Rejestr czynności przetwarzania – przykład BHP - zgodny z RODO

Rejestr czynności przetwarzania – przykład BHP

Rejestr czynności przetwarzania

Dla zachowania zgodności z RODO Administrator i podmiot
przetwarzający powinni prowadzić rejestr czynności przetwarzania, za które są
odpowiedzialni.

  • Administrator prowadzi rejestr czynności przetwarzania danych osobowych zgodnie z art. 30
    ust. 1
  • Podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności
    przetwarzania
    dokonywanych w imieniu Administratora (który powierzył
    przetwarzanie np. zastosowanie w firmach usługowych Księgowość, Informatyka,
    BHP).

W artykule zajmiemy się obowiązkiem nałożonym na
Administratorów, czyli prowadzeniem rejestru czynności przetwarzania danych
osobowych. Obowiązek prowadzenia takiego rejestru dotyczy większości
przedsiębiorstw, którzy przetwarzają dane osobowe w sposób nie sporadyczny.

Forma prowadzenia
rejestru czynności przetwarzania danych osobowych

Rejestr ma formę pisemną, w tym formę elektroniczną tzn. że
dopuszczalne jest posiadanie dokumentu elektronicznego z takim rejestrem
opatrzonego podpisem kwalifikowanym. Rejestr jest jednym z najważniejszych
dokumentów w RODO. Wynika to z faktu, że rejestr czynności w ramach współpracy
z organem nadzorczym tj. Prezesem Urzędu Ochrony Danych Osobowych, na jego żądanie ma zostać udostępniony.
Z tego powodu zadbaj więc o:

  • Wprowadzenie wersjonowanie dokumentu wraz z
    opisem zmian;
  • Opatrzenie dokumentu podpisem Administratora lub
    jego Pełnomocnika (może być również elektroniczny).

Arkusz kalkulacyjny
czy dokument tekstowy?

Na stronie Urzędu Ochrony Danych Osobowych znajdziemy przykład rejestry czynności przetwarzania dla Szkół na stronie: https://uodo.gov.pl/pl/123/214 jest to arkusz kalkulacyjny, według Nas takie rozwiązanie może mieć swoje wady i zalety tj.:

  • Forma arkuszu kalkulacyjnego, pozwala na jego
    szybki przegląd i porównanie – jest to na pewno preferowana forma przez kontrolera lub inspektora ochrony
    danych. Uwierzcie nam na słowo w ramach audytów ochrony danych taka forma,
    znacząco przyśpiesza sprawdzenie. Sami oceńcie czy to wada czy też zaleta.
  • Forma arkusza kalkulacyjnego, nie do końca się
    sprawdza przy pracy grupowej nad rejestrem. Umówmy się do właściwego określenia
    poszczególnych czynności wymagana jest współpraca w danej organizacji. Ważne:
    sprawdź jak wygląda odpowiedzialność poszczególnych osób w organizacji za przekazywanie
    danych dot. czynności przetwarzania.
  • Prowadzenie rejestru czynności, może wymagać
    wprowadzenia procedury wnioskowej. Dlaczego tak uważamy? Czynności przed
    dodaniem do rejestru powinny zostać sprawdzone co do ich prawidłowości, może to
    też być okazja do dokonania analizy ryzyka naruszenia praw i wolności osób
    fizycznych. Analiza może nam posłużyć do zdecydowania czy dana czynność wymaga
    dokonania oceny skutków dla ochrony danych osobowych tj. art. 35 RODO.

Zawartość rejestru
czynności – dla przykładowej czynności BHP

Dane
administratora – imię i nazwisko lub nazwa oraz dane kontaktowe. Jeżeli ma
zastosowanie to również

  • Dane współadministratorów
  • Przedstawiciela 
  • Inspektora ochrony danych

Nazwa i dane kontaktowe
administratora
NazwaMoja Firma XYZ Sp. z o.o.
Adresul. Zamkowa 58B, 95-200 Pabianice
Emailkontakt@pojafirmaxyz.pl
Telefon(22) 00000000

Proponujemy umieścić te dane na
stronie tytułowej dokumentu tekstowego wraz z wskazaniem historii zmian
dokument i spisu treści.

  • Nazwa czynności przetwarzania (nieobligatoryjna
    – dla zachowania porządku)

1.NAZWA
CZYNNOŚCI PRZETWARZANIA
 BHP

  • Jednostka organizacyjna (nieobligatoryjna – dla
    zachowania porządku) – proponujemy określenie jednostki wraz z właścicielem
    czynności. Który będzie odpowiedzialny za dostarczanie informacji o czynności.

2.JEDNOSTKA
ORGANIZACYJNA  (nazwa wydziału i
stanowiska)
 Wydział organizacyjny – Specjalista ds.
BHP

  • Cele przetwarzania

3.CEL
PRZETWARZANIA
 Prowadzenie spraw związanych z
bezpieczeństwem i higieną pracy oraz ochroną przeciwpożarową w Moja Firma XYZ Sp. z o.o.

  • Kategorie osób których dane dotyczą – np.
    pracownicy, klienci, kontrahenci.

4.KATEGORIE
OSÓB, KTÓRYCH DANE DOTYCZĄ
 Pracownicy

  • Kategorie danych osobowych

5.KATEGORIE
DANYCH OSOBOWYCH
 1. Dokumentacja szkoleń – dane
identyfikacyjne, data i miejsce urodzenia, daty i nazwy odbytych szkoleń BHP.
2. Rejestr wypadków przy pracy  – dane identyfikacyjne, miejsce i data
wypadku, skutki wypadku, data sporządzenia protokołu powypadkowego,
stwierdzenie cyz wypadek jest wypadkiem przy pracy, data przekazania do ZUS
wniosku o świadczenia z tytułu wypadku, liczba dni niezdolności do pracy,
inne informacje.
3. Rejestr chorób zawodowych i podejrzeń
o takie choroby – dane identyfikacyjne, data urodzenia, dane adresowe, PESEL,
czynnik prowadzący do choroby zawodowej, okres narażenia, inne czynniki
wpływające na powstanie choroby, zawód, informacja o rozpoznanej chrobie,
nazwa jednostki orzeczniczej, data rozpoznania choroby, data decyzji o
stwierdzeniu choroby.

  • Podstawa prawna – nieobligatoryjne pole
    (przydatne przy tworzeniu klauzul informacyjnych)

6.PODSTAWA
PRAWNA
 1. Dokumentacja
szkoleń BHP – Przetwarzanie niezbędne do wypełnienia obowiązku prawnego –
art. 6 ust. 1 pkt. c RODO- Rozporządzenie Ministra Gospodarki i Pracy z 27
lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny
pracy.
2. Rejestr
wypadków przy pracy – Przetwarzanie niezbędne do wypełnienia obowiązku
prawnego – art. 6 ust. 1 pkt. c RODO – Rozporządzenie Rady Ministrów z 1
lipca 2009 r. w sprawie ustalania okoliczności i przyczyn wypadków przy
pracy.
3. Rejestr
chorób zawodowych i podejrzeń o takie choroby – Przetwarzanie niezbędne do
wypełnienia obowiązku prawnego – art. 6 ust. 1 pkt. c RODO- art. 235 par. 4
Kodeksu pracy, Rozporządzenie Ministra Zdrowia z 1 sierpnia 2002 r. w sprawie
sposobu dokumentowania chorób zawodowych i skutków tych chorób.

  • Źródło danych, skąd dane zostały pozyskane (pole
    nieobligatoryjne)

7.ŹRÓDŁO
DANYCH
 Pracownicy

  • Planowany termin usunięcia kategorii danych

8.PLANOWANY
TERMIN USUNIĘCIA KATEGORII DANYCH

(JEŻELI
JEST TO MOŻLIWE)
 1. Po 50 latach od rozwiązania umowy o
pracę – art. 51u ust. 1 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie
archiwalnym i archiwach, a także Rozporządzenie Ministra Pracy i Polityki
Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez
pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz
sposobu prowadzenia akt osobowych pracownika.
2. Po 10 latach od sporządzenia – art.
234 § 31 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy.
3. Po 10 latach od sporządzenia.

  • Kategorie odbiorców danych – wskazujemy podmioty
    do których dane trafiają na podstawie przepisów prawa i zawartych umów np.
    powierzenia danych.

9.KATEGORIE
ODBIORCÓW , którym dane ujawniono lub zostaną ujawnione wraz z podmiotami
przetwarzającymi
 1. ZUS, GUS,
2. Zakładu Epidemiologii Instytutu
Medycyny Pracy, Właściwy Państwowy Inspektor Sanitarny, Właściwy Inspektor
Pracy.

  • Stosowane systemy informatyczne – pole
    nieobligatoryjne (stosowane dla porządku)

10.STOSOWANE
SYSTEMY INFORMATYCZNE LUB OPROGRAMOWANIE
 Nie dotyczy

  • Ogólny opis technicznych i organizacyjnych
    środków bezpieczeństwa zgodnie z art. 32 ust. 1 RODO (przykłady środków
    bezpieczeństwa techniczne, organizacyjne, fizyczne)

11.OGÓLNY
OPIS TECHNICZNYCH I ORGANIZACYJNYCH ŚRODKÓWBEZPIECZEŃSTWA ZGODNIE Z ART. 32
UST. 1 RODO
 1. Zamykane szafy w pomieszczeniach
zamykanych, dostępnych tylko dla upoważnionych osób.
2. Ochrona fizyczna obiektów.
3. Wprowadzona polityka bezpieczeństwa

  • Przekazywanie danych do państwa trzeciego lub
    organizacji międzynarodowej – ew. dokumentacja odpowiednich zabezpieczeń.

12.TRANSFER
DO KRAJU TRZECIEGO LUB ORGANIZACJI MIEDZYNARODOWEJ WRAZ Z DOKUMENTACJĄ
ODPOWIEDNICH ZABEZPIECZEŃ
 Nie dotyczy