Prawo i podatki

Dokumentacja RODO – Część I: Klasyfikacja obowiązkowych i zalecanych dokumentów; Rejestr czynności przetwarzania danych (RCPD) oraz Rejestr kategorii czynności przetwarzania

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

W poprzednim artykule przedstawione zostały podstawy odpowiedzialności prawnej z tytułu naruszenia ochrony danych osobowych oraz sposoby jej egzekwowania. W niniejszej analizie zostanie poruszona problematyka dokumentacji, którą każda organizacja przetwarzająca dane osobowe powinna wdrożyć i posiadać. Jest to tematyka niezwykle istotna, gdyż brak obowiązkowej dokumentacji może prowadzić do nałożenia wysokich kar administracyjnych, o czym już była mowa poprzednio. Jednocześnie, przedstawiany obszar jest dosyć rozległy, dlatego w celu omówienia jego kluczowych kwestii koniecznym będzie podzielenie go na kilka części, w których zostaną pokrótce omówione poszczególne dokumenty, treści jakie powinny być w nich zawarte, formy ich wdrożenia oraz najczęściej pojawiające się błędy, których należy unikać w praktyce stosowania RODO.

Uwagi ogólne o dokumentacji przetwarzania danych osobowych

Należy na wstępie zaznaczyć, iż przedstawienie katalogu dokumentów, które winien posiadać administrator danych osobowych, wcale nie jest zadaniem oczywistym, jak mogłoby się na pierwszy rzut oka wydawać. Wręcz przeciwnie – w różnych organizacjach liczba dokumentów może być odmienna, a mimo to każda z nich może prowadzić dokumentację w całkowitej zgodności z przepisami RODO. Jak wskazuje J. Rzymowski, tych „zjawisk dokumentacyjnych” może być od około 20  do około 40, gdyż wszystko zależy od sposobu liczenia dokumentów oraz tego, czy obowiązki, które należy wykazać są przedstawiane osobnymi dokumentami każdy, czy też grupowane i łączone w ramach dokumentów obejmujących kilka z nich.

Co zatem o dokumentacji mówią przepisy RODO? Tak naprawdę niewiele – dokumenty, które należy posiadać, są przede wszystkim pochodną obowiązków nałożonych przez RODO na administratora. Jednakże przestrzeganie tychże obowiązków to za mało – administrator musi ponadto wykazać, że się z tych obowiązków wywiązuje w określony sposób. Powyższe wynika z brzmienia przepisu art. 24 ust. 1 zdanie pierwsze RODO, który stanowi: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.”. Zatem obowiązek posiadania dokumentacji nie wynika (co do zasady) wprost z przepisów RODO, gdyż rozporządzenie jest aktem prawnym o charakterze bardzo ogólnym i nie wymienia expressis verbis poszczególnych kategorii dokumentów. Wspomina co prawda o możliwości wprowadzenia polityk ochrony danych (art. 24 ust. 2 RODO), a także obowiązku prowadzenia Rejestru czynności przetwarzania danych (art. 30 ust. 1 RODO) oraz Rejestrze kategorii czynności przetwarzania (art. 30 ust. 2), jednak o innych typach dokumentów prawodawca unijny nie wspomina. Wynikają one więc z łącznego spełnienia przesłanki przestrzegania poszczególnych obowiązków administratora oraz przesłanki możności wykazania tego faktu (np. podczas kontroli UODO).

Idąc dalej, można stwierdzić, że katalog dokumentów może i zapewne będzie wyglądał całkiem inaczej w poszczególnych organizacjach. Istotna nie jest liczba dokumentów, lecz to, czy w dokumentacji administrator wypełnia wszystkie obowiązki nałożone przez RODO. Jednakże w celu uporządkowania niniejszej problematyki, poniżej zostanie przedstawiona propozycja przykładowych dokumentów, wraz z podstawą prawną wyrażającą obowiązki, których dany dokument dotyczy.

Dokumentacja obowiązkowa

Do dokumentów obowiązkowych, które winien posiadać każdy administrator, można zaliczyć:

  1. Rejestr czynności przetwarzania danych (art. 30 ust. 1 RODO);
  2. Rejestr kategorii czynności przetwarzania (art. 30 ust. 2 RODO);
  3. Upoważnienie do przetwarzania danych osobowych (art. 29 i art. 32 ust. 4 RODO);
  4. Polecenie przetwarzania danych osobowych (art. 29 i art. 32 ust. 4 RODO);
  5. Ustanie polecenia przetwarzania danych osobowych (art. 29 i art. 32 ust. 4 RODO);
  6. Wskazanie osób uprawnionych do odwrócenia pseudonimizacji (mot. 29 Preambuły RODO);
  7. Zgoda osoby, której dane dotyczą, na przetwarzanie danych osobowych (art. 6 ust. 1 lit. a) RODO);
  8. Wycofanie zgody na przetwarzanie danych osobowych (art. 7 ust. 3 RODO);
  9. Dokument udostępniania informacji o szczegółach przetwarzania danych osobowych na podstawie art. 13 RODO (art. 13 ust. 1 i 2 RODO);
  10. Dokument udostępniania informacji o szczegółach przetwarzania danych osobowych na podstawie art. 14 RODO (art. 14 ust. 1 i 2 RODO);
  11. Dokument umożliwiający realizację obowiązku wykazania realizacji obowiązku udostępnienia osobie, której dane dotyczą, informacji o szczegółach przetwarzania danych osobowych (art. 15 RODO);
  12. Dokument umożliwiający realizację obowiązku wykazania obowiązku dostarczenia kopii danych (art. 15 ust. 3 w związku z art. 5 ust. 2 RODO);
  13. Dokument umożliwiający realizację prawa żądania sprostowania danych osobowych(art. 16 w związku z art. 5 ust. 2 RODO);
  14. Dokument potwierdzający realizację prawa żądania sprostowania danych osobowych (art. 16 w związku z art. 5 ust. 2 RODO);
  15. Dokument umożliwiający realizację prawa żądania usunięcia danych osobowych (art. 17 ust. 1 w związku z art. 5 ust. 2  RODO);
  16. Dokument potwierdzający realizację prawa żądania usunięcia danych osobowych (art. 17 ust. 2 w związku z art. 5 ust. 2  RODO);
  17. Dokument umożliwiający realizację prawa żądania ograniczenia przetwarzania danych osobowych (art. 18 ust. 1 w związku z art. 4 pkt 3 RODO);
  18. Dokument potwierdzający ograniczenie przetwarzania danych osobowych (art. 18 ust. 2 w związku z art. 4 pkt 3 RODO);
  19. Informacja skierowana do osoby, której dane dotyczą, żądającej ograniczenia danych na mocy art. 18 ust. 1 RODO, o uchyleniu ograniczenia przetwarzania (art. 18 ust. 3 RODO);
  20. Dokument uchylenia ograniczenia przetwarzania (art. 18 ust. 3 RODO);
  21. Dokument umożliwiający wykazanie umożliwienia wniesienia sprzeciwu wobec przetwarzania danych, z przyczyn związanych ze szczególną sytuacją osoby, której dane dotyczą (art. 21 ust. 1 w związku z art. 5 ust. 2 RODO);
  22. Dokument umożliwiający wykazanie realizacji obowiązku przyjęcia sprzeciwu wobec przetwarzania danych, z przyczyn związanych ze szczególną sytuacją osoby, której dane dotyczą (art. 21 ust. 1 w związku z art. 5 ust. 2 RODO);
  23. Sprzeciw wobec przetwarzania danych osobowych w celu marketingowym (art. 21 ust. 2 w związku z art. 5 ust. 2 RODO);
  24. Dokument umożliwiający wykazanie realizacji obowiązku przyjęcia sprzeciwu wobec przetwarzania danych na potrzeby marketingu bezpośredniego (art. 21 ust. 3 w związku z art. 5 ust. 2 RODO);
  25. Dokument umożliwiający wykazanie uwzględnienia ochrony danych  w fazie projektowania – privacy by design (art. 25 ust. 1 RODO);
  26. Dokument umożliwiający wykazanie uwzględnienia ochrony danych w ustawieniach domyślnych – privacy by default (art. 25 ust. 1 RODO);
  27. Dokument oceny ryzyka (art. 32 ust. 1 w związku z art. 32 ust. 2 w związku z art. 5 ust. 2 RODO);
  28. Dokument wdrożenia technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO (art. 32 ust. 1 w związku z art. 24 ust. 1 RODO);
  29. Ocena skutków dla ochrony danych (art. 35 w związku z art. 5 ust. 2 RODO);
  30. Dokument wdrożenia polityki ochrony danych, o której mowa w art. 25 ust. 2 RODO (art. 24 ust. 2 w związku z art. 5 ust. 2 RODO);
  31. Dokumenty związane z naruszeniem ochrony danych osobowych (art. 33 ust. 1 w związku z art. 33 ust. 5 w związku z art. 5 ust. 2  RODO [naruszenia podlegające zgłoszeniu do Prezesa UODO] oraz art. 34 w związku z art. 5 ust. 2 RODO [naruszenia, których skutkiem jest zawiadomienie osoby, której dane dotyczą]);
  32. Obowiązek powiadomienia o sprostowaniu danych osobowych lub o ograniczeniu przetwarzania (art. 19 w związku z art. 5 ust. 2 RODO);
  33. Zasady retencji danych (art. 5 ust. 1 lit. e) RODO).

Dokumentacja zalecana

Jeśli zaś chodzi o dokumentację nieobowiązkową, którą jednak zaleca się również stosować, to można zaliczyć do niej następujące dokumenty:

  1. Polityka ochrony (art. 24 RODO);
  2. Procedura szkoleń (art. 39 RODO);
  3. Procedura audytu wewnętrznego (art. 2 ust. 1, art. 32 ust. 1 lit. d) oraz art. 39 ust. 1 lit. b) RODO);
  4. Kontrola podmiotów przetwarzających (art. 28 ust. 3 lit. h) RODO);
  5. Procedury IT (art. 24 ust. 1 oraz art. 32 ust. 1 RODO)
  6. Materiały informacyjne dla pracowników (art. 39 RODO).

Rejestr czynności przetwarzania danych (RCPD) oraz Rejestr kategorii czynności przetwarzania

Rejestr czynności przetwarzania danych (RCPD) jest jednym z ważniejszych dokumentów obowiązkowych. Świadczy o tym chociażby fakt, iż w przeciwieństwie do pozostałych dokumentów obowiązkowych jest on literalnie wymieniony w rozporządzeniu. Odnosi się on do administratora, zaś podstawę do jego stosowania stanowi art. 30 ust. 1 RODO, zgodnie z którym:

„Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  2. cele przetwarzania;
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.”.

Z kolei obowiązek prowadzenia rejestru kategorii czynności przetwarzania ma zastosowanie do podmiotu przetwarzającego dane i wynika z art. 30 ust. 2 RODO. Wedle tego przepisu:

„Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

  1. imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
  2. kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  3. gdy ma to zastosowanie -przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  4. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.”.

Należy podkreślić, że możliwa jest sytuacja, w której dany przedsiębiorca będzie obowiązany do prowadzenia obu rejestrów. Nastąpi to w przypadku podmiotu przetwarzającego dane przekazywane przez klientów (np. biuro rachunkowe prowadzące obsługę kadrowo-płacową innych podmiotów), będącego jednocześnie administratorem danych (własnych pracowników oraz klientów).

Istotnym jest fakt, iż obowiązek prowadzenia RCPD nie ma charakteru bezwzględnego, bowiem zgodnie z art. 30 ust. 5 RODO, podmiotami zwolnionymi z jego prowadzenia są przedsiębiorcy zatrudniający mniej niż 250 osób, o ile spełniają łącznie 3 przesłanki przewidziane w tej normie. Stosownie do art. 30 ust. 5 RODO, „Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.”. Jeśli chodzi o pierwszą przesłankę („ryzyko naruszenia praw lub wolności osób, których dane dotyczą”), to – jak wskazuje J. Rzymowski – okolicznościami ją uzasadniającymi są:

  • przekazywanie danych osobowych za granicę Polski,
  • przekazywanie danych osobowych za granicę UE,
  • świadczenie usług o charakterze doradztwa podatkowego,
  • świadczenie usług księgowych,
  • świadczenie usług w zakresie ochrony i mienia,
  • świadczenie usług hotelowych,
  • świadczenie usług pośrednictwa pracy,
  • zajmowanie się wywiadem gospodarczym.

Jeśli chodzi o drugą przesłankę („nie ma charakteru sporadycznego”), to jak wskazuje się w doktrynie, jest ona efektem błędu techniki prawodawczej. Każde bowiem przetwarzanie danych ma charakter niesporadyczny, co przy literalnej wykładni tej przesłanki prowadziłoby do dedukcji, iż jeśli ktoś przechowuje dane osobowe, to musi prowadzić odpowiedni rejestr. Takie rozumowanie jest klasycznym przykładem argumentum ad absurdum i podlega odrzuceniu. Przesłankę tę należy więc interpretować łącznie z przesłanką pierwszą, a więc obowiązanymi do prowadzenia rejestru będą podmioty, których przetwarzanie jednocześnie „może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą” oraz „ma charakter niesporadyczny”. Wreszcie, jeśli chodzi o trzecią przesłankę („obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10”), podmiot będzie obowiązany do prowadzenia rejestru jeśli dane, które są przez niego przetwarzane, należą do kategorii tzw. „danych wrażliwych” bądź „danych dotyczących wyroków skazujących i czynów zabronionych”.

Rejestr czynności przetwarzania danych (RCPD) oraz Rejestr kategorii czynności przetwarzania mają – zgodnie z art. 30 ust. 3 RODO – formę pisemną, w tym elektroniczną. Mogą być więc prowadzone w postaci książki czy skoroszytu, jak również dokumentu elektronicznego. Istotne przy tym jest podpisywanie rejestru – w przypadku wersji papierowej będzie to podpis odręczny wraz z datą, natomiast w przypadku wersji elektronicznej koniecznym będzie skorzystanie z kwalifikowanego podpisu elektronicznego (oraz datą jego sporządzenia).

Z praktyki zaobserwowanej dotychczas w literaturze, można stwierdzić, iż do najczęstszych błędów w zakresie prowadzenia powyższych rejestrów należą:

  • brak RCPD (lub rejestru czynności przetwarzania) w sytuacji, kiedy z art. 30 ust. 5 RODO wynika, że administrator (lub podmiot przetwarzający) powinien go mieć,
  • zakładanie, że inny dokument, czy też w ogóle jakikolwiek dokument, może zastąpić RCPD (lub rejestr czynności przetwarzania),
  • niepodpisywanie rejestru,
  • prowadzenie rejestru w postaci elektronicznej nieopatrzonego podpisem elektronicznym kwalifikowanym,
  • opatrywanie rejestru  w postaci elektronicznej pieczęcią elektroniczną, nie zaś podpisem elektronicznym kwalifikowanym,
  • użycie podpisu kwalifikowanego, a następnie dopisywanie czegoś do dokumentu (najlepszym rozwiązaniem jest tu prowadzenie bazy danych, która pozwala na podpisywanie kolejnych wpisów, a nie całego rejestru),
  • nieumieszczenie w rejestrze informacji wymienionych w art. 30 ust. 5 RODO,
  • podpisywanie rejestru prowadzonego w wersji papierowej jedynie na końcu, na końcu skoroszytu, na ostatniej karcie papieru z kart składających się na rejestr – w przypadku aktualizacji rejestru ważność takiego podpisu staje się problematyczna.

Podsumowanie

Posiadanie odpowiednich dokumentów z zakresu przetwarzania danych osobowych jest niezwykle ważnym zagadnieniem, gdyż jest ono skorelowane z obowiązkami administratora danych i podmiotu przetwarzającego, za która ponoszą oni odpowiedzialność prawną. Problematyka dokumentacji RODO jest ponadto niezwykle złożona i rozbudowana, gdyż tzw. „zjawisk dokumentacyjnych” jest stosunkowo dużo, w dodatku każde z nich ma swoją specyfikę wymagającą przynajmniej podstawowego zrozumienia przed dokonaniem wdrożenia. Jednym z istotniejszych dokumentów obowiązkowych są Rejestr czynności przetwarzania danych (RCPD) oraz Rejestr kategorii czynności przetwarzania, chociaż w niektórych sytuacjach administratorzy i podmioty przetwarzające będą zwolnieni z ich prowadzenia. Warto jednak szczegółowo przeanalizować sytuację we własnym przedsiębiorstwie i dokonać przeglądu posiadanej dokumentacji z zakresu RODO, co pozwoli uniknąć niepokoju w przypadku kontroli przeprowadzanej przez UODO.

Źródła:

  • J. Rzymowski, RODO – GDPR. Obowiązkowa dokumentacja przetwarzania danych osobowych z punktu widzenia administratora, Oficyna Wydawnicza „Impuls”, Kraków 2019.
  • W. Szczygielska (red.), Dokumentacja ochrony danych osobowych według RODO, Wyd. Wiedza i Praktyka, Warszawa 2018.
  • T. Osiej, M. Czarnecki, RODO w 15 krokach. Przykłady, wskazówki, wzory, procedury wynikające z RODO, Wyd. C.H. Beck, Warszawa 2018.
  • https://blog-daneosobowe.pl/rodo-dokumentacja-praktyce/
  • https://blog-daneosobowe.pl/rejestr-czynnosci-przetwarzania-rcp/