Art. 30 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) nakłada na administratorów danych osobowych obowiązek prowadzenia Rejestru Czynności Przetwarzania Danych (RCP), za które są oni odpowiedzialni.
Co do zasady obowiązek posiadania RCP dotyczy każdego administratora danych osobowych. Unijny ustawodawca przewidział jednak wyjątek dla przedsiębiorców oraz podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie danych:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
- nie ma charakteru sporadycznego,
- obejmuje szczególne kategorie danych osobowych lub dane dotyczące wyroków skazujących i naruszeń prawa
(art. 30 ust. 5 RODO).
W praktyce oznacza to, że niemal każda firma aktywnie działająca na rynku powinna prowadzić rejestr czynności przetwarzania, aby móc wykazać zgodność z przepisami RODO.
Rejestr czynności przetwarzania w świetle motywu 82 RODO
Motyw 82 preambuły RODO wyraźnie wskazuje, że:
„Dla zachowania zgodności z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. Każdy administrator i każdy podmiot przetwarzający powinni mieć obowiązek współpracować z organem nadzorczym i na jego żądanie udostępniać mu te rejestry w celu monitorowania tych operacji przetwarzania.”
Należy podkreślić, że obowiązek prowadzenia RCP spoczywa na administratorze danych. Podmiot przetwarzający dane osobowe (procesor) prowadzi natomiast Rejestr Kategorii Czynności Przetwarzania (RKCP), zgodnie z art. 30 ust. 2 RODO.
Czym jest rejestr czynności przetwarzania?
Rejestr czynności przetwarzania to dokument prowadzony w formie pisemnej, w tym elektronicznej (art. 30 ust. 3 RODO), który stanowi uporządkowaną ewidencję wszystkich procesów przetwarzania danych osobowych realizowanych w organizacji.
RCP szczegółowo opisuje:
- jakie dane osobowe są przetwarzane,
- w jakim celu,
- na jakiej podstawie prawnej,
- przez kogo i w jaki sposób.
Zgodnie z art. 30 ust. 1 RODO w rejestrze administratora danych powinny znaleźć się co najmniej następujące informacje:
- dane administratora, ewentualnych współadministratorów oraz inspektora ochrony danych,
- cele przetwarzania,
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
- kategorie odbiorców danych,
- informacje o przekazywaniu danych do państw trzecich lub organizacji międzynarodowych,
- planowane terminy usunięcia poszczególnych kategorii danych,
- ogólny opis zastosowanych środków technicznych i organizacyjnych służących bezpieczeństwu danych.
Rejestr czynności przetwarzania jest jednym z podstawowych środków organizacyjnych wymaganych przez RODO i stanowi fundament systemu ochrony danych osobowych w organizacji.
Najczęstsze błędy w prowadzeniu RCP –nasza praktyka i wyniki kontroli UODO.
Analiza przepisów RODO mogłaby sugerować, że stworzenie prawidłowego RCP jest zadaniem prostym. Jednak nasza praktyka doradcza oraz wyniki kontroli prowadzonych przez Prezesa UODO pokazują, że wiele podmiotów popełnia powtarzające się błędy, w szczególności:
- Posługiwanie się gotowymi, uniwersalnymi szablonami, które nie są dostosowane do rzeczywistych procesów przetwarzania danych w danej organizacji.
- Zbyt ogólny opis czynności przetwarzania, uniemożliwiający identyfikację celu, zakresu oraz sposobu przetwarzania danych (np. pomijanie systemów CRM, poczty elektronicznej, narzędzi kadrowopłacowych, księgowych czy marketingowych).
- Brak określenia okresów retencji danych, co narusza zasadę ograniczenia przechowywania danych.
- Niespójność między RCP a praktyką operacyjną, np. deklarowany brak transferów danych do państw trzecich przy jednoczesnym korzystaniu z usług chmurowych dostawców spoza UE.
- Brak regularnej aktualizacji rejestru, mimo zmian w strukturze organizacyjnej, procesach biznesowych czy narzędziach IT.
- Pominięcie odbiorców danych, w szczególności podmiotów przetwarzających, takich jak dostawcy usług IT, biura rachunkowe, agencje marketingowe, kancelarie prawne, firmy rekrutacyjne czy dostawcy hostingu.
- Brak wskazania podstaw prawnych przetwarzania danych, przy jednoczesnym ograniczeniu się wyłącznie do opisu celu.
- Brak powiązania RCP z analizą ryzyka, co znacząco utrudnia lub uniemożliwia prawidłowe przeprowadzenie oceny skutków dla ochrony danych (DPIA).
- Chaos dokumentacyjny, polegający na prowadzeniu rejestru w wielu niespójnych dokumentach zamiast jednego, kompleksowego RCP.
Kto odpowiada za prowadzenie RCP?
Prowadzenie rejestru czynności przetwarzania jest obowiązkiem administratora danych osobowych. Stanowisko Prezesa UODO jest jednoznaczne — inspektor ochrony danych nie powinien prowadzić RCP, ponieważ do jego zadań należy m.in. monitorowanie zgodności przetwarzania danych z RODO. Prowadzenie rejestru przez IOD mogłoby prowadzić do konfliktu interesów.
Administrator może oczywiście korzystać ze wsparcia pracowników merytorycznych odpowiedzialnych za poszczególne procesy, jednak ostateczna odpowiedzialność za treść i aktualność RCP zawsze spoczywa na administratorze danych i nie może zostać przeniesiona na inne osoby.
Podsumowanie
Rejestr czynności przetwarzania to jeden z kluczowych dokumentów wymaganych przez RODO — często określany jako „kręgosłup” systemu ochrony danych osobowych w organizacji. Prawidłowo prowadzony RCP nie tylko pozwala wykazać zgodność z przepisami, ale również porządkuje procesy przetwarzania danych i wspiera zarządzanie ryzykiem.
Błędy w jego prowadzeniu mogą skutkować sankcjami finansowymi oraz problemami organizacyjnymi. Dlatego Zespół Rodo Wyjaśnione rekomenduje systematyczne weryfikowanie, aktualizowanie i dostosowywanie rejestru do rzeczywistego funkcjonowania firmy.
Autor
Agnieszka Bogumił-Jankowska Menadżer • Ekspert ds. komunikacji i rozwoju • Koordynator Relacji z Klientem
