Трябва ли човешките ресурси да водят регистър на дейностите по обработване на лични данни?

Обслужване

В съответствие с въпрос № 82, включен във въведението към Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица по отношение на обработката на лични данни и относно свободното движение на такива данни и отмяна на Директива 95/46/ЕО (Общ регламент за защита на данните), наричана по-долу GDPR: за да се съобрази с настоящия регламент, администраторът или обработващият лични данни трябва да съхраняват записи за дейностите по обработване, за които отговарят. От всеки администратор и обработващ данни следва да се изисква да си сътрудничат с надзорния орган и при поискване да му предоставят тези записи, за да наблюдават тези операции по обработване.

Струва си да припомним, че в чл. 30 GDPR, два различни регистъра на дейностите по обработване, които трябва да се съхраняват от субектите, обработващи лични данни:

  • регистър на дейностите по обработка, воден от администратора,

  • регистър на категориите дейности по обработка, воден от обработващия.

Регистър на дейностите по обработване на лични данни – необходима информация

Съгласно чл. 30 сек. 1 GDPR, всеки администратор и - когато е приложимо - представителят на администратора поддържат регистър на дейностите по обработване на лични данни, за които отговарят в резултат на подходящи договорености с друг обработващ данни или съвместни договорености със съадминистратори. Горната статия изброява съответното съдържание, което трябва да бъде включено в регистъра за обработка на дейностите, т.е.:

  • името и данните за контакт на администратора и всички съвместни администратори и, когато е приложимо, на представителя на администратора и длъжностното лице по защита на данните;

  • целите на обработката;

  • описание на категориите субекти на данни и категориите лични данни;

  • категории получатели, на които са били или ще бъдат разкрити лични данни, включително получатели в трети държави или в международни организации;

  • когато е приложимо, прехвърлянето на лични данни към трета държава или международна организация, включително името на тази трета страна или международна организация, а в случай на трансфери, посочени в чл. 49 сек. 1, втора алинея, документация за подходящи предпазни мерки;

  • ако е възможно, планираните дати на изтриване на отделни категории данни;

  • където е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в чл 32 сек. 1.

Въпреки това, съгласно чл. 30 сек. 2 GDPR, всеки обработващ води регистър на всички категории дейности по обработване, извършвани от името на администратора, съдържащ следната информация:

  • името и данните за контакт на обработващия или обработващите данни и всеки администратор, от чието име действа обработващият, и когато е приложимо, представителя на администратора или обработващия лични данни и длъжностното лице по защита на данните;

  • категориите обработка, извършена от името на всеки администратор;

  • когато е приложимо – прехвърляне на лични данни към трета държава или международна организация, включително името на тази трета държава или международна организация;

  • където е възможно, общо описание на техническите и организационни мерки за сигурност.

Следва да се добави, че посочените по-горе регистри са в писмена форма, включително в електронен вид. От друга страна, администраторът или обработващият лични данни предоставят регистъра по искане на надзорния орган.

Изключение от воденето на отчет за дейностите

Струва си да се спомене, че задължението за водене на регистър на дейностите не се прилага за предприемач или юридическо лице, наемащо по-малко от 250 души, освен ако обработването, което извършват, може да доведе до риск от нарушаване на правата или свободите на субектите на данни, не е случайно или обхваща специални категории данни, лични данни или лични данни, свързани с наказателни присъди и престъпления.

Няма определение за "дейности по обработка"

Струва си да се отбележи, че съдържанието на гореспоменатия Регламент на Европейския съюз относно GDPR и полския Закон за защита на личните данни от 10 май 2018 г. (Законодателен вестник от 2018 г., точка 1000) не обяснява ясно концепцията за обработка дейности. В проучвания относно GDPR се прави препратка към „дейности по обработване“ за целите на обработката на данни. Една от препоръките се отнася до „действия като специфични действия, предприети върху данните като част от всяка цел. Ако целта е била изпращане на търговска информация по електронен път, дейността по обработване би била получаване, четене, запазване, изпращане и модифициране на данни за тази цел. В това отношение може да се заключи, че в рамките на всяка от целите на обработка на данни обикновено се занимаваме с най-малко две дейности, като например получаване и четене на лични данни "вж. [в] Коментар на GDPR, д-р Павел Литвински, изд. . 2018 г. (препоръка, издадена от белгийския орган за защита на данните (Комисия за поверителност) № 06/2017 от 14 юни 2017 г.). Освен това е посочено, че в чл. 30 GDPR, това е регистър на дейностите. Администраторът, който обработва лични данни, следва да информира лицата, чиито данни обработва, наред с другото, за целта на тяхното обработване.

Трябва ли отделът по човешки ресурси да води регистър на дейностите по обработване на лични данни?

Службите за човешки ресурси поддържат различни видове регистри по отношение на служителите, които съдържат данни за служители, изпълнители, кандидати за работа, събрани в процеса на набиране на персонал, данни, свързани с медицински пакети за служители или свързани с управлението на Фонда за социални помощи на компанията. Трябва да се отбележи, че регистърът на дейностите по обработване на лични данни е списък на всички файлове с данни, съхранявани от администратора. То трябва да съдържа цялата информация, описана в чл. 30 сек. 1 и 2 GDPR. Следователно следващите цикли, които съставляват процеса на обработка на данни в отделни набори от данни, не трябва да се включват в дейностите по обработка.

С оглед на гореизложеното, заслужава да се подчертае, че в съответствие с гореспоменатия член 30 от GDPR, отделът по човешки ресурси няма да бъде задължен да регистрира всяка дейност по човешки ресурси. Въз основа на информацията, представена на уебсайта на Главния инспектор по лични данни, регистърът на правните дейности е вид информационна карта, която включва посочване на лицето, обработващо лични данни, целта на обработката на данните, категорията лица, и периода на съхранение на данните.

В заключение трябва да се подчертае, че разпоредбите на GDPR се прилагат в отдела за човешки ресурси. Наборите от данни за служителите трябва да бъдат включени в регистъра за обработка на данни. Струва си да се отбележи, че няма задължение за описване на всяка HR дейност в регистъра на дейностите по обработване. Трябва да се отбележи, че се предоставя само описание на категорията субекти на данни, без никаква конкретна информация за тези хора.