Sporządzenie odpowiedniej dokumentacji to pierwszy krok do wdrożenia RODO w Twoim studio gamedev. Druga, nie mniej ważna, sprawa to prawidłowe uzupełnianie i aktualizowanie tych dokumentów.  Na tym w znacznej mierze opiera się prawidłowe wdrożenie RODO.

W szerszej perspektywie nie chodzi tylko o zgodność działalności studia gamedev z rozporządzeniem RODO, ale też o to żeby w razie kontroli i obowiązkowego udostępnienia rejestrów na żądanie organu nadzorczego – mieć w nich porządek i móc spać spokojnie.

Kto musi prowadzić rejestry czynności przetwarzania i kategorii czynności przetwarzania?

Obowiązki, o których mowa w ust. 1 i 2 RODO, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonujesz, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, które nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, lub obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

W istocie więc (co do zasady) każde studio gamedev będzie miało obowiązek prowadzenia rejestrów, o ile jest administratorem danych i podmiotem przetwarzającym.

Forma rejestrów

Rejestry prowadzone powinny być w formie pisemnej. Jest to jedyne wymaganie ustawodawcy co do ich formy. Niemniej, w praktyce najczęściej prowadzi się je w formie arkusza (np. w Excelu czy Wordzie).

Można prowadzić je w formie drukowanej, można w elektronicznej. W praktyce częstsza jest ta druga opcja – łatwiej w taki sposób rejestry uzupełniać.

Czynności przetwarzania – co to jest?

Pewnie zastanawiasz się, czym właściwie są te czynności przetwarzania? Są to operacje na danych osobowych, które są powiązane ze sobą, wykonywane przez jedną lub kilka osób i  które można określić w sposób zbiorczy, w związku z celem, w jakim są podejmowane.

Czynnością przetwarzania będzie na przykład zawieranie umów (np. sprzedaży) czy rekrutacja pracowników.

Nieco praktyki…

Chcąc solidnie zabrać się za uzupełnianie rejestrów, musisz zebrać drużynę. Jeśli Twoje studio ma kilka działów, choćby HR, marketing i odrębnie IT – head każdego z nich pomoże Ci uzupełnić rejestr w jego zakresie.

Przede wszystkim dlatego, że ma najlepszą wiedzę (zapewne lepszą niż Ty, jako właściciel lub prezes zarządu studia) na temat tego, co się dzieje z danymi osobowymi w jego dziale.

Zmapowanie procesów, w których występują dane osobowe to kluczowe zadanie przed rozpoczęciem uzupełniania rejestrów.

Co musi zawierać rejestr czynności przetwarzania?

Rejestr czynności przetwarzania musi zawierać:

• Nazwa i dane kontaktowe administratora (czyli Twojego studio): nazwa, adres, mail, numer telefonu.
• Inspektor Ochrony Danych (o ile jest w Twoim studio): nazwa, adres, mail, numer telefonu.
• Przedstawiciel (o ile ma to zastosowanie): nazwa, adres, mail, numer telefonu.
• Informacje o poszczególnych czynnościach przetwarzania (i tu do sedna): cel przetwarzania, kategorie osób, kategorie danych, planowany termin usunięcia kategorii danych, nazwa współadministratora i dane kontaktowe, nazwa podmiotu przetwarzającego i dane kontaktowe, kategorie odbiorców, ogólny opis techniczny i organizacyjny środków bezpieczeństwa. A jeśli w Twoim studio dochodzi do transferu do kraju trzeciego lub organizacji międzynarodowej (o tym szerzej piszemy w tym poście): informacja o tym fakcie i dokumentacja odpowiednich zabezpieczeń w przypadku transferu.

Co musi zawierać rejestr kategorii czynności przetwarzania?

Natomiast rejestr kategorii czynności przetwarzania musi zawierać:

• Nazwa i dane kontaktowe procesora (czyli Twojego studio): nazwa, adres, mail, numer telefonu.
• Inspektor Ochrony Danych (o ile jest w Twoim studio): nazwa, adres, mail, numer telefonu.
• Przedstawiciel (o ile ma to zastosowanie): nazwa, adres, mail, numer telefonu.
• Kategorie przetwarzania
• Ogólny opis techniczny i organizacyjny środków bezpieczeństwa
• Informacje o administratorze: nazwa i dane kontaktowe administratora; nazwa i dane kontaktowe współadministratora (gdy ma to zastosowanie); nazwa i dane kontaktowe przedstawiciela administratora (gdy ma to zastosowanie); inspektor ochrony danych administratora (gdy ma to zastosowanie)
• Nazwy państw trzecich lub organizacji międzynarodowych, do których dane są przekazywane
• Dokumentacja odpowiednich zabezpieczeń danych osobowych.

Uff… skomplikowane?

Wiemy, że tak, my też kiedyś musieliśmy się tego uczyć. Jako dodatkową podpowiedź, polecamy zajrzeć do przykładowych rejestrów – takich, które udostępnione zostały oficjalnie przez Urząd Ochrony Danych Osobowych, znajdują się one pod tymi linkami (źródło: https://uodo.gov.pl/pl/123/214):

• Rejestr czynności przetwarzania (przykłady dla szkoły)

• Rejestr kategorii czynności przetwarzania

Jeśli nadal RODO dla Ciebie czarna magia, skontaktuj się z profesjonalistą zajmującym się ochroną danych osobowych.