Rejestr czynności a koronawirus
Firmy, które prawidłowo wprowadziły RODO, powinny posiadać rejestr czynności przetwarzania danych. Czy w związku z epidemią koronawirusa należy ten rejestr zaktualizować?
Czym jest rejestr czynności przetwarzania?
Rejestr czynności przetwarzania danych to podstawowy dokument, bez którego nie da się prawidłowo przeprowadzić wdrożenia RODO w firmie.
Rejestr jest „mapą”, z której powinno wynikać m.in.:
- jakie dane przetwarza firma? czyje to są dane?
- skąd się te dane w firmie biorą? jakimi drogami firma je pozyskuje?
- na jakiej podstawie prawnej i w jakim celu? w jakiej formie?
- co się potem z tymi danymi dzieje? czy wychodzą poza firmę? do jakich podmiotów?
- jak długo Administrator przechowuje dane?
- kto te dane przetwarza (jaki dział? którzy pracownicy? czy zostali do tego upoważnieni?)
- jak administrator zabezpieczył dane i nośniki danych?
Czynności przetwarzania danych osobowych
Stara ustawa o ochronie danych osobowych opierała się na zbiorach danych (np. system CRM jako elektroniczny zbiór danych klientów i potencjalnych klientów, akta pracownicze jako papierowy zbiór danych pracowników).
RODO także posługuje się pojęciem zbioru danych osobowych, ale bardziej koncentruje się na procesie. Nie wystarczy, że firma wie, jakie zbiory danych posiada. Powinna także wiedzieć, co się z danymi z tych zbiorów dalej dzieje. Jakimi kanałami dane pojawiają się w firmie? Przez jakie działy przechodzą? W ręce jakich pracowników trafiają? Czy są przekazywane poza firmę? Jakie czynności przetwarzania danych osobowych firma podejmuje?
Jeśli mamy dość dokładnie rozpisany cały proces, to wiemy, czy:
- administrator przetwarza dane osobowe zgodnie z przepisami,
- jakie potencjalne niebezpieczeństwa grożą danym osobowym,
- jak administrator zabezpiecza dane.
W oparciu o dobrze przygotowany rejestr przetwarzania łatwo jest dokonać analizy ryzyka przetwarzania danych w firmie. A analiza to absolutna konieczność i musi być sporządzona w każdej firmie. Może przekona Was informacja, że UODO kontrolując firmę najpierw pyta o sporządzoną analizę ryzyka. Analiza ryzyka to dość długotrwały proces i sporządzenie jej w prawidłowy sposób zabiera niestety sporo czasu. Im większa firma, tym bardziej rozbudowana analiza. Nie czekajcie więc do ostatniej chwili.
Jeśli nie wiecie, jak sporządzić prawidłowo rejestr czynności przetwarzania lub przeprowadzić analizę ryzyka, skontaktujcie się z nami.
Czy rejestr czynności powinien być aktualizowany?
Tak, rejestr powinien być aktualizowany na bieżąco. To nie może być dokument, który został sporządzony dawno temu, a teraz sobie leży zapomniany w folderze pracownika odpowiedzialnego za ochronę danych osobowych.
Kiedy powinniśmy aktualizować rejestr?
Administrator powinien zaktualizować rejestr w sytuacji, gdy doszło w firmie do zmian w zakresie sposobów przetwarzania danych. Co to oznacza w praktyce?
Przykład nr 1
Wcześniej pracodawca nie przetwarzał danych o stanie zdrowia w tym zakresie ani nie dokonywał czynności, jaką jest mierzenie temperatury.
Należy więc odnotować ten fakt w rejestrze czynności przetwarzania danych, opisując proces i podając informacje przewidziane w art. 30 RODO. Zaznaczam, że aktualizacja rejestru nie jest jedynym obowiązkiem administratora danych w takim przypadku!
Przykład nr 2
W związku z epidemią koronawirusa firma zleciła pracownikom pracę zdalną. Nadal wykonują te same czynności (np. kontaktują się z klientami celem rozpatrzenia reklamacji produktu). Zmieniły się jednak okoliczności przetwarzania danych. Nie robią tego już w biurze, ale u siebie w domu. Zmienił się sposób zabezpieczenia danych, być może zmieniły się pewne procedury i rejestr stał się nieaktualny.
Aktualizując rejestr możemy sprawdzić, czy zmiany w przetwarzaniu danych osobowych są zgodne z RODO.
Podsumowując, sama epidemia nie oznacza automatycznej konieczności aktualizacji rejestru przetwarzania. Bedzie to konieczne, gdy na skutek epidemii koronowirusa dojdzie do zmian w zakresie przetwarzania danych osobowych.
Autor: radca prawny Justyna Lisińska