Pracodawcy muszą prowadzić rejestr czynności przetwarzania
Już dziś (24 maja) upływa termin na dostosowanie prowadzonej działalności do wymogów ochrony danych osobowych wynikających z RODO. Tymczasem Grupa Robocza art. 29 przedstawiła stanowisko, z którego wynika, że praktycznie wszyscy pracodawcy powinni prowadzić rejestr czynności przetwarzania w odniesieniu do danych osobowych pracowników.
Co to jest rejestr czynności przetwarzania?
Przepisy RODO przewidują, że administratorzy mają obowiązek prowadzenia rejestru czynności przetwarzania danych. Rejestr ten pełni funkcję swego rodzaju spisu, w którym administrator umieszcza informacje o tym, czyje dane przetwarza (kategorie osób, których dane dotyczą), jakie to są dane (kategorie danych), w jakim celu je przetwarza, komu je ujawnia (kategorie odbiorców), czy przekazuje je do państw trzecich, jak długo je przechowuje oraz w jaki sposób je zabezpiecza. Analogiczny obowiązek ciąży też na procesorach (podmiotach, którym administratorzy zlecają przetwarzanie danych osobowych), choć zakres informacji zamieszczanych w rejestrze jest trochę inny.
Co mówi RODO na temat obowiązku prowadzenia rejestru?
Motyw 13 oraz art. 30 ust. 5 RODO stanowią, że co do zasady tylko przedsiębiorcy zatrudniający co najmniej 250 osób są zobowiązani do prowadzenia rejestru czynności przetwarzania danych. Na zasadzie wyjątku od powyższej reguły obowiązek taki został także nałożony na przedsiębiorców, którzy zatrudniają mniej niż 250 osób, w sytuacji gdy:
- przedsiębiorca przetwarza dane w taki sposób, że może to powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
- przetwarzanie nie ma charakteru sporadycznego,
- przetwarzanie obejmuje szczególne kategorie danych osobowych (np. dane dotyczące zdrowia, poglądów politycznych itp.) lub dane dotyczące wyroków skazujących i czynów zabronionych.
Powyższe przepisy budziły w praktyce wątpliwości, ale skłaniano się ku stanowisku, że wyjątki, o których mowa powyżej, oznaczają, że przedsiębiorcy zatrudniający mniej niż 250 osób, którzy przetwarzają głównie dane osób zatrudnionych, nie muszą prowadzić rejestru. Uważano bowiem, że przetwarzanie takie będzie miało charakter sporadyczny, a więc jest objęte jednym z wyjątków, o których mowa powyżej.
Co powiedziała na temat rejestru Grupa Robocza art. 29?
Grupa oparła się na literalnym rozumieniu przepisów RODO i doszła do wniosku, że wyjątki od ogólnej zasady (tylko pracodawcy zatrudniający co najmniej 250 osób muszą prowadzić rejestr) mają charakter alternatywny, tzn. że już niespełnienie jednego z nich oznacza obowiązek prowadzenia rejestru.
Grupa stwierdziła także wprost, że jeżeli przedsiębiorca zatrudnia pracowników, to stale – a nie sporadycznie – przetwarza ich dane osobowe. Wyjątek, o którym mowa powyżej (sporadyczne przetwarzanie danych), nie ma więc zastosowania, co w praktyce oznacza, że pracodawca będzie zmuszony do prowadzenia rejestru czynności przetwarzania danych osobowych.
Jednocześnie Grupa stwierdziła, że obowiązek prowadzenia rejestru będzie dotyczył tylko tych kategorii danych, które nie są objęte danym wyjątkiem, a więc danych osobowych osób zatrudnionych przez danego pracodawcę.
Co powinni zrobić pracodawcy?
Pracodawcy powinni opracować rejestr czynności przetwarzania w zakresie dotyczącym osób zatrudnionych. Rejestr taki musi być na bieżąco aktualizowany, wraz z podejmowaniem przez pracodawcę nowych czynności na danych takich osób.
Pracodawcy powinni zastanowić się także, czy pozostałe wyjątki przewidziane w RODO znajdą zastosowanie w ich przypadku. Jeżeli oprócz danych osobowych osób zatrudnionych przetwarzają także informacje dotyczące wyroków skazujących lub czynów zabronionych, albo jeżeli sposób, w jaki przetwarzają dane osobowe innych osób, może powodować ryzyko dla ich praw i wolności, to prowadzony rejestr powinien uwzględniać także operacje dokonywane na danych w tym zakresie.
Jarosław Karlikowski, radca prawny, praktyka prawa pracy kancelarii Wardyński i Wspólnicy