Rolę rejestru czynności przetwarzania danych osobowych całkiem nieźle ilustruje słynny cytat z powieści G. Orwella pt. „Rok 1984”: „Kto kontroluje przeszłość, ten ma władzę nad przyszłością”. Tutaj mówimy jednak o własnej przyszłości – i to w zdecydowanie mniej metaforyczny sposób.
Dostosowując przytoczony cytat do potrzeb tego artykułu: jeżeli zapanujemy nad przetwarzaniem danych, jakie dotychczas wykonywaliśmy w naszej organizacji, łatwiej będzie nam bezpiecznie wdrożyć nowe procesy przetwarzania lub dostosować istniejące do zmieniających się potrzeb. Rejestr czynności przetwarzania (RCP) jest sprzymierzeńcem w utrzymywaniu porządku w obiegu danych, zatem warto napisać o nim jeszcze kilka słów.
Czym jest rejestr czynności przetwarzania
Rejestr czynności przetwarzania jest uporządkowanym zbiorem informacji o procesach przetwarzania danych, jakie są prowadzone w organizacji. Informacje te nie są przypadkowe, ponieważ ich zakres wyznacza art. 30 ust. 1 RODO.
RCP jest dokumentem, w którym organizacja zapisuje informacje o tym, jak przetwarza dane osobowe, będąc ich administratorem. To odróżnia ten dokument od rejestru kategorii czynności przetwarzania, który prowadzą procesorzy, a więc podmioty przetwarzające dane w sposób określony przez samodzielnego administratora i w wyznaczonych przez niego celach.
Kiedy należy prowadzić rejestr czynności przetwarzania
O wiele prościej byłoby odpowiedzieć na pytanie: „Kiedy warto prowadzić rejestr?”. Odpowiedź brzmiałaby: w każdym przypadku. Dzięki temu nie tylko łatwiej zrealizować zasadę rozliczalności, ale przede wszystkim uporządkować sprawy związane z procesami przetwarzania danych osobowych. To zaś sprawia, że organizacja będzie w stanie znacznie szybciej przygotować klauzule informacyjne czy zebrać informacje na potrzeby oceny skutków przetwarzania dla ochrony praw i wolności osób fizycznych (DPIA).
Kiedy prowadzenie rejestru jest obowiązkowe:
- organizacja zatrudnia 250 lub więcej pracowników,
- przetwarzanie może powodować ryzyko naruszenia praw osób, których dane dotyczą,
- przetwarzanie nie ma charakteru sporadycznego,
- przetwarzanie obejmuje szczególne kategorie danych, o których mowa w art. 9 ust. 1 RODO,
- przetwarzanie obejmuje dane o wyrokach skazujących i naruszeniach prawa, o czym mowa w art. 10 RODO.
Wystarczy, że spełni się jedna z tych przesłanek, aby podmiot musiał prowadzić RCP. Zatem jeżeli podmiot przetwarza szczególne kategorie danych (np. dane dotyczące zdrowia), to mimo że nie zatrudnia 250 pracowników, obejmie go obowiązek prowadzenia RCP.
W maju 2025 r. Komisja Europejska, w związku z tzw. deregulacją, zaproponowała zmiany dotyczące sytuacji, w których prowadzenie RCP będzie obowiązkowe. Propozycja została jednak skrytykowana jako niewystarczająca oraz wprowadzająca dodatkowe wątpliwości.
Jeżeli dojdzie do uchwalenia nowych przepisów, to RCP stanie się obowiązkowy dla podmiotów zatrudniających ponad 750 osób, chyba że przetwarzanie przez nie danych będzie powodować wysokie ryzyko dla praw i wolności osób, których dane dotyczą.
Chociaż faktycznie ryzyko błędnej oceny tutaj występuje (chociażby ze względu na różne metodologie oceny ryzyka), to trzeba oddać pomysłodawcy, że da się tutaj zauważyć dążenie do spójności z przepisami dotyczącymi DPIA. Zmiana przepisów powodowałaby, że wystarczyłby jeden test, który jednocześnie przesądzi o obligatoryjności zarówno DPIA, jak i prowadzenia RCP. Obecnie – ze względu na różne przesłanki obu obowiązków – trzeba przeprowadzać oddzielne badania.
Jaką formę powinien mieć rejestr czynności przetwarzania
Zgodnie z art. 30 ust. 3 RODO RCP (podobnie jak siostrzany rejestr wszystkich kategorii czynności przetwarzania) ma formę pisemną, w tym elektroniczną.
Nie chodzi jednak formę elektronicznej w rozumieniu przepisów Kodeksu cywilnego, ale formę dającą się utrwalić, co w realiach powszechnie dostępnej technologii może oznaczać np. dokument Word lub arkusz Excel.
Jak powinien wyglądać rejestr czynności przetwarzania
Nie ma jednolitych wytycznych co do wyglądu rejestru. Istotne jest, by jego szata graficzna zapewniała łatwy dostęp do informacji o poszczególnych procesach. W praktyce spotyka się rejestry ukształtowane w różny sposób. Najczęściej rejestr jest prowadzony w postaci zwartej tabeli, a każdy z jej wierszy stanowi odrębny proces przetwarzania danych.
ODO 24 proponuje układ, w którym każdy z procesów znajduje się w obrębie tego samego dokumentu, ale stanowi oddzielną tabelę. Zapewnia on większą przejrzystość, a równocześnie pozwala zachować skondensowany rejestr w jednym dokumencie.
Niektórzy administratorzy wyodrębniają poszczególne procesy i przenoszą je do osobnych plików. To rozwiązanie jest o tyle problematyczne, że nie pozwala zachować jednolitości całego rejestru.
Co zawiera rejestr czynności przetwarzania
Elementy, z których składa się rejestr, można podzielić na obligatoryjne i fakultatywne.
Obligatoryjne elementy RCP zawarto w art. 30 ust. 1 RODO. Ich brak oznacza, że rejestr nie jest kompletny, a tym samym – jest prowadzony z naruszeniem art. 30 ust. 1 RODO. Pełna lista obejmuje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora i wszelkich współadministratorów,
- cele przetwarzania,
- dane przedstawiciela i inspektora ochrony danych – gdy ma to zastosowanie,
- opis kategorii osób, których dane dotyczą,
- opis kategorii danych osobowych,
- kategorie odbiorców, którym dane zostały ujawnione (w tym w państwach trzecich lub organizacjach międzynarodowych),
- przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń – gdy ma to zastosowanie,
- planowane terminy usunięcia poszczególnych kategorii danych – jeżeli jest to możliwe,
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – jeżeli jest to możliwe.
Elementy fakultatywne to takie, których dodanie zależy od woli administratora prowadzącego rejestr. W tym kontekście warto wymienić kategorię taką jak „właściciel procesu”. Właścicielem procesu jest osoba w organizacji, która odpowiada za prawidłowy przebieg konkretnego procesu przetwarzania danych. Najczęściej taką funkcję pełnią zwierzchnicy działów lub osoby przez nich wyznaczone.
Wyznaczenie właścicieli procesów i przyporządkowanie ich do poszczególnych procesów w RCP pozwala uniknąć przerzucania się odpowiedzialnością za przebieg procesu między pracownikami. Jako że jest to element dobrowolny, przepisy nie przesądzają, w jaki sposób informacja o właścicielu procesu może zostać ujawniona w RCP. Najczęściej jednak wskazuje się konkretną osobę lub konkretne stanowisko, którego piastun każdorazowo sprawuje także funkcję właściciela procesu.
Wprowadzenie elementów fakultatywnych może pozwolić lepiej zapanować nad procesem przetwarzania, ale trzeba też uważać, by natłok informacji nieistotnych nie ograniczył przejrzystości całego dokumentu.
Poniżej prezentujemy zasadniczą część rejestru (bez wskazywania danych administratora danych, przedstawiciela ADO oraz IOD-a) dla następujących procesów:
- zatrudnienie,
- monitoring wizyjny,
- newsletter.
Pracownicy i współpracownicy
| Proces / Właściciel procesu biznesowego |
Współadministrator danych | Cel przetwarzania wraz z czynnościami podejmowanymi, aby go osiągnąć | Kategorie osób, których dane dotyczą / Kategorie danych osobowych |
|---|---|---|---|
| Pracownicy i współpracownicy Jan Nowak – Dyrektor Działu HR |
Brak | Zarządzanie zasobami ludzkimi – pracownikami i współpracownikami. Realizacja umów o pracę, umów zlecenia, umów o dzieło oraz umów o współpracę. Realizacja obowiązków wynikających z przepisów prawa, w szczególności prawa pracy. Realizacja uzasadnionych interesów pracodawcy, w szczególności zapewnienie organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania narzędzi pracy udostępnionych pracownikowi. Ustalenie, dochodzenie i obrona roszczeń. Umożliwienie udziału w korzyściach socjalnych, tzn. zgłoszenie i potwierdzenie uprawnień do danej korzyści socjalnej |
Pracownicy i współpracownicy (aktualnie zatrudnieni). Byli pracownicy i współpracownicy. Członkowie rodzin pracowników i współpracowników. Osoby towarzyszące (zgłoszone do korzyści socjalnych). Wskazane przez kandydata osoby udzielające referencji (w przypadku dalszego przechowywania CV z takimi danymi) Pracownicy i współpracownicy (aktualnie zatrudnieni): imiona, nazwisko, płeć, nr PESEL, adres korespondencyjny, data urodzenia, wykształcenie i historia zatrudnienia, uprawnienia i certyfikaty, nr telefonu, adres e-mail, wizerunek, nr konta bankowego, nr rejestracyjny samochodu prywatnego (w przypadku parkowania na terenie organizacji); dane dotyczące mandatów drogowych i egzekucji komorniczych; dane o stanie zdrowia (związane z oceną zdolności do pracy, wykazaniem zgodności z przepisami sanitarno- epidemiologicznymi, weryfikacją uprawnień do zwolnień chorobowych, urlopów macierzyńskich itd.); stopień niepełnosprawności (na potrzeby ZUS). Byli pracownicy: imiona, nazwisko, imiona rodziców, płeć, nr PESEL, nr dowodu osobistego, adres korespondencyjny, data urodzenia, wykształcenie i historia zatrudnienia, uprawnienia i certyfikaty, nr konta bankowego, stan cywilny, data zgonu; dane o stanie zdrowia (związane z oceną zdolności do pracy, wykazaniem zgodności z przepisami sanitarno- epidemiologicznymi, weryfikacją uprawnień do zwolnień chorobowych, urlopów macierzyńskich itd.); stopień niepełnosprawności (na potrzeby ZUS). Członkowie rodzin: imiona, nazwisko, adres, stopień pokrewieństwa ze zgłaszającym pracownikiem, nr PESEL |
| Odbiorcy danych / Przekazywanie danych do państw trzecich | Terminy usunięcia danych | Techniczne i organizacyjne środki bezpieczeństwa |
|---|---|---|
| Organy publiczne, otrzymujące dane w związku z realizacją obowiązków prawnych administratora. Firmy świadczące usługi informatyczne lub dostarczające rozwiązań informatycznych. Firmy świadczące usługi kadrowe. Banki, zakłady ubezpieczeń oraz pozostałe instytucje finansowe i płatnicze. Placówki medyczne. Klienci organizacji. Podwykonawcy oraz dostawcy organizacji. Firmy świadczące usługi doradcze i audytorskie. Firmy archiwizujące i niszczące dokumenty. Firmy świadczące usługi kurierskie i pocztowe. Firmy świadczące usługi ochroniarskie, kontroli dostępu i monitorujące wykorzystanie narzędzi pracy. Firmy prowadzące działania marketingowe Dane osobowe nie będą przekazywane do państw trzecich |
Pracownicy: a) przez okres 10 lat od ustania/rozwiązania stosunku pracy, gdy został on nawiązany nie wcześniej niż 01.01.2019 r., b) przez okres 50 lat od ustania/rozwiązania stosunku pracy, gdy został on nawiązany wcześniej niż 01.01.2019 r., c) w przypadku nawiązania umowy o współpracę/zlecenie/dzieło – do czasu upływu terminu przedawnienia roszczeń wynikających z umowy lub wygaśnięcia obowiązków przechowywania danych wynikających z przepisów prawa, w szczególności przechowywania dokumentów księgowych, d) do dnia wniesienia uzasadnionego sprzeciwu lub cofnięcia zgody, w sytuacji gdy podstawą przetwarzania danych osobowych jest prawnie uzasadniony interes administratora lub dobrowolna zgoda osoby, której dane dotyczą. Jeśli okres przechowywania wybranych dokumentów będzie krótszy, administrator będzie przestrzegał tego krótszego terminu. Współpracownicy. Do czasu przedawnienia roszczeń. Przez czas zgłoszenia do korzyści oferowanych w związku z zatrudnieniem, a po upływie tego terminu – do czasu upływu terminów wynikających stąd roszczeń |
Szyfrowanie dysków, oprogramowanie antywirusowe, cykliczne zmiany haseł |
Newsletter
| Proces / Właściciel procesu biznesowego |
Współadministrator danych | Cel przetwarzania wraz z czynnościami podejmowanymi, aby go osiągnąć | Kategorie osób, których dane dotyczą / Kategorie danych osobowych |
|---|---|---|---|
| Komunikacja marketingowa (w tym newsletter, rozmowy głosowe, mailing, SMS i poczta tradycyjna) Anna Nowak – dyrektor Działu Marketingu |
Brak | Marketing produktów i usług administratora z wykorzystaniem następujących form komunikacji: – newsletter (wysyłka biuletynu informacyjnego) | Subskrybenci newslettera Dane kontaktowe właściwe dla stosowanej formy komunikacji: adres e-mail, nr telefonu, adres pocztowy |
| Odbiorcy danych / Przekazywanie danych do państw trzecich | Terminy usunięcia danych | Techniczne i organizacyjne środki bezpieczeństwa |
|---|---|---|
| Firmy prowadzące działania marketingowe. Firmy świadczące usługi informatyczne lub dostarczające rozwiązań informatycznych Dane osobowe nie będą przekazywane do państw trzecich. |
Do czasu wycofania zgody opartej na przepisach ustawy o świadczeniu usług drogą elektroniczną lub ustawy – Prawo telekomunikacyjne lub do czasu wniesienia sprzeciwu, tj. okazania nam w dowolny sposób, że osoba, której dane dotyczą, nie życzy sobie pozostawać z nami w kontakcie i otrzymywać informacji o podejmowanych przez nas działaniach. Po wycofaniu zgody lub wyrażeniu sprzeciwu dane osobowe mogą być przechowywane na potrzeby wykazywania prawidłowości spełnienia obowiązków prawnych spoczywających na administratorze i na potrzeby związanych z nimi roszczeń (terminy przedawnienia roszczeń liczone od wycofania zgody lub złożenia sprzeciwu) | Szyfrowanie dysków, oprogramowanie antywirusowe, cykliczne zmiany haseł |
Monitoring wizyjny
| Proces / Właściciel procesu biznesowego |
Współadministrator danych | Cel przetwarzania wraz z czynnościami podejmowanymi, aby go osiągnąć | Kategorie osób, których dane dotyczą / Kategorie danych osobowych |
|---|---|---|---|
| Monitoring wizyjny Jan Kowalski – kierownik Działu Bezpieczeństwa |
Brak | Zapewnienie bezpieczeństwa osób znajdujących się na terenie organizacji, ochrona mienia, kontrola produkcji, zapewnienie ochrony danych osobowych i bezpieczeństwa informacji. Zapewnienie organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania narzędzi pracy udostępnionych pracownikowi | Pracownicy i współpracownicy, goście Pracownicy i współpracownicy: imię, nazwisko, stanowisko, ewidencja dostępu do pomieszczeń, dane o wykorzystaniu narzędzi pracy. Osoby znajdujące się w zasięgu monitoringu: wizerunek |
| Odbiorcy danych / Przekazywanie danych do państw trzecich | Terminy usunięcia danych | Techniczne i organizacyjne środki bezpieczeństwa |
|---|---|---|
| Firmy świadczące usługi ochroniarskie, kontroli dostępu i monitoringu. Firmy świadczące usługi informatyczne lub dostarczające rozwiązań informatycznych Przekazywanie danych do państw trzecich – do uzupełnienia. W przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO – dokumentacja zabezpieczeń |
Do 3 miesięcy, jeśli zaś będzie to niezbędne do ustalenia, dochodzenia lub obrony roszczeń – do czasu ich prawomocnego zakończenia, a w przypadku postępowań egzekucyjnych – do czasu ostatecznego zaspokojenia dochodzonych roszczeń | Szyfrowanie dysków, oprogramowanie antywirusowe, cykliczne zmiany haseł |
Kto odpowiada za prowadzenie rejestru czynności przetwarzania
E-learning RODO to już standard!
Jakkolwiek ostatecznie odpowiedzialność za odpowiedni kształt i treść rejestru spoczywa na administratorze, to nic nie stoi na przeszkodzie, by korzystał on z pomocy wybranych osób w ramach codziennej dbałości o rzetelność i aktualność RCP. W takiej sytuacji naturalnym wyborem – w zakresie poszczególnych procesów – stają się właściciele procesów. Również z tego względu warto ich wyznaczyć. Z reguły to oni posiadają największą wiedzę na temat przepływów danych osobowych w procesie, a niezależnie od tego – jest im relatywnie najłatwiej dotrzeć do osób, które bezpośrednio uczestniczą w procesie. Może to być też osoba na stanowisku specjalisty ds. ochrony danych osobowych (nie mylić z inspektorem!).
Jakie kary grożą za niewłaściwe prowadzenie rejestru czynności przetwarzania
Choć prowadzenie rejestrów może wydawać się zadaniem czysto porządkowym, to historia zna – i to całkiem liczne – przypadki kar, które organy nadzorcze nałożyły za naruszenia art. 30 RODO. Na podstawie ogólnodostępnych informacji przygotowaliśmy zestawienie takich kar. Zestawienie dzieli się na dwie części: polską (sankcje nałożone przez PUODO) oraz europejską (sankcje nałożone przez organy nadzorcze państw UE). Niektóre z ujętych w nim sankcji zostały nałożone wyłącznie za uchybienia dotyczące prowadzenia rejestru czynności przetwarzania (RCP) lub rejestru wszystkich kategorii czynności przetwarzania (RWKCP). Inne odnoszą się do naruszeń większej liczby przepisów (czyli naruszenie dotyczące prowadzenia rejestrów jest jednym z naruszeń, za które wymierzono łączną sankcję).
Polska
Kara była wymierzona także za inne naruszenia (art. 35 ust. 1 i 7 RODO)
Kara była wymieniona także za inne naruszenia (art. 5 ust. 1 lit. a), e) i f), art. 5 ust. 2, art. 28, art. 32 RODO).
Europa
Kara była wymierzona także za inne naruszenia (art. 28 i art. 29 RODO).
Kara była wymierzona także za inne naruszenia (art. 5 ust. 1 lit. a), e), f), art. 5 ust. 2, art. 6 ust. 1 lit. a), art. 7, art. 12 ust. 1, 2, 3, art. 13, art. 14, Art. 21 ust. 2, art. 24, art. 25, art. 28, art. 29, art. 32 ust. 1 lit. b) i d), art. 32 ust. 2, art. 35, art. 37 RODO).
Kara była wymierzona także za inne naruszenia (art. 5 ust.1 lit. a), art. 5 ust. 2, art. 6, art. 7, art. 13, art. 28, art. 29 RODO).
Kara była wymierzona także za inne naruszenia (art. 5 ust.1 lit. a), art. 6, art. 7, art. 13, art. 28, art. 29 RODO).
Kara była wymierzona także za inne naruszenia (art. 5 ust. 1 lit. a), art. 9, art. 13 RODO).
Kara była wymierzona także za inne naruszenia (art. 5 ust. 1 lit. a), b) i e), art. 6, art. 12, art. 13, art. 15 RODO).
Kara była wymierzona także za inne naruszenia (art. 5 ust. 1 lit. a), art. 9, art. 13 RODO).
Kara była wymierzona także za inne naruszenia (art. 5 ust. 1 lit. a), art. 6 RODO).
Kara była wymierzona także za inne naruszenia (art. 5 ust. 1 lit. a), f), art. 13, art. 14, art. 25, art. 32, art. 35 RODO).
UCHYLONA.
Kara była wymierzona także za inne naruszenia (art. 28 RODO).
Kara była wymierzona także za inne naruszenia (art. 16, 17, 31 RODO).
Kara była wymierzona także za inne naruszenia (art. 5, 6 RODO).
Kara była wymierzona także za inne naruszenia (art. 5 ust. 1 lit. a), c), art. 9 ust. 1, art. 13 ust. 1 i 2, art. 35 ust. 1 RODO).
Kara była wymierzona także za inne naruszenia (art. 6 ust. 1, art. 7 ust. 1, art. 31 RODO).
Kara była wymierzona także za inne naruszenia (art. 5 ust. 1 lit. f), art. 13, art. 14, art. 28, art. 32, art. 35 RODO).
Kara była wymierzona także za inne naruszenia (art. 5, art. 6, art. 12, art. 13, art. 37 ust. 5, art. 37 ust. 7 RODO).
Kara była wymierzona także za inne naruszenia (art. 13 ust. 1, art. 28 ust. 3 RODO).
Kara była wymierzona także za inne naruszenia (art. 5 ust. 1 lit. a) i art. 12 ust. 1 RODO).
Podsumowanie
Rolą RCP jest udzielenie odbiorcy odpowiedzi na pytanie: „W jaki sposób organizacja przetwarza dane osobowe?”. Motywacja do rzetelnego prowadzenia RCP gwałtownie wzrasta w momencie, gdy uświadomimy sobie, że jest to jeden z dokumentów najczęściej żądanych przez kontrolerów Urzędu Ochrony Danych Osobowych. Na administratorze zaś – zgodnie z art. 30 ust. 4 RODO – ciąży obowiązek udostępnienia rejestru na żądanie organu nadzorczego.
Chociaż perspektywa kary za niewłaściwe prowadzenie rejestru może budzić grozę, to warto skupić się raczej na jego głównej funkcji, czyli uporządkowaniu i ujednoliceniu procesów przetwarzania danych. To pozwoli potraktować rejestr jako wartość dodaną i krok ku kompletności systemu ochrony danych osobowych w całej organizacji.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Wskaż zdanie fałszywe: