RODO: obowiązek rejestrowania czynności przetwarzania
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych wynika z art. 30 ust. 1 RODO. Zadanie to spoczywa na administratorach danych oraz podmiotach przetwarzających dane. Jak należy rozumieć pojęcie "czynności przetwarzania" w kontekście obowiązku prowadzenia takiego rejestru?
- Dorota Kraskowska
- /
- 22 października 2020
Rozporządzenie o ochronie danych osobowych (RODO) nie definiuje wprost pojęcia czynności przetwarzania, ale posługuje się nim w kilku kontekstach, np.
Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach (motyw 32),
Aby stwierdzić, czy czynność przetwarzania można uznać za monitorowanie zachowania osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw (motyw 24).
Z kolei pojęcie przetwarzanie zdefiniowane jest w art. 4 pkt 2 jako “operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.
W kontekście obowiązku określonego w art. 30 ust. 1 RODO należy przyjąć, że czynnościami przetwarzania są zespoły powiązanych ze sobą operacji na danych osobowych, wykonywanych przez jedną lub kilka osób. Operacje te określić można w sposób zbiorczy w związku z celem, w jakim podejmowane są te czynności.
Sprawdź TUTAJ, co powinien zawierać rejestr czynności przetwarzania danych osobowych.
Określona w RODO zawartość rejestru czynności nie wskazuje na obowiązek opisywania każdej poszczególnej operacji wykonywanej na danych osobowych. Rejestr powinien natomiast obejmować opis poszczególnych zespołów operacji powiązanych zbiorczo z realizacją określonego celu przetwarzania.
Przykłady czynności przetwarzania
Rekrutacja pracowników. Celem przetwarzania jest w tym przypadku rekrutacja pracowników na dane stanowisko. Do kategorii osób, których dane dotyczą będą należeć kandydaci do pracy. Kategoriami przetwarzanych danych będą: dane identyfikacyjne kandydatów, dane adresowe, dane o wykształceniu, staż pracy, uprawnienia zawodowe. W przypadku tego procesu, główny cel — czyli rekrutacji pracowników — będzie obejmował kilka szczegółowych operacji, które nie będą wymagały osobnego opisywania w rejestrze czynności. Nie będzie więc konieczności opisywania takich czynności jak np. selekcja kandydatów czy usunięcie danych osobowych kandydatów, którzy ostatecznie nie zostali wybrani.
Zgłoszenie pracowników i ich rodzin do ZUS. Celem przetwarzania jest w tym przypadku zgłoszenia pracownika i członków jego rodziny do ZUS, aktualizacja danych oraz przekazywanie informacji o zwolnieniach. Do kategorii osób, których dane dotyczą będą należeć pracownicy danego zakładu pracy. Kategoriami przetwarzanych danych będą: dane identyfikacyjne, dane adresowe, dane o oddziale NFZ oraz inne dane wymagane w formularzu zgłoszenia ZUS ZUA -zgłoszenie.
Prowadzenie dziennika szkolnego. Celem przetwarzania jest w tym przypadku rejestracja tematów lekcji i ocen uczniów. Do kategorii osób, których dane dotyczą będą należeć uczniowie szkoły, rodzice lub opiekunowie oraz nauczyciele. Kategoriami przetwarzanych danych będą: dane identyfikacyjne ucznia (nazwisko, imiona, data i miejsce urodzenia), adres zamieszkania, dane o rodzicach (imię, nazwisko adres zamieszkania, adresy poczty elektronicznej, numery telefonów), imiona i nazwiska nauczycieli prowadzących zajęcia, plan zajęć, tematy zajęć, obecności i nieobecności uczniów, oceny, klasyfikacyjne z zachowania, świadectwa, arkusze ocen, wyniki egzaminów.
Obsługa umów sprzedaży. Celem przetwarzania jest w tym przypadku obsługa umów sprzedaży określonych produktów i usług. Nie ma konieczności wpisywania do rejestru szczegółowych czynności wykonywanych w ramach tego procesu, np. wydawanie klientom oryginałów faktur, przechowywanie kopii faktur w systemie, czy generowanie pliku JPK-VAT.
Czynności przetwarzania jako zespoły powiązanych ze sobą operacji
W dużych organizacjach o złożonej strukturze organizacyjnej często obszarem kadrowo-płacowym zajmują się dwie oddzielne jednostki. Dział kadr wykonuje takie czynności przetwarzania jak np. ewidencja pracowników, czas ich pracy, szkolenia, urlopy, zwolnienia lekarskie, zgłaszanie pracowników i członków ich rodzin do ZUS. Z kolei dział płac wykonuje czynności przetwarzania takie jak wyliczania wynagrodzeń i ich wypłata, wyliczanie składek na ubezpieczenie emerytalne, rentowe, chorobowe, wypadkowe, przekazywanie do ZUS imiennych raportów miesięcznych o należnych składkach i wypłaconych świadczeniach.
W małych firmach te wszystkie operacje wykonuje zwykle jeden pracownik i dlatego mogą być one pogrupowane inaczej. Operacje wykonywane przy użyciu programów „Kadry i Płace” mogą być ujęte jako jeden proces „Prowadzenie ewidencji pracowników i rozliczeń z pracownikami”, a operacje wykonywane przy użyciu programu „Płatnik” jako „Prowadzenie obsługi ubezpieczeniowej pracowników”.
Na podstawie materiału UODO "Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO".
Ewidencjonowanie wejść i wyjść a obowiązek informacyjny Katarzyna Grum
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?