+48 22 123 45 67 kancelaria@radca-przykladowa.pl pon.–pt. 9:00–17:00
Przykładowa Kancelaria Radcy Prawnego

Rejestr czynności przetwarzania (art. 30 RODO) — kto i jak

Rejestr czynności przetwarzania (art. 30 RODO) — kto i jak

Rejestr czynności przetwarzania (RCP) to dokument, o który Prezes UODO pyta zwykle w pierwszej kolejności podczas kontroli. To zarazem najlepsza „mapa danych” w firmie: pokazuje, co, po co i na jakich zasadach jest przetwarzane. Wbrew obiegowej opinii obowiązek jego prowadzenia nie dotyczy wyłącznie dużych organizacji.

Czym jest rejestr czynności przetwarzania

RCP to uporządkowany wykaz wszystkich czynności (procesów) przetwarzania danych osobowych, za które odpowiadasz jako administrator — od rekrutacji i kadr, przez obsługę klientów i marketing, po monitoring wizyjny. Podstawą prawną jest art. 30 RODO. Rejestr pełni dwie funkcje: porządkuje wiedzę o danych w organizacji i stanowi kluczowy dowód realizacji zasady rozliczalności.

Wyjątek „poniżej 250 pracowników” — dlaczego zwykle nie działa

RODO przewiduje zwolnienie z obowiązku prowadzenia rejestru dla organizacji zatrudniających mniej niż 250 osób. Zwolnienie to nie ma jednak zastosowania, jeżeli przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego, albo
  • obejmuje szczególne kategorie danych (np. dane o zdrowiu) lub dane dotyczące wyroków skazujących i czynów zabronionych.

Wystarczy spełnienie jednej z tych przesłanek. Tymczasem kadry i płace to przetwarzanie stałe — a więc niesporadyczne — a dokumentacja pracownicza obejmuje m.in. dane o zdrowiu (zwolnienia lekarskie, badania medycyny pracy). W praktyce oznacza to, że każdy pracodawca — i niemal każda firma stale obsługująca klientów — powinien prowadzić rejestr przynajmniej dla tych czynności.

Co zawiera rejestr administratora (art. 30 ust. 1 RODO)

  1. nazwę i dane kontaktowe administratora, a gdy ma to zastosowanie — współadministratorów, przedstawiciela oraz inspektora ochrony danych;
  2. cele przetwarzania;
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane ujawniono lub zostaną ujawnione;
  5. informacje o przekazywaniu danych do państw trzecich lub organizacji międzynarodowych wraz z dokumentacją odpowiednich zabezpieczeń;
  6. planowane terminy usunięcia poszczególnych kategorii danych — jeżeli jest to możliwe;
  7. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 RODO — jeżeli jest to możliwe.

Rejestr kategorii czynności — obowiązek procesora (art. 30 ust. 2 RODO)

Jeżeli przetwarzasz dane w imieniu innych podmiotów — jak biuro rachunkowe, agencja marketingowa czy dostawca IT — prowadzisz odrębny rejestr kategorii czynności przetwarzania. Obejmuje on: dane procesora i administratorów, na rzecz których działa, kategorie przetwarzań dokonywanych w ich imieniu, informacje o transferach do państw trzecich oraz ogólny opis środków bezpieczeństwa. Wiele firm występuje w obu rolach jednocześnie — wtedy prowadzi oba rejestry.

Forma i udostępnianie

Rejestr prowadzi się w formie pisemnej, w tym elektronicznej — w praktyce najczęściej jako arkusz kalkulacyjny albo moduł narzędzia do zarządzania zgodnością. Na żądanie Prezesa UODO rejestr trzeba udostępnić, dlatego powinien być kompletny i aktualny na bieżąco, a nie tworzony dopiero po zapowiedzi kontroli.

Jak wdrożyć rejestr krok po kroku

  1. Zmapuj procesy — przejdź przez firmę działami (kadry, sprzedaż, marketing, księgowość, IT) i wypisz czynności przetwarzania.
  2. Określ cele każdej czynności; warto dodać także kolumnę z podstawą prawną — art. 30 jej nie wymaga, ale bardzo ułatwia wykazanie rozliczalności.
  3. Przypisz kategorie osób i danych — pracownicy, klienci, kontrahenci; dane identyfikacyjne, kadrowe, finansowe, dane o zdrowiu.
  4. Wskaż odbiorców — i sprawdź spójność z zawartymi umowami powierzenia.
  5. Ustal retencję — realne terminy usuwania, powiązane z przepisami, np. o dokumentacji pracowniczej czy podatkowymi.
  6. Opisz środki bezpieczeństwa — spójnie z rozwiązaniami faktycznie stosowanymi na podstawie art. 32 RODO.
  7. Wyznacz właściciela rejestru — konkretną osobę odpowiedzialną za jego prowadzenie i aktualizację.

Rejestr musi żyć

Największym grzechem jest rejestr „do szuflady”. Nowa usługa, nowy system informatyczny, nowy dostawca, monitoring w biurze — każda taka zmiana powinna znaleźć odzwierciedlenie w RCP. Dobrą praktyką jest okresowy przegląd, np. raz do roku oraz przy każdej istotnej zmianie, i powiązanie aktualizacji rejestru z procedurą wdrażania nowych projektów. Tak prowadzony rejestr przestaje być uciążliwym obowiązkiem, a staje się narzędziem realnego zarządzania danymi w firmie.

Wpisy na blogu mają charakter informacyjny i nie stanowią porady prawnej. Stan prawny jest aktualny na dzień publikacji wpisu — późniejsze zmiany przepisów mogą wpływać na jego aktualność. W indywidualnych sprawach skontaktuj się z kancelarią.

Wróć do wszystkich wpisów