W jakich sytuacjach nie ma obowiązku prowadzenia rejestru czynności przetwarzania? [rodo]

Opublikowano: Opublikowane w

RODO zawładnęło życiem prawno-organizacyjnym wszystkich firm w Polsce. Tymczasem okazuje się, że istnieje wąska grupa przedsiębiorców, których nie dotyczy obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Kim są “szczęśliwcy”, których omija rozporządzenie? W jakich sytuacjach nie ma obowiązku prowadzenia rejestru czynności przetwarzania?

 

Istnieje pewna grupa podmiotów, które są zwolnione z prowadzenia rejestru po spełnieniu kilku warunków. Jest to o tyle istotne, iż wśród wielu małych przedsiębiorców i niektórych przedstawicieli instytucji nadal panuje przekonanie, że prowadzenie rejestru w ich organizacjach nie jest konieczne. Niektórzy z nich mają rację. Jednakże aby być zwolnionym, należy spełnić szereg warunków.

Motyw 13. RODO mówi, iż “Z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników”[1]. Aby mieć jasność w zakresie warunków zwolnień, należy uzupełnić powyższy motyw Artykułem 30 ust. 5 RODO, który mówi, iż konieczność prowadzenia rejestru czynności przetwarzania nie ma zastosowania do “przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10”[2].

Wątpliwości dotyczące wyjątków

Niejasna konstrukcja prawna art. 30 ust. 5, sprawiła iż w ostatnim czasie wielu przedsiębiorców występowało z wnioskami do organów nadzorczych, między innymi do GIODO z prośbą o wyjaśnienie zaistniałych wątpliwości oraz wskazanie, w których konkretnie sytuacjach owe zwolnienie z prowadzenia rejestru występuje. Zadania tego podjęła się Grupa Robocza Art. 29[3], która w Stanowisku Grupy Roboczej Artykułu 29 ds. ochrony danych w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust. 5. RODO opublikowanym na stronie GIODO 14 maja br. [4] doprecyzowała, w których sytuacjach nie możemy mówić o zwolnieniu z prowadzenia rejestru.

Są to następujące sytuacje:

– Przetwarzanie, które może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą.

– Przetwarzanie, które nie ma charakteru sporadycznego.

– Przetwarzanie, które obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych[5].

Jak zatem widzimy, stosowanie art. 30 ust. 5 ma charakter wyjątku i – co najważniejsze – nie ma charakteru bezwzględnego, co oznacza, że w sytuacji zatrudniania przez przedsiębiorcę na przykład zaledwie 10 osób, ale regularnego przetwarzania danych, nie będzie miało miejsca zwolnienie z prowadzenia rejestru. Zresztą jednoznacznie takie podejście potwierdziła Grupa Robocza stwierdzając (GR Art. 29): “brzmienie artykułu 30 ust. 5 jasno przewiduje, że trzy rodzaje przetwarzania, do których wyjątek nie ma zastosowania, mają charakter alternatywny (“lub”) i wystąpienie któregokolwiek z nich samodzielnie wywołuje obowiązek prowadzenia rejestru czynności przetwarzania”[6]. Taki sposób interpretacji sprawia, że słowo “lub” ma tutaj kolosalne znaczenie.

A co jeśli? Czyli przykład “z życia wzięty”

Pan Iksiński zatrudnia dwóch pracowników i jednocześnie przetwarza dane regularnie. Natomiast Pan Kowalski przetwarza dane nieregularnie, ale za to w warunkach wysokiego ryzyka ujawnienia danych klientów. Firma którego z nich będzie podlegać obowiązkowi prowadzenia rejestru? Obie! Dlaczego? W każdej sytuacji regularnego przetwarzania danych osobowych lub wysokiego ryzyka, a także przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących, o których mowa w art. 10, obliguje do prowadzenia rejestru czynności przetwarzania.

Z powyższego wynika, że nawet mikroorganizacja, zatrudniająca kilku pracowników i przetwarzająca regularnie dane (operacje nie mające charakteru “sporadycznego”), prowadzi rejestr w zakresie regularnych operacji przetwarzania, nie mając konieczności wprowadzania do rejestru operacji mających sensu stricto charakter sporadyczny[7]. Najważniejszy zawsze jest kontekst.

Niemniej jednak, pewnym pocieszeniem dla administratorów może być w tej sytuacji fakt, iż muszą prowadzić rejestr czynności przetwarzania jedynie w zakresie przetwarzania wskazanego w art. 30 ust. 5, co znacząco zmniejsza objętość rejestru.

Pomimo, iż prowadzenie rejestru jest nowym wymogiem administracyjnym dla przedsiębiorców i szeroko pojętych administratorów, jego prowadzenie nie powinno sprawiać większych trudności, a ponadto stanowi bardzo pomocne narzędzie w zakresie analizy operacji przetwarzania. W szczególności zaś ich konsekwencji. Warto mieć także na uwadze fakt, że wnioski powinny być wyciągane zarówno wobec przetwarzania już zaistniałego, jak i tego, które nastąpi w przyszłości. Dzięki rejestrowi łatwiej o rzeczywistą ocenę ryzyka naruszenia praw osób fizycznych, co pozwala wdrożyć adekwatne środki zabezpieczeń oraz zoptymalizować procedury pod kątem rzeczywistej ochrony danych osobowych i minimalizacji ewentualnego wycieku danych.

Resume

Podsumowując, prowadzenie rejestru czynności przetwarzania, w zdecydowanej większości przypadków, jest niezbędne. Sam fakt zatrudniania mniej niż 250 pracowników nie ma tu znaczenia. Muszą jeszcze wystąpić inne przesłanki, takie jak chociażby sporadyczność przetwarzania danych, aby możliwym było zastosowanie art. 30 ust. 5 w praktyce. Koniecznym jest prowadzenie szeroko zakrojonej kampanii informacyjnej, skutecznie rozwiewającej wątpliwości związane z interpretacją art. 30 ust. 5 aby powszechność i skuteczność stosowania rejestru była na odpowiednim poziomie.

Adam Parysz

przypisy:

[1] Motyw 13 ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
[2] Art. 30 ust. 5 Rozporządzenia
[3] GRUPA ROBOCZA ARTYKUŁU 29 DS. OCHRONY DANYCH. Niniejsza Grupa Robocza została powołana na mocy art. 29 dyrektywy 95/46/WE. Jest niezależnym europejskim organem doradczym w kwestiach ochrony danych i prywatności. Jego zadania zostały opisane w art. 30 dyrektywy 95/46/WE i art. 15 dyrektywy 2002/58/WE.
[4] https://www.giodo.gov.pl/pl/1520281/10493
[5] STANOWISKO GRUPY ROBOCZEJ ARTYKUŁU 29 DS. OCHRONY DANYCH w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust. 5 RODO
[6] Tamże.
[7] Pogląd taki wyraziła Grupa Robocza Art. 29 w STANOWISKU w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust. 5 RODO