Obowiązek rejestracji zbiorów danych osobowych a RODO

Przepisy uchylonej ustawy o ochronie danych osobowych z 29 sierpnia 1997 roku przewidywały obowiązek zgłaszania zbiorów danych osobowych do rejestracji organowi nadzorczemu. Obowiązek ten został zniesiony 25 maja 2018 roku wraz z rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych (RODO). Pomimo tego, że obowiązek zgłaszania zbiorów do rejestracji organowi nadzorczemu został zniesiony już ponad 6 lat temu, nadal zdarzają się pytania klientów dotyczące „zgłaszania zbiorów do GIODO”.

Fenomen „zgłaszania zbiorów do GIODO”

Żaden z obowiązków związanych z zapewnieniem zgodnego z prawem przetwarzania danych osobowych na przestrzeni 20 lat  obowiązywania pierwszej ustawy o ochronie danych osobowych nie wyrył się chyba tak w społecznej świadomości, jak obowiązek „zgłaszania zbiorów do GIODO”.  Przepisy uchylonej ustawy o ochronie danych osobowych z 29 sierpnia 1997 roku przewidywały rzecz jasna cały szereg innych, istotniejszych obowiązków prawnych związanych z przetwarzaniem danych osobowych, jednak w świadomości wielu osób to właśnie zgłoszenie zbioru danych osobowych do GIODO nabierało wręcz magicznego znaczenia.

Niektórym administratorom danych wydawało się bowiem, że w przypadku zarejestrowania zbioru w GIODO nie muszą już nic więcej robić, bo organ rejestrując zbiór w jawnym rejestrze, potwierdzał w ich mniemaniu legalność przetwarzania danych osobowych. Stąd też być może wynikać osobliwa „tęsknota” za zgłaszaniem zbiorów do rejestracji i pojawiające się nadal (w 2024 roku!) pytania klientów, czy aby nie należy zgłosić do rejestracji zbioru danych osobowych. W końcu jak zgłosimy zbiór do rejestracji, to już przetwarzanie danych będzie „zatwierdzone” i „legalne”.

Takie podejście oczywiście nie znajdowało uzasadnienia w obowiązujących poprzednio przepisach. W toku procesu rejestracji organ nie miał możliwości szczegółowego skontrolowania zgodności z prawem przetwarzania danych osobowych, a sama dokonanie rejestracji zbioru było czynnością o charakterze materialno-technicznym, a nie aktem administracyjnym (decyzją).

Tym samym zgłoszenie zbioru do rejestracji mówiąc potocznie „nie załatwiało sprawy”, ponieważ na administratorze danych nadal spoczywał szereg obowiązków prawnych, takich jak realizacja obowiązku informacyjnego, czy zapewnienie odpowiednich środków technicznych i organizacyjnych służących ochronie danych osobowych.

Dlaczego RODO zniosło obowiązek rejestracji zbiorów danych osobowych?

W motywie 89 RODO wskazano, że dyrektywa 95/46/WE przewidywała ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych. Trafnie przy tym zauważono, że obowiązek ten powodując jednak obciążenia administracyjne i finansowe, nie zawsze przyczyniał się do poprawy ochrony danych osobowych. Dlatego uznano, że należy znieść te powszechne, ogólne obowiązki zawiadamiania i zastąpić je skutecznymi procedurami i mechanizmami koncentrującymi się w zamian na tych rodzajach operacji przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Dlaczego RODO zniosło obowiązek rejestracji zbiorów danych osobowych

Rejestrowanie czynności przetwarzania

W przepisach RODO nie przewidziano obowiązku zgłaszania zbiorów danych osobowych do rejestracji organowi nadzorczemu. Przepisy RODO przewidują natomiast obowiązek prowadzenia rejestru czynności przetwarzania (art. 30 RODO). Rejestr czynności przetwarzania ma charakter wewnętrzny, jednak powinien być udostępniany na żądanie organu nadzorczego (np. w razie kontroli).

Obowiązek prowadzenia rejestru czynności przetwarzania w pewnym sensie zastępuje więc wcześniejszy obowiązek zgłaszania zbiorów do rejestracji. Warto przy tym zauważyć, że w latach 2015-2018 istniała alternatywa wobec zgłaszania zbiorów do rejestracji GIODO. Administratorzy danych, którzy posiadali Administratora Bezpieczeństwa Informacji (odpowiednika obecnego Inspektora Ochrony Danych), nie musieli zgłaszać większości zbiorów danych osobowych do GIODO (poza pewnymi wyjątkami). Alternatywą było wówczas prowadzenie rejestru zbiorów danych przez Administratora Bezpieczeństwa Informacji.

Jak już zostało wspomniane wyżej, wszelkie obowiązki związane z rejestrowaniem zbiorów w GIODO zostały zniesione wraz z rozpoczęciem stosowania przepisów RODO. Dotyczy to także prowadzenia przez Administratora Bezpieczeństwa Informacji (którego zastąpił Inspektor Ochrony danych) wewnętrznego rejestru zbiorów danych osobowych.

Brak obowiązku zgłaszania zbiorów do rejestru GIODO i/lub prowadzenia wewnętrznego rejestru zbiorów danych osobowych nie oznacza tym samym braku jakichkolwiek obowiązków związanych z obowiązkiem usystematyzowania i opisania realizowanych przez administratora danych procesów przetwarzania danych osobowych. W wewnętrznym rejestrze czynności przetwarzania danych powinny znaleźć się wszystkie określone w art. 30 ust. 1 RODO informacje, tj.:

  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora danych oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.

Czynność przetwarzania danych a zbiór danych osobowych

Pojęcie zbioru danych osobowych zdefiniowane jest w art. 4 pkt 6 RODO. Zbiór danych zgodnie z tym przepisem oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany czy rozproszony funkcjonalnie lub geograficznie. Definicja te jest zatem bardzo podobna do definicji zbioru danych, jaka znajdowała się w uchylonej ustawie o ochronie danych osobowych z 1997 roku. W przepisach RODO brak jest natomiast definicji „czynności przetwarzania”, przy czym w kilku przepisach oraz motywach RODO odwołuje się do tego pojęcia.

W poradniku „Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO: wydanym przez Urząd Ochrony Danych Osobowych wskazano, że „W kontekście obowiązku określonego w art. 30 ust. 1 RODO przyjąć należy, że czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.”

Pojęcia czynności przetwarzania oraz zbioru danych osobowych nie są zatem tożsame, jakkolwiek w praktyce czynności przetwarzania mogą pokrywać się ze zbiorami danych osobowych.

Jak trafnie wskazano w przywołanym wyżej poradniku UODO: „Dla większości podmiotów bazą do realizacji obowiązku określonego w art. 30 ust. 1 i 2 RODO będą ewidencje danych osobowych oraz systemów służących do ich przetwarzania prowadzone na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych i przepisów wykonawczych do tej ustawy, w tym przede wszystkim wykazy będące elementami polityki bezpieczeństwa, takie jak lokalne rejestry zbiorów prowadzone przez administratorów bezpieczeństwa danych czy wykazy danych, które są przekazywane między poszczególnymi systemami bądź zbiorami danych. ”

Obowiązek rejestracji zbiorów danych osobowych a RODO – Podsumowanie

Każda organizacja, która przetwarza dane osobowe, w związku z prowadzoną działalnością powinna mieć świadomość, z jakich zbiorów danych osobowych korzysta oraz jakie realizuje procesy/czynności przetwarzania danych osobowych.

Zidentyfikowanie oraz uporządkowanie wszystkich procesów przetwarzania danych osobowych ma bowiem kluczowe znaczenie w kontekście zapewniania zgodności z wymogami wynikającymi z RODO.

Jeśli jesteś zainteresowany wsparciem przy identyfikowaniu procesów/czynności przetwarzania danych osobowych w Twojej organizacji lub wsparciem prawnym w obszarze ochrony danych osobowych, w tym przy tworzeniu lub uzupełnieniu rejestru czynności przetwarzania, zapraszamy do kontaktu.

Zachęcamy także do zapoznania się z naszą ofertą bieżącego wsparcia w obszarze ochrony danych osobowych.