Rejestr czynności przetwarzania danych osobowych zastąpi rejestrację zbiorów w GIODO
12/03/2018
Obowiązek rejestracji zbiorów wprowadzony przez ustawę o ochronie danych na podstawie poprzednio obowiązującej dyrektywy 95/46/WE nie sprawdził się ani w Polsce ani w innych państwach członkowskich (zbiory często nie były zgłaszane, nie wspominając już o notyfikacji zmian). W związku z tym ogólne rozporządzenie o ochronie danych tzw. RODO w miejsce obowiązku zgłaszania zbiorów do organu nadzoru ustanawia obowiązek prowadzenia przez administratora i podmiot przetwarzający wewnętrznego rejestru czynności przetwarzania.
W przypadku przetwarzania danych przez administratora prowadzi on rejestr czynności przetwarzania danych osobowych (art. 30 ust 1 RODO), natomiast podmiot przetwarzający prowadzi rejestr kategorii czynności przetwarzania (art. 30 ust. 2 RODO).
A zatem rejestr czynności ma charakter dokumentu wewnętrznego, który nie będzie podlegał notyfikacji. Nie oznacza to jednak, że dokument ten ma charakter wyłącznie roboczy i wewnętrzny. Rejestr czynności przetwarzania należy bowiem przekazać organowi nadzorczemu na jego żądanie. Związek z organem nadzorczym w tej kwestii nie jest zatem całkowicie zerwany a zmieniony zgodnie z ideą RODO na większą kontrolę ex-post niż interwencję przed.
Czy rejestr czynności przetwarzania do to samo co rejestr zbiorów?
Aktualnie obowiązująca ustawa o ochronie danych osobowych wprowadza obowiązek rejestracji zbiorów danych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych.
Zgodnie z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 r. administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust.1 i 1a ww. ustawy. Stosownie do art. 42 ustawy o ochronie danych osobowych Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych, które zostały przez niego zarejestrowane (dotyczy to zbiorów zgłoszonych przez wszystkich administratorów danych).
Ustawa nie nakazuje zatem wprost prowadzenia rejestru zbiorów danych przez każdego administratora danych. O rejestrze zbiorów mowa natomiast art. 36 ust. 2 pkt 2) ustawy tj. w przypadku powołania administratora bezpieczeństwa administracji, który zobowiązany jest do prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.
Jak sama nazwa wskazuje obowiązująca ustawa o ochronie danych osobowych mówi o rejestrze zbiorów danych osobowych natomiast RODO o rejestrze czynności przetwarzania danych osobowych. Czy to to samo?
Aby odpowiedzieć na to pytanie koniecznym jest ustalenie czym jest „czynność przetwarzania”. Rozporządzenie o ochronie danych nie wprowadza definicji czynności przetwarzania. Szersze rozważania na ten temat pojęcia czynności przetwarzania znajdziemy w publikacji „Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz” (P. Litwiński (red.),Warszawa 2018, Legalis):„W tym kontekście powstaje jednak pytanie o to, jak należy rozumieć pojęcie "czynności" przetwarzania danych. Pierwsza z możliwych interpretacji pozwala na uznanie, że czynność to konkretne działania podejmowane na danych w ramach każdego z celów. Jeżeli celem byłoby więc przesyłanie informacji handlowej drogą elektroniczną, to czynnością przetwarzania byłoby pozyskiwanie, odczytywanie, utrwalanie, przesyłanie oraz modyfikowanie danych osobowych w tym celu. W tym zakresie można by uznać, że w ramach każdego z celów przetwarzania danych mamy najczęściej do czynienia z co najmniej dwoma czynnościami, jak pozyskanie oraz odczytanie danych osobowych. Inaczej trudno byłoby w ogóle mówić o ich przetwarzaniu. Druga z możliwych dróg interpretacji przemawia za postawieniem znaku równości pomiędzy terminem "czynności przetwarzania" a "cel przetwarzania". W tym zakresie wykładnia pojęcia czynność zbliżałaby się do wykładni pojęcia zbioru, gdyż w praktyce obecnie zbiory wyodrębniane są w oparciu o kryterium celu przetwarzania danych osobowych. W motywie 23 preambuły do RODO wskazuje się, że "czynności przetwarzania wiążą się z oferowaniem takim osobom towarów lub usług", z kolei w motywie 24, że "czynność przetwarzania można uznać za "monitorowanie zachowania" osób". Powyższe przemawiałoby za opowiedzeniem się za drugim z możliwych sposobów wykładni.”
Autorzy zwracają uwagę, iż „Definicji "czynności przetwarzania" nie wprowadza również wydana przez belgijski urząd ochrony danych osobowych (Komisja ds. Prywatności) rekomendacja Nr 06/2017 z 14.6.2017 r. Recommandation n° 06/2017 du 14 juin 2017, choć jak wynika z lektury tego dokumentu belgijski organ ochrony danych przychyla się więc w swojej rekomendacji do pierwszego z możliwych kierunków wykładni i łączy pojęcie czynności z konkretnymi działaniami, prowadzonymi w ramach każdego z celów.
Ponadto zdaniem autorów „dokonując wykładni pojęcia "czynności przetwarzania" należy posłużyć się również terminologią wykorzystywaną obecnie w dyrektywie 95/46/WE. Tam również zwrot "czynności przetwarzania" został wykorzystany. I tak, zgodnie z motywem 38 preambuły do dyrektywy, "jeżeli przetwarzanie danych ma być rzetelne, osoba, której dane dotyczą, musi mieć możliwość dotarcia do informacji o wystąpieniu czynności przetwarzania danych". Obowiązek, o którym mowa w rzeczonym motywie implementowany, został w art. 24 i 25 OchrDanychU, w świetle których administrator zobowiązany jest poinformować osobę, której dane dotyczą, w szczególności o celu przetwarzania danych. Pojęcie czynności zestawione zostało przez ustawodawcę krajowego z celem przetwarzania danych, co stanowi dodatkowy argument przemawiający za przyjęciem pierwszego z wskazanych kierunków wykładni. Rozporządzenie pozwala również na wyodrębnienie pojęcia "czynności głównych" oraz "czynności pobocznych" przetwarzania danych, nie wskazując jednak, które z nich objęte są obowiązkiem rejestracyjnym. Motyw 97 preambuły do RODO wskazuje bowiem, że "w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności". Czynności mogą mieć również charakter czysto osobisty, domowy bądź związany z prowadzoną działalnością gospodarczą (art. 2 RODO)."
Na zakończenie autorzy Komentarza podsumowują, iż ”Ogólne rozporządzenie o ochronie danych nie zawiera więc wytycznych, pozwalających na zbudowanie konstrukcji "czynności przetwarzania danych osobowych".
W naszej opinii należy nadto zwrócić uwagę na to, iż rozporządzenie o ochronie danych wprowadza definicję zbioru danych i definicją tą nie posługuje się w kontekście rejestru czynności - co przemawiałoby za rozdzieleniem tych dwóch terminów.
Jednocześnie mając na uwadze liczne kontrowersje, które pojawiały się w obrębie dotychczasowej wykładni pojęcia „zbioru danych” i tego co jest zbiorem, a co nie jest, w odniesieniu do tego czy jeden cel zawsze równa się jeden zbiór, w szczególności jeżeli cele zostały określone bardzo szczegółowo poprzez wskazanie czynności – w praktyce możliwe jest, iż pojęcia zbioru i czynności przetwarzania mogą się zbliżać.
A zatem kwestia tego co oznacza i jak należy interpretować czynność przetwarzania, pozostaje otwarta i pewno niezbędna będzie tu wykładnia sądowa bądź też wytyczne organów.
Zarazem koniecznym jest także spojrzenie na oba terminy od strony zawartości rejestru czynności przetwarzania danych osobowych. Podkreślić należy, iż zarówno w odniesieniu do rejestru zbiorów oraz rejestru czynności przetwarzania przepisy prawa szczegółowo wymieniają zakresy tj. co odnotowywać. Jak wynika z zestawienia obu regulacji w dużej części elementy wymienione w obu rejestrach się pokrywają. Jednocześnie - będziemy o tym jeszcze pisać – czasem zdarzy się również tak, iż z uwagi na odmienność terminologii w starych (ustawie o ochronie danych) i nowych (RODO) przepisach będzie to tylko pozorna tożsamość.
Mając powyższe na uwadze warto także pamiętać o nadal aktualnym na podstawie Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych - obowiązku opracowania polityki bezpieczeństwa, a w niej min. wykazu zbiorów, który to dokument może być również przydatny przy opracowywaniu rejestru.
O tym, czy możliwe jest i w jakim zakresie wykorzystanie do prowadzenia rejestru czynności informacji zgromadzonych we wnioskach rejestracyjnych wysyłanych do GIODO, w rejestrze zbiorów prowadzonym przez administratora bezpieczeństwa informacji czy wykazie zbiorów zawartym w polityce bezpieczeństwa napiszemy w kolejnych artykułach gdzie zajmiemy się szczegółowo tematyką zawartości rejestru czynności przetwarzania. Tak jak już wskazaliśmy powyżej mimo, że RODO wymienia szczegółowy zakres rejestru to niestety pojęcia jakie są stosowane rodzą wiele wątpliwości co do tego co właściwie powinno być odnotowywane i w jaki sposób. Opracujemy również wzór rejestru czynności przetwarzania danych osobowych i wzór rejestru kategorii czynności przetwarzania. Ponadto poruszymy również kwestię formy prowadzenia rejestru czynności przetwarzania.
Na zakończenie wskazujemy, iż w odniesieniu do obowiązku rejestracji zbiorów istniały liczne wyjątki, które zwalniały z realizacji tego obowiązku w odniesieniu do poszczególnych zbiorów. W przypadku rejestru czynności przetwarzania zwolnienie z obowiązku prowadzenia rejestru ma charakter podmiotowo-przedmiotowy tj. obowiązek prowadzenia rejestru czynności przetwarzania przez administratora (lub jego przedstawiciela) i rejestr kategorii czynności przetwarzania przez podmiot przetwarzający (lub jego przedstawiciela) nie dotyczy przedsiębiorców lub podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Julia Kamińska-Kasjaniuk
radca prawny