(+48) 12 350 60 88 [email protected]

Rejestr czynności przetwarzania – fundament dokumentacji RODO

Porady, Zrozumieć RODO

Jedyny dokument, którego RODO wymaga wprost

W rozmowach z Administratorami Danych bardzo często słyszymy: „Potrzebujemy dokumentacji, polityki, instrukcje i procedury RODO.” I tu zaczyna się klasyczny problem.

Wiele organizacji myśli o stosie dokumentów „bo tak trzeba”, nie znając podstawowej zasady RODO:

RODO wskazuje wprost jeden nazwany dokument, który trzeba prowadzić: rejestr czynności przetwarzania (art. 30 RODO).

Pozostała dokumentacja – polityki, procedury, instrukcje – jest potrzebna, ale wynika z obowiązku wdrożenia odpowiednich środków (art. 24 i art. 32 RODO), dobranych do ryzyka konkretnej organizacji. Nie istnieje żadna „magiczna lista dokumentów do odhaczenia”.

Jeżeli organizacja nie ma rzetelnego rejestru – nie ma fundamentu, na którym da się zbudować sensowną zgodność z RODO.

Czym właściwie jest rejestr czynności przetwarzania?

Mówiąc najprościej: to spis wszystkiego, co organizacja robi z danymi osobowymi.

Każda organizacja – urząd, szkoła, przychodnia, biblioteka czy firma – na co dzień przetwarza dane osobowe. Prowadzi listy pracowników, obsługuje wnioski mieszkańców, wystawia faktury, prowadzi korespondencję, monitoruje teren kamerami. Każda z tych czynności to odrębny „proces przetwarzania danych”.

Rejestr czynności to dokument, w którym opisujemy każdy taki proces. Dla każdej czynności odpowiadamy na szereg precyzyjnych pytań. Art. 30 RODO określa minimalny zakres informacji – w praktyce rzetelny rejestr obejmuje następujące elementy:

Elementy rzetelnego rejestru czynności przetwarzania

  • Nazwa czynności przetwarzania – konkretna, opisowa nazwa procesu, np. „Obsługa wniosków o świadczenia rodzinne”, „Monitoring wizyjny budynku urzędu”, „Rekrutacja pracowników”. Nie „Kadry” – bo to nie jest czynność, to dział.
  • Jednostka organizacyjna odpowiedzialna za przetwarzanie – który dział, referat lub komórka jest właścicielem procesu i odpowiada za prawidłowość przetwarzania danych w jego ramach.
  • Cel przetwarzania – po co przetwarzamy dane. Cel musi być konkretny: np. realizacja obowiązku prawnego wynikającego z ustawy o pomocy społecznej, wykonanie umowy o pracę, obsługa wniosku mieszkańca. Ogólny zapis „realizacja zadań statutowych” nie jest celem – to unik.
  • Kategorie osób, których dane przetwarzamy – np. kandydaci do pracy, pracownicy, uczniowie, petenci, wnioskodawcy, pacjenci, rodzice uczniów, świadkowie, strony postępowań, klienci.
  • Kategorie przetwarzanych danych – np. dane identyfikacyjne (imię, nazwisko, PESEL), kontaktowe (adres, telefon, e-mail), finansowe, zdrowotne, dane szczególnej kategorii (art. 9 RODO), dane dzieci.
  • Podstawa prawna przetwarzania – co uprawnia organizację do przetwarzania danych. Jeżeli podstawą jest przepis prawa – należy go wskazać precyzyjnie: konkretna ustawa, artykuł, ustęp. Zapis „przepisy prawa” bez wskazania jakich – nie jest podstawą prawną. To jest luka.
  • Źródło pozyskania danych – czy dane pozyskujemy bezpośrednio od osoby, której dotyczą (np. z wniosku, formularza, umowy), czy z innych źródeł (np. od innego organu, z rejestru publicznego). Jeżeli z innych źródeł – należy je wskazać.
  • Czas przechowywania danych (retencja) – kiedy i na jakiej podstawie dane są usuwane lub archiwizowane. W jednostkach publicznych retencja musi wynikać z konkretnych przepisów: instrukcji kancelaryjnej i JRWA, przepisów archiwalnych, przepisów branżowych (oświata, zdrowie, pomoc społeczna), przepisów o dokumentacji pracowniczej. Ogólny zapis „do czasu ustania celu” to nie jest retencja – to brak odpowiedzi na pytanie.
  • Podmioty przetwarzające – firmy i dostawcy, którym powierzono przetwarzanie danych w imieniu organizacji na podstawie umowy powierzenia (art. 28 RODO): np. firmy IT, hostingodawcy, biura rachunkowe, firmy niszczące dokumenty.
  • Kategorie odbiorców danych – podmioty, którym dane są udostępniane, inne niż podmioty przetwarzające: np. organy publiczne, instytucje kontrolne, sądy, ZUS, instytucje finansujące.
  • Współadministratorzy – jeśli dane są przetwarzane wspólnie z inną organizacją na podstawie porozumienia o współadministrowaniu (art. 26 RODO).
  • Nazwy systemów informatycznych, w których dane są przetwarzane – np. system kadrowo-płacowy, e-dziennik, system obiegu dokumentów, poczta elektroniczna, monitoring wizyjny, system fakturowy, KSEF, e-doręczenia.
  • Ogólny opis technicznych środków bezpieczeństwa – np. szyfrowanie, kontrola dostępu, kopie zapasowe, ochrona przed złośliwym oprogramowaniem.
  • Ogólny opis organizacyjnych środków bezpieczeństwa – np. upoważnienia do przetwarzania danych, polityki dostępu, szkolenia pracowników.
  • Przekazywanie danych do krajów trzecich – czy dane są przekazywane poza Europejski Obszar Gospodarczy, a jeśli tak – na jakiej podstawie i z jakimi zabezpieczeniami.
  • Czy czynność wymaga DPIA – oceny skutków dla ochrony danych (art. 35 RODO). Wymagana dla procesów wysokiego ryzyka, np. rozległego monitoringu, profilowania, przetwarzania danych wrażliwych na dużą skalę.

Wypełniony rejestr daje odpowiedź na pytanie: co nasza organizacja wie o danych, które przetwarza i dlaczego robi to zgodnie z prawem.

Dla organu kontrolnego – Urzędu Ochrony Danych Osobowych – rejestr jest pierwszym dokumentem, o który pyta podczas kontroli. Jego brak lub niekompletność to bezpośrednie ryzyko naruszenia przepisów RODO.

„Mamy RODO, mamy segregator” – i dlaczego to często jest iluzja

W praktyce spotykamy trzy powtarzające się scenariusze, które wyglądają jak zgodność z RODO, ale nią nie są.

Scenariusz 1: „Mamy polityki i instrukcje”

Organizacja ma pliki: „Polityka bezpieczeństwa”, „Polityka haseł”, „Procedura naruszeń”, „Upoważnienia”. Gdy jednak pytamy o rejestr czynności (art. 30 RODO) – zapada cisza albo pojawia się kartka z kilkunastoma ogólnymi wpisami.

Bez rejestru organizacja nie potrafi odpowiedzieć na podstawowe pytania kontrolne:

  • po co przetwarza dane w tym procesie?
  • jaka jest podstawa prawna?
  • komu udostępnia?
  • ile przechowuje i dlaczego akurat tyle?

To są pytania wprost z konstrukcji art. 30 RODO.

Scenariusz 2: Rejestr z 12–20 wpisami – czerwona flaga

W jednostce publicznej (urząd, szkoła, OPS, SPZOZ, biblioteka) kilkanaście czynności w rejestrze zwykle oznacza jedno: rejestr jest „dla papieru”, a nie odzwierciedla rzeczywistości. Realna jednostka publiczna prowadzi dziesiątki różnych procesów – kadry, płace, świadczenia, obsługa klientów, monitoring, korespondencja, zamówienia publiczne, finanse i wiele innych. Kilkanaście wpisów to nie jest rejestr. To jest lista życzeń.

Jeżeli rejestr jest dramatycznie niekompletny, organizacja nie jest w stanie wykazać zgodności z zasadą rozliczalności (art. 5 ust. 2 RODO). W uproszczeniu: „Nie mamy kontroli nad przetwarzaniem, bo nawet nie wiemy, co przetwarzamy.”

Scenariusz 3: Rejestr „z internetu”

Schemat jest zawsze podobny:

  • gotowy szablon, kilkanaście ogólnych wpisów (Kadry, Monitoring, Korespondencja),
  • kopiuj-wklej tych samych podstaw prawnych,
  • te same okresy przechowywania bez odniesień do konkretnych przepisów,
  • brak realnych odbiorców danych,
  • brak powiązania z systemami i strukturą organizacyjną.

To nie jest pełnoprawny rejestr. To jest atrapa – która w razie kontroli nie pomaga, tylko szkodzi, bo pokazuje brak realnego nadzoru nad przetwarzaniem danych.

Administrator (ADO) odpowiada za zgodność i ma umieć ją wykazać (art. 5 ust. 2 oraz art. 24 RODO). IOD doradza i monitoruje, ale działa niezależnie (art. 38 ust. 3 RODO) i nie przejmuje odpowiedzialności za administratora.

W praktyce oznacza to, że IOD może przygotować model, pomóc zebrać informacje i wskazać braki – ale to ADO musi zapewnić zasoby, współpracę komórek organizacyjnych i realne wdrożenie. Jeśli rejestr jest niekompletny, to nie jest „wina dokumentu” – to sygnał, że organizacja nie zorganizowała procesu zarządzania danymi.

 

Gdzie najszybciej widać konsekwencje złego rejestru?

Klauzule informacyjne (art. 13 i 14 RODO)

Klauzule muszą odzwierciedlać rzeczywiste przetwarzanie: cele, podstawy, odbiorców, okresy przechowywania. Jeżeli rejestr jest fikcyjny lub zbyt ogólny – klauzule też będą niespójne, niepełne, a czasem po prostu nieprawdziwe. Obowiązek informacyjny to nie jest „ładny tekst” – to obowiązek prawny.

Ważna zasada, o której wiele organizacji nie wie: nie można stworzyć jednej uniwersalnej klauzuli informacyjnej obejmującej więcej niż jeden cel przetwarzania. Każdy odrębny cel wymaga osobnej klauzuli. Klauzula musi być transparentna i zrozumiała dla osoby, której dane dotyczą – nie wystarczy powołać się na „art. 6 ust. 1 lit. a RODO”. Trzeba wyjaśnić, co to oznacza w praktyce dla tej konkretnej osoby w tym konkretnym procesie. Tak samo z retencją – zapis „zgodnie z przepisami” nie spełnia wymogu przejrzystości. Okres przechowywania musi być podany konkretnie.

Zasada jest prosta: najpierw czynność w rejestrze – potem klauzula. Nigdy odwrotnie.

Rejestr jest źródłem prawdy. Klauzula jest tylko jego odzwierciedleniem wobec osoby, której dane przetwarzamy. Tworzenie klauzul bez uprzedniego opracowania czynności w rejestrze to budowanie domu od dachu.

Podmioty przetwarzające i udostępnienia (art. 28 RODO)

W sektorze publicznym jest masa dostawców: e-dzienniki, systemy kadrowo-płacowe, hosting, serwis IT, monitoring, niszczenie dokumentów, platformy e-usług. Rejestr, który nie pokazuje komu dane są powierzane, komu udostępniane, na jakiej podstawie i w jakich systemach – jest jak mapa miasta bez ulic.

Okresy przechowywania (retencja)

W praktyce retencja to najczęściej fikcja w dokumentach. Wpisy w stylu „przechowujemy 5 lat”, „do czasu ustania celu” czy „zgodnie z przepisami” (jakimi?) nie są obroną w razie kontroli.

W jednostkach publicznych retencja bardzo często wynika z:

  • przepisów branżowych,
  • instrukcji kancelaryjnej i JRWA,
  • przepisów archiwalnych,
  • przepisów o dokumentacji pracowniczej,
  • przepisów o świadczeniach, pomocy społecznej, zdrowiu lub oświacie.

Jeśli rejestr tego nie odzwierciedla precyzyjnie – organizacja nie jest w stanie obronić swojej praktyki.

Systemy informatyczne i upoważnienia

W sektorze publicznym dostęp do danych odbywa się przez systemy informatyczne. Jeśli rejestr nie jest powiązany z ewidencją systemów, strukturą organizacyjną i upoważnieniami – ADO nie ma kontroli nad tym, kto, gdzie i po co ma dostęp do danych. To jest sedno „środków organizacyjnych” z art. 24 i bezpieczeństwa z art. 32 RODO.

Jak można prowadzić rejestr?

Przepisy nie narzucają konkretnej formy – rejestr może być prowadzony w dowolny sposób, w tym:

  • w Excelu lub innym arkuszu kalkulacyjnym – metoda dostępna, ale wymagająca ręcznego utrzymywania spójności, pilnowania zmian w przepisach i samodzielnego zarządzania powiązaniami między dokumentami,
  • w dedykowanej aplikacji, takiej jak RODOpilot.pl – rozwiązanie, które rekomendujemy naszym Klientom jako standard właściwego prowadzenia rejestru.

Dla Klientów, którzy preferują prowadzenie rejestru w arkuszu – w aplikacji RODOpilot.pl, w sekcji Dokumenty, dostępny jest przykładowy arkusz Excel opracowany przez Urząd Ochrony Danych Osobowych (UODO). Można go pobrać i wykorzystać jako punkt wyjścia.

Podsumowanie

Rejestr czynności przetwarzania nie jest kolejnym „papierem do segregatora”. To podstawowe narzędzie zarządzania ochroną danych w organizacji. Pozwala zrozumieć, jakie dane są przetwarzane, w jakim celu, na jakiej podstawie prawnej i przez kogo.

Bez rzetelnego rejestru trudno mówić o realnym wdrożeniu RODO. Organizacja nie jest w stanie:

  • wykazać zgodności z zasadą rozliczalności,
  • prawidłowo przygotować klauzul informacyjnych,
  • określić odbiorców danych,
  • ustalić właściwych okresów przechowywania.

Dlatego w praktyce prace nad zgodnością z RODO zawsze zaczynają się od jednego pytania:

czy organizacja naprawdę wie, jakie procesy przetwarzania danych prowadzi?

Jeżeli odpowiedź nie jest oczywista, pierwszym krokiem powinno być uporządkowanie rejestru czynności przetwarzania.

W naszej pracy z klientami zaczynamy właśnie od tego etapu — identyfikacji rzeczywistych procesów przetwarzania, przypisania im podstaw prawnych, określenia retencji oraz powiązania z systemami i odbiorcami danych. Dopiero na tej podstawie można budować spójną dokumentację i procedury ochrony danych.

Jeżeli masz wątpliwości, czy rejestr czynności w Twojej organizacji jest kompletny i odzwierciedla rzeczywiste procesy — warto to sprawdzić zanim zrobi to organ nadzorczy.