Kategorie przetwarzań

Wielu administratorów i podmiotów przetwarzających (tzw. procesorów), a także Administratorów Bezpieczeństwa Informacji (przyszłych Inspektorów Ochrony Danych) zastanawia się, co tak naprawdę ma znaleźć się w dokumencie o enigmatycznej nazwie „rejestr czynności przetwarzania”. Skoro nie jest to rejestr, ani wykaz zbiorów danych osobowych, to co to takiego jest? Kolejne wątpliwości dotyczą tego, co powinien zawierać Rejestr prowadzony na podstawie art. 30 ust. 2 RODO przez podmioty przetwarzające. Co kryje się pod pojęciem „kategorie przetwarzań„.

POJĘCIE REJESTRU CZYNNOŚCI (AKTYWNOŚCI) PRZETWARZANIA
Przepisy rozporządzenia (RODO) wprowadzają w art. 30 ust. 1 pojęcie – rejestr czynności przetwarzania. W języku angielskim zostało użyte: „records of processing activities”, co oznacza, że może chodzić raczej o rejestr działań czy aktywności przetwarzania, niż „czynności”, na które wskazuje polskie tłumaczenie. Stanowczo trzeba podkreślić, że „czynności przetwarzania” to nie to samo co „operacje przetwarzania”, co zostało także wskazane w komentarzu 1) pod red. Lubasz i Bielak – Jomaa. Choć nie ma definicji operacji przetwarzania, to jednak podano ich przykłady w art. 4. RODO. Nazwę rejestr „czynności”, można uznać za mało trafną, dlatego proponuję posługiwanie się pojęciem – rejestr aktywności przetwarzania.

ZAWARTOŚĆ REJESTRU I WYRÓŻNIK WPISÓW
Rozporządzenie dość precyzyjnie opisuje co powinno znajdować się w rejestrze prowadzonym przez administratorów. Analizując poszczególne elementy rejestru można dojść do tego, czym tak naprawdę jest ten nowy rejestr. Przenalizujmy więc zawartość rejestru.

  • Punkt a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych. Tu chyba nie ma żadnych wątpliwości, że każda pozycja rejestru będzie taka sama lub prawie taka sama. W końcu chodzi o tego administratora lub współadministratorów. To samo dotyczy oznaczenia inspektora ochrony danych, który dla jednego administratora, (w przypadku wszystkich czynności / aktywności przetwarzania) będzie tą samą osobą.. Dlatego punkt ten nie będzie wyróżnikiem dla kolejnej pozycji w rejestrze.

  • Punkt c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych. Kategorie osób to np. potencjalni klienci, klienci, kandydaci do pracy, pracownicy, osoby poniżesz 18 roku życia, oferenci, dostawcy, zleceniobiorcy itd. W tym punkcie może być dowolna kombinacja osób, których dane są lub mają być przetwarzane w konkretnym celu. Opis kategorii osób, w mojej ocenie, jest dodatkowym kontekstem przetwarzania danych osobowych. Aby móc oceniać zasadność przetwarzania, adekwatności czy minimalizację zakresu do celu lub prawa podmiotów danych, administrator danych powinien wiedzieć czyje dane (jakich osób) przetwarza w konkretnych celach. W związku z powyższym, punkt opisu kategorii danych nie ma znaczenia dla kolejnych wpisów w rejestrze aktywności przetwarzania.

  • Punkt d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych. W tym punkcie raczej też nie ma większych trudności w uzupełnianiu rejestru. Odbiory danych zostali zdefiniowani w art. 4 RODO. Ważnym jest aby zapamiętać, że inne znaczenie odbiorcy danych jest w Ustawie o ochronie danych osobowych z 1997 r. Odbiory danych w rozumieniu RODO to praktycznie każdy, komu udostępnia się dane osobowe z jednym wyjątkiem, a mianowicie organów, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego. W tym miejscu w rejestrze, administrator powinien wpisać takie kategorie jak: podmioty przetwarzające: np. dostawcy usług IT, dostawcy usług rachunkowych, księgowych, kadrowych, audytowych, klienci – spółki kupujący licencje do baz danych, internauci – użytkownicy portalów internetowych należących do administratora, użytkownicy konkretnego portalu społecznościowego itd. I znowu, te same dane można powierzać, ujawniać różnym lub tym samym podmiotom w różnych celach, dlatego punkt „kategorie odbiorców” także nie będzie czynnikiem różniącym poszczególne aktywności przetwarzania w rejestrze.

  • Punkt e) przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej. Dane mogą być przeważane w różnych krajach, w tym po spełnieniu określonych warunków, także w pastwach trzecich. Ciekawostką natomiast jest, że państwo trzecie nie zostało zdefiniowane ani w RODO ani w Dyrektywie 46/95/WE. Rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego2  (Litwiński, Barta, Kawecki s. 629). Skoro przetwarzanie może odbywać się w różnych miejscach, różnych państwach, to te same dane osobowe przetwarzane w tym samym celu mogą być jednocześnie przetwarzane w dowolnej kombinacji państw czy miejsc przetwarzania i nie będzie to miało wpływu na ilość wpisów w rejestrze.

  • Punkt f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych. Okres retencji danych, po którym administrator będzie usuwał dane osobowe będą uzależnione od celów i podstaw prawnych przetwarzania. Dodatkowo jeśli administrator będzie przetwarzać dane osobowe na podstawie zgody podmiotu danych, może ustalić sobie retencję na okres pełnych 5 lat po zakończeniu roku kalendarzowego w którym zabrano dane oraz zgodę. Okres ten może być tożsamy z okresem przechowywania danych przetwarzanych w ramach dowodów księgowych do celów rachunkowych. Dlatego też planowane terminy usunięcia danych nie będą poszukiwanym wyróżnikiem poszczególnych pozycji w rejestrze czynności (aktywności) przetwarzania.

  • Punkt g) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (jeżeli jest to możliwe). W art. 32 RODO administrator może zapoznać się z przykładowymi technicznymi środkami i organizacyjnymi jakie przepisy proponuję, lecz ta lista nie jest listą zamkniętą. Z przepisów dotyczących bezpieczeństwa, administratorzy dowiadują się najważniejszej zasady, że środki te maja być odpowiednie do ryzyka naruszenia praw lub wolności podmiotu. Różne przetwarzanie, może powodować różne ryzyka. Z drugiej strony, nic nie stoi na przeszkodzie aby wszystkie dane osobowe, przetwarzane przez administratora, były zabezpieczone tymi samymi środkami organizacyjnymi i technicznymi. Dlatego też, opis ogólny tych środków nie będzie miał wpływu na ilość pozycji w rejestrze czynności (aktywności) przetwarzania.

  • Punk b) cele przetwarzania. Powody, dla których administrator przetwarza dane osobowe są bardzo różne. Niektóre wynikają wprost z przepisów prawa, a niektóre z decyzji biznesowych czy organizacyjnych (które jednak w każdym przypadku muszą być prawnie uzasadnione). Istotne jest to, że konkretny zakres danych można przetwarzać w konkretnym celu (zasada minimalizacji z art. 5 ust. 1. pkt c). Administrator kierując się zasadą minimalizacji danych, musi przeanalizować, jaki zakres danych będzie adekwatny i minimalny do osiągnięcia konkretnego celu przetwarzania. Po osiągnięciu tego celu, dane stają się zbędne i powinny być usunięte, pod warunkiem że administrator nie przetwarza danych konkretnej osoby jeszcze w innych, prawnie uzasadnionych celach. Na ogół do każdego celu przetwarzania będzie inny zakres danych. Nie jest to zasada wynikająca z rodo, lecz praktyczne spojrzenie na zasadę minimalizacji. Można uznać, że to właśnie cel przetwarzania determinuje zakres danych, jaki może przetwarzać administrator. Przed przystąpieniem do przetwarzania, każdy administrator powinien pierw określić właśnie powód przetwarzania, następnie określić jakie zakres danych będzie mu absolutnie minimalny do osiągnięcia tego celu. Dopiero określenie celu przetwarzania i zakresu danych można oceniać legalności konkretnego zakresu przetwarzania danych. W związku z powyższym rejestrze czynności (aktywności) przetwarzania można nazwać REJESTREM CELÓW PRZETWARZANIA, gdyż to właśnie cele przetwarzania będzie tym czynnikiem, który będzie decydował o tym czy w rejestrze pojawi się nowy wpis. Takie rozumienie rejestru, jako zbioru celów przetwarzania, wpisuje się doskonale w rozumienie aktywności przetwarzania jako listy celów – czyli powodów, dla których administrator podejmuje się aktywności przetwarzania. Każda z takich aktywności przetwarzania jest ukierunkowana na osiągnięcie konkretnego celu i ich kompletną listę będzie można odnaleźć w Rejestrze czynności (aktywności / celów) przetwarzania.

REJESTR PODMIOTU PRZETWARZAJĄCEGO (PROCESORA)
Istnieją dwie istotne różnice pomiędzy rejestrami administratora i procesora. Pierwsza to ta, że w rejestrze czynności (aktywności) przetwarzania dla procesora, nie ma wpisania celów przetwarzania. Cel przetwarzania to atrybut administratora (zgodnie z definicją z art. 4 pkt. 7). Procesor realizujący zlecenie przetwarzania danych osobowych, nie musi się zastanawiać nad celem przetwarzania, gdyż ten jest już znany administratorowi, wskazany w umowie powierzenia, a procesor nie może danych wykorzystać do własnych celów. Drugą różnicą jest wprowadzenie do rejestru czynności (aktywności) procesora pozycji dotyczącej „kategorii przetwarzań” (ang. wersja „the categories of processing”) czego nie ma w rejestrze prowadzonym przez administratora. Te dwie różnice uzasadniają fakt, że rejestr czynności (aktywności) przetwarzania nie może zostać nazwany rejestrem celów przetwarzania.

Odnosząc się do dwóch niedawno wydanych komentarzy do RODO: komentarz pod red. P. Litwińskiego wskazuje, że kategorie przetwarzań to „rodzaj czynności przetwarzania” s. 496; natomiast komentarz pod red. Bielak-Jomaa, Lubasz, wskazuje, że jest to „zbiorcze oznaczenie wielu różnych operacji przetwarzania” (s. 668)3  – za komentarzem niemieckim red. J. Kühling, B. Buchner, C.H. Beck 2017 r.

Komentatorzy nie wyjaśniają do końca, co dokładnie procesor ma wpisać do swojego rejestru, nie podają też przykładów. Nie wiadomo również, co będzie rozróżniać poszczególne wpisy w rejestrze czynności (aktywności) przetwarzania prowadzonym przez procesora. Skoro rejestry te mają pomóc zarówno organom kontrolującym jak i samym administratorom i procesorom, w dokumentowaniu i nadzorowaniu procesów przetwarzania danych osobowych, to z tego punktu widzenia należy próbować zrozumieć, czym tak naprawdę są „kategorie przetwarzań”.

Podmiot przetwarzający otrzymując zlecenie, zazwyczaj (a przynajmniej powinien) umawia się z administratorem na konkretne czynności przetwarzania danych osobowych. Powierzanie przetwarzania danych jest typowym outsourcingiem, czyli zlecaniem procesów podmiotom zewnętrznym, zamiast realizowania tych procesów wewnątrz organizacji za pomocą zatrudnionych w niej pracowników. Outsourcing charakteryzuje się tym, że można dowolnie układać proces od pełnego zlecenia (cały proces od początku do końca jest realizowany przez zleceniobiorcę) po fragmentaryczne zlecenie tylko niewielkiego fragmentu procesu np. jednej operacji. Tak też może być w przypadku powierzenia przetwarzania. To co jest istotne z punku widzenia powierzenia to kwestia, jakie przetwarzanie zostało zlecone procesorowi. Przykładowe czynności powierzone procesorowi mogą wyglądać następująco:

  • wykonanie tysiąca połączeń telefonicznych do klientów administratora, pozyskanie adresu e-mail i wpisanie pozyskanych adresów e-mail do bazy, a następnie zwrócenie całej bazy danych do administratora,
  • przeprowadzenie w imieniu administratora konkursu marketingowego pt. „Doskonały klient w 2017 roku” polegającego na wysłaniu pocztą tradycyjną ankiety, na podstawie bazy dostarczonej przez administratora, zebraniu ankiet, przeanalizowaniu wypełnionych ankiety, wybraniu dziesięciu klientów z największą liczbą uzyskanych punktów zgodnie z regulaminem, przekazaniem nagród za pomocą kuriera, przygotowaniem deklaracji PIT-8C i zwrócenie wszystkich danych i dokumentów do administratora,
  • przeprowadzenie w imieniu administratora konkursu marketingowego „Doskonały klient w 2018 roku” na takich samych zasadach jak w 2017 roku,
  • przeprowadzenie rekrutacji na stanowisko Dyrektora Finansowego w ABCD sp. z o.o.
  • przeprowadzenie rekrutacji na stanowisko Głównego specjalisty ds. umów w ABCD sp. z o.o.
  • przeprowadzenie rekrutacji na 30 wolnych etatów na stanowiska Obchodowych bloków energetycznych w ABCD sp. z o.o.
  • zbieranie, zapisanie w bazie i przechowywanie danych osób korzystających z formularza internetowego na stronie pod adresem www.strona1-www.pl
  • zbieranie, zapisanie w bazie i przechowywanie danych osób korzystających z formularza internetowego na stronie pod adresem www.strona2-www.pl

Każde takie zlecenie – powierzenie przetwarzania – będzie dla procesora właśnie „kategorią przetwarzań”. Można więc próbować powiązać przedmiot umowy powierzenia lub poszczególne zlecenia z kategoriami przetwarzań. Z punktu widzenia administratora zlecającego, jak i procesora przyjmującego zlecenie, istotne będzie pilnowanie tego, co zostało zlecone, jakie procesy lub części procesów przetwarzania zostały powierzone i rejestr czynność (aktywności) przetwarzania będzie w tym bardzo pomocny.

Podsumowując powyższe rozważania, kategorie przetwarzań można rozumieć, jako swoistą kombinację zleconych operacji przetwarzania danych osobowych, osadzonych w pewnym kontekście wynikającym ze zlecenia. O ile rejestr prowadzony przez administratora będzie względnie stały (raczej nie często będą pojawiać się nowe cele przetwarzania danych osobowych), to rejestr podmiotu procesora będzie bardziej dynamiczny. Im więcej procesor będzie zawierał umów powierzenia przetwarzania danych osobowych z różnymi administratorami oraz im więcej zleceń w ramach takich umów będzie przyjmował, tym częściej prowadzony przez niego rejestr czynności (aktywności) przetwarzania będzie wypełniany kolejnymi wpisami.

1) red. E. Bielak-Jomaa, D. Lubasz RODO Ogólne rozporządzenie o ochronie danych. Komentarz, wydanie 1, Wolters Kluwer, Warszawa 2017 r., s. 667

2) Litwiński (red.), Barta, Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Komentarz, wydanie 1, C.H.Beck, Warszawa 2017 r.

3) „wielość działań przetwarzania” sformułowanie użyte w DS-GVO Datenschutz‑Grundverordnung. Kommentar, red. J. Kühling, B. Buchner, C.H. Beck 2017 r.