RODO wskazuje trzy kategorie danych osobowych: dane „zwykłe”, szczególne kategorie danych osobowych oraz dane osobowe dotyczące wyroków skazujących i czynów zabronionych. O ile w RODO nie znajdziemy definicji danych „zwykłych”, możliwe jest wyodrębnienie tej kategorii, poprzez odniesienie się do dwóch pozostałych, opisanych wyraźnie w przepisach rozporządzenia.
Zacznijmy zatem od szczególnych kategorii danych osobowych (art. 9 RODO). Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, genetyczne, biometryczne umożliwiające jednoznaczne zidentyfikowanie osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Jest to katalog zamknięty, a więc żadnych innych danych nie możemy zaliczyć do powyższej kategorii.
Kolejnym rodzajem danych są dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa. Są to więc dane związane z wyrokami karnymi, orzeczeniami o przestępstwach lub wykroczeniach, a także środkami zapobiegawczymi stosowanymi w postępowaniu karnym.
Natomiast wszelkie dane, które nie należą do powyższych kategorii możemy uznać za dane „zwykłe”. Będą to więc podstawowe dane identyfikacyjne (imię, nazwisko, data urodzenia), dane kontaktowe (adres, e-mail, numer telefonu), wizerunek, dane dotyczące wykształcenia, przebiegu pracy, historii zakupów, NIP, PESEL czy numer dokumentu tożsamości itd.
Jak widać, typowy przedsiębiorca ma zazwyczaj do czynienia z danymi „zwykłymi” oraz w ograniczonym zakresie z danymi szczególnych kategorii, przede wszystkim dotyczącymi zdrowia swoich pracowników. Oczywiście prawidłowe rozróżnienie rodzajów danych osobowych ma duże znaczenie praktyczne, gdyż RODO przewiduje różne podstawy prawne przetwarzania danych osobowych poszczególnych kategorii. Jednak bez względu na kategorie, dane takie jak PESEL czy numer dowodu osobistego, mimo że stanowią dane zwykłe, należy chronić w szczególny sposób, gdyż w pewnych sytuacjach ich ujawnienie może prowadzić do o wielu poważniejszych konsekwencji niż ujawnienie określonych informacji o zdrowiu czy poglądach politycznych.
Rejestr czynności przetwarzania to jeden z niewielu dokumentów, o którym RODO mówi wprost. Co do zasady każdy administrator powinien prowadzić tego typu rejestr. Jedynym wyjątkiem jest sytuacja, gdy zatrudnia on mniej niż 250 osób (art. 30 ust. 5 RODO). Jednak nawet w takim przypadku, gdy przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO, konieczne jest posiadanie rejestru. Dlatego należy uznać, że powyższe wyłączenie jest iluzoryczne i będzie miało zastosowanie bardzo rzadko. W związku z tym, typowe przedsiębiorstwa powinny skupić się na stworzeniu poprawnego dokumentu niż szukaniu przyczyn, które mogłyby uzasadniać rezygnację z jego posiadania.
Zgodnie z art. 30 ust. 1 RODO rejestr czynności przetwarzania powinien zawierać:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Jak widać, są to najistotniejsze informacje pozwalające w łatwy i szybki sposób sprawdzić te obszary działalności administratora, które wiążą się z przetwarzaniem danych osobowych. Oczywiście w razie potrzeby rejestr można rozbudować. Uważam, że dobrym rozwiązaniem jest dodanie informacji o podstawach prawnych przetwarzania, podmiotach przetwarzających, pracownikach odpowiedzialnych za określone procesy biznesowe, w których przetwarzane są dane, programach służących do przetwarzania czy sposobach gromadzenia danych.
Sporym ułatwieniem jest możliwość prowadzenia rejestru w formie elektronicznej, o czym mowa w art. 30 ust. 3 RODO. Wydaje się, że najczęściej będzie on przybierał formę arkusza kalkulacyjnego.
Należy pamiętać, że rejestr nie jest dokumentem ogólnodostępnym. Nie trzeba go nigdzie publikować np. na stronie internetowej swojej firmy. Rejestr należy natomiast udostępniać na żądanie organu nadzorczego. Jest to zatem dokument, który ma ułatwić skontrolowanie administratora, ale również pomóc administratorowi w zarządzaniu przetwarzaniem danych osobowych.
Sądzę, że największe wątpliwości dotyczące prowadzenia rejestru będą dotyczyły jego szczegółowości. We wzorze rejestru opublikowanego przez Urząd Ochrony Danych Osobowych (https://uodo.gov.pl/pl/123/214) możemy zauważyć bardzo dokładne rozpisanie celów przetwarzania związanych z zatrudnieniem. Jednak moim zdaniem takie podejście jest zbyt restrykcyjne. Uważam, że wystarczające jest w miarę ogólne określenie celów przetwarzania np. poprzez odniesienie się do zatrudnienia pracowników, zleceniobiorców itp. W przypadku wątpliwości, warto wyodrębnić te czynności, z którymi wiąże się wypełnianie obowiązków informacyjnych określonych w art. 13 RODO. W efekcie typowy rejestr powinien zawierać pozycje takie jak: zatrudnienie pracowników, rekrutacja, prowadzenie księgowości, zawarcie i wykonanie umowy z klientem, zakup towarów/usług od dostawców, ewidencja korespondencji.
Oczywiście dopiero decyzje organów nadzorczych pokażą, jak należy poprawnie konstruować rejestr. Na razie najważniejsze jest to, aby administrator posiadał taki dokument i umieścił w nim najistotniejsze informacje. Lepiej prowadzić w miarę ogólny rejestr, który jesteśmy w stanie na bieżąco aktualizować niż bardzo szczegółowy, do którego strach jest zajrzeć ze względu na jego rozmiary.
Obowiązek informacyjny należy spełnić zarówno w przypadku gromadzenia danych osobowych bezpośrednio od osoby, której dane dotyczą, jak i w przypadku zbierania ich z innych źródeł. Niniejszy wpis dotyczy tej pierwszej sytuacji.
Zgodnie z art. 13 RODO informacje należy przekazać podczas pozyskiwania danych osobowych. Wielu administratorów ma problemy z interpretacją tego ogólnego przepisu. Zasadnicze wątpliwości odnoszą się do czasu i sposobu udostępniania informacji. Dlatego poniżej prezentuję najważniejsze wskazówki dotyczące spełniania obowiązku informacyjnego.
- Należy starać się, aby informacje przekazać przed zgromadzeniem danych osobowych. Osoba powinna mieć możliwość zapoznania się z informacjami, aby podjąć decyzję, czy chce przekazać swoje dane osobowe. Oczywiście w praktyce nie zawsze będzie to możliwe. Ponadto w niektórych sytuacjach podanie danych jest obowiązkiem, więc zapoznanie się z informacjami na temat przetwarzania danych osobowych i tak nie będzie miało wpływu na decyzję, co do przekazania danych.
- Forma spełnienia obowiązku informacyjnego jest dowolna. Informacje można udostępnić ustnie, w formie papierowej lub elektronicznej. RODO dopuszcza również możliwość skorzystania ze znaków graficznych, które „w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania”.
- Nie jest konieczne zamieszczanie wszystkich informacji w jednym miejscu. Oznacza to, że np. na stronie internetowej służącej do zamówienia newslettera można opublikować część najważniejszych informacji wraz z linkiem do strony, na której dostępna jest pełna treść obowiązku informacyjnego. To rozwiązanie można wykorzystać również w przypadku przekazywania informacji w formie papierowej czy ustnej. Konieczne jest jednak uwzględnienie wszystkich okoliczności, w jakich zbierane są dane osobowe. Odradzałbym np. odsyłanie do strony internetowej zawierającej wszystkie informacje określone w art. 13 RODO, gdy dochodzi do gromadzenia danych osobowych w formie papierowej (i na odwrót). Warto również wziąć pod uwagę, czyje dane gromadzimy. Osoby starsze mogą mieć problemy z zapoznaniem się z informacjami przekazywanymi w sposób interaktywny lub dostępnymi jedynie w internecie.
- Nie ma obowiązku potwierdzania, że osoba zapoznała się z informacjami. Tym bardziej nie jest wskazane gromadzenie oświadczeń o otrzymaniu informacji, gdyż może prowadzić to do nadmiarowego zbierania danych osobowych.
Oczywiście istnieje wiele sytuacji, w których przekazanie informacji podczas pozyskiwania danych może być bardzo trudne. Klasycznym przykładem jest gromadzenie danych przez telefon. Trudno sobie wyobrazić, aby np. fryzjer był w stanie spełnić obowiązek z art. 13 RODO podczas zapisywania klienta na wizytę. W takim przypadku jedynym rozsądnym wyjściem jest udostępnienie informacji w miejscu, w którym dochodzi do kontaktu z osobami, których dane są gromadzone. Natomiast odpowiedź na pytanie, czy taki sposób działania można uznać za prawidłowy, uzyskamy z orzeczeń sądów oraz decyzji organów nadzorczych, które pojawią się w przyszłości. Należy jedynie mieć nadzieję, że zwycięży racjonalne podejście do spełniania obowiązku informacyjnego.
