetwarzanych w Państwa spółce należy przygotować oraz wdrożyć dokumentację przetwarzania danych osobowych począwszy od dokumentu tzw. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym po ewidencję osób upoważnionych, wzorów upoważnień i umów powierzenia przetwarzania danych osobowych.
Obowiązek prowadzenia tzw. Rejestru czynności przetwarzania danych osobowych (dalej: „Rejestr”) spoczywa na ściśle określonych w RODO podmiotach, m.in. zatrudniających ponad 250 pracowników, ale także takich, które przetwarzają dane osobowe szczególnej kategorii, a takimi są przetwarzane w Państwa placówce dane osobowe (wrażliwe) dotyczące stanu zdrowia pacjentów.
Rejestr służy do udowodnienia zachowania zgodności przetwarzania danych osobowych z wytycznymi RODO. Umożliwia również inwentaryzację zasobów przetwarzanych danych, a także ułatwia weryfikację realizacji obowiązków wynikających z przepisów o ochronie danych osobowych. Rejestr może być prowadzony w formie pisemnej lub elektronicznej, np. arkuszu programu Excel.
Obowiązujące przepisy wskazują tylko minimalny zakres informacji, jakie powinny zostać zawarte w Rejestrze. W przypadku administratorów danych, a takim jest Państwa placówka, w rejestrze muszą się znaleźć:
1) informacje pozwalające na identyfikację i nawiązanie kontaktu: Państwa nazwa oraz dane kontaktowe, a także wszelkich współadministratorów, a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
2) cele przetwarzania;
3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
5) gdy ma to zastosowanie, informacje dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
6) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
7) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (m.in. dotyczących pseudonimizacji i szyfrowania danych, zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych).
Jednak nic nie stoi na przeszkodzie, aby szerzej opisać czynności przetwarzania w Rejestrze, jeśli pozwoli to kompleksowo sklasyfikować operacje przetwarzania danych i ułatwi pracę inspektorowi ochrony danych, np. w rubryce inne można wskazać czy placówka dostosowała się do obowiązujących kodeksów branżowych albo czy posiada certyfikat zgodności z RODO.
Zasygnalizować należy, że na żądanie Prezesa Urzędu Ochrony Danych Osobowych (dalej: „PUODO”) mają Państwo jako obowiązek przedstawić kontrolnie ten dokument do wglądu. Najistotniejsze jest, aby byli Państwo w stanie udowodnić przestrzeganie poszczególnych wymogów z RODO oraz dołożenie należytej staranności w celu zapewnienia ochrony danych, które są u Państwa przetwarzane. Zwracamy bowiem uwagę, że niedopełnienie obowiązku prowadzenia Rejestru może pociągać za sobą negatywne konsekwencje w postaci nałożenia przez PUODO administracyjnej kary pieniężnej.
Podstawa prawna:
Motyw 82 preambuły; art. 30; art. 36 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Autorzy:
Sławomir Molęda, Partner, Kancelaria KONDRAT i Partnerzy
Natalia Dyda, Radca prawny, Kancelaria KONDRAT i Partnerzy
Kancelaria KONDRAT i Partnerzy biuro@kondrat.pl
Jesteśmy średniej wielkości podmiotem prowadzącym działalność w sektorze usług medycznych. Już nie ma jak dotychczas obowiązku zgłaszania zbiorów danych osobowych do GIODO. Czy zamiast tego musimy przygotować rejestr czynności przetwarzania danych osobowych w naszej spółce? Jak się do tego zabrać?
Odpowiedź:
Powinni Państwo przygotować dokument zwany rejestrem czynności przetwarzania danych osobowych w placówce.
Uzasadnienie:
W pierwszej kolejności należy zidentyfikować jakie kategorie danych osobowych są u Państwa przetwarzane. Następnie należy określić podstawę prawną ich przetwarzania. Sugerujemy również kompleksową weryfikację sposobów ich zabezpieczenia. Kolejnym krokiem jest sprawdzenie komu te dane są przekazywane i czy będzie to miało miejsce w państwach spoza obszaru Unii Europejskiej lub do/z organizacji międzynarodowych.
Dopiero po zidentyfikowaniu danych osobowych przetwarzanych w Państwa spółce należy przygotować oraz wdrożyć dokumentację przetwarzania danych osobowych począwszy od dokumentu tzw. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym po ewidencję osób upoważnionych, wzorów upoważnień i umów powierzenia przetwarzania danych osobowych.
Obowiązek prowadzenia tzw. Rejestru czynności przetwarzania danych osobowych (dalej: „Rejestr”) spoczywa na ściśle określonych w RODO podmiotach, m.in. zatrudniających ponad 250 pracowników, ale także takich, które przetwarzają dane osobowe szczególnej kategorii, a takimi są przetwarzane w Państwa placówce dane osobowe (wrażliwe) dotyczące stanu zdrowia pacjentów.
Rejestr służy do udowodnienia zachowania zgodności przetwarzania danych osobowych z wytycznymi RODO. Umożliwia również inwentaryzację zasobów przetwarzanych danych, a także ułatwia weryfikację realizacji obowiązków wynikających z przepisów o ochronie danych osobowych. Rejestr może być prowadzony w formie pisemnej lub elektronicznej, np. arkuszu programu Excel.
Obowiązujące przepisy wskazują tylko minimalny zakres informacji, jakie powinny zostać zawarte w Rejestrze. W przypadku administratorów danych, a takim jest Państwa placówka, w rejestrze muszą się znaleźć:
1) informacje pozwalające na identyfikację i nawiązanie kontaktu: Państwa nazwa oraz dane kontaktowe, a także wszelkich współadministratorów, a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
2) cele przetwarzania;
3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
5) gdy ma to zastosowanie, informacje dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
6) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
7) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (m.in. dotyczących pseudonimizacji i szyfrowania danych, zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych).
Jednak nic nie stoi na przeszkodzie, aby szerzej opisać czynności przetwarzania w Rejestrze, jeśli pozwoli to kompleksowo sklasyfikować operacje przetwarzania danych i ułatwi pracę inspektorowi ochrony danych, np. w rubryce inne można wskazać czy placówka dostosowała się do obowiązujących kodeksów branżowych albo czy posiada certyfikat zgodności z RODO.
Zasygnalizować należy, że na żądanie Prezesa Urzędu Ochrony Danych Osobowych (dalej: „PUODO”) mają Państwo jako obowiązek przedstawić kontrolnie ten dokument do wglądu. Najistotniejsze jest, aby byli Państwo w stanie udowodnić przestrzeganie poszczególnych wymogów z RODO oraz dołożenie należytej staranności w celu zapewnienia ochrony danych, które są u Państwa przetwarzane. Zwracamy bowiem uwagę, że niedopełnienie obowiązku prowadzenia Rejestru może pociągać za sobą negatywne konsekwencje w postaci nałożenia przez PUODO administracyjnej kary pieniężnej.
Podstawa prawna:
Motyw 82 preambuły; art. 30; art. 36 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Autorzy:
Sławomir Molęda, Partner, Kancelaria KONDRAT i Partnerzy
Natalia Dyda, Radca prawny, Kancelaria KONDRAT i Partnerzy
Kancelaria KONDRAT i Partnerzy biuro@kondrat.pl