Rejestr czynności przetwarzania, w skrócie RCPD, to jeden z podstawowych dokumentów RODO. Wbrew pozorom nie jest to formalność dla urzędnika. To mapa, która pokazuje, jakie dane osobowe firma zbiera, po co, gdzie je trzyma i komu je przekazuje. Bez tej mapy nie da się sensownie odpowiedzieć na wniosek osoby, obsłużyć incydentu ani ocenić ryzyka.

Kto musi prowadzić rejestr

Zasada z RODO brzmi, że obowiązek dotyczy administratorów zatrudniających co najmniej 250 osób, ale są od tego szerokie wyjątki. W praktyce niemal każda firma i tak powinna prowadzić rejestr, bo wyjątki obejmują przetwarzanie regularne oraz dane szczególnych kategorii.

  • Przetwarzasz dane pracowników i kandydatów: to przetwarzanie regularne.
  • Prowadzisz marketing lub obsługę klienta: to również regularne przetwarzanie.
  • Przetwarzasz dane o zdrowiu, np. w kadrach: to kategoria szczególna.

Wniosek jest prosty. Zamiast szukać powodu, żeby rejestru nie prowadzić, lepiej go po prostu mieć.

Co musi zawierać RCPD

Dla każdej czynności przetwarzania rejestr powinien opisywać kilka stałych elementów.

  • Nazwę czynności, np. rekrutacja, obsługa reklamacji, newsletter.
  • Cel przetwarzania i podstawę prawną.
  • Kategorie osób i kategorie danych.
  • Kategorie odbiorców danych.
  • Informację o przekazaniu do państwa trzeciego, jeśli występuje.
  • Planowane terminy usunięcia, czyli retencję.
  • Ogólny opis zabezpieczeń technicznych i organizacyjnych.

Zacznij od procesów, nie od systemów

Najczęstszy błąd to spisywanie systemów IT zamiast procesów biznesowych. Dane żyją w procesach. Jedna czynność, jak rekrutacja, może dotykać skrzynki mailowej, dysku współdzielonego i systemu ATS naraz.

W jednym audycie firma miała piękny rejestr oparty o nazwy programów, a i tak nie potrafiła powiedzieć, gdzie trafiają CV odrzuconych kandydatów. Rejestr opisany procesami rozwiązałby to w minutę.

Jak zbudować rejestr krok po kroku

  1. Zbierz kierowników działów i wypytaj o realne procesy z danymi osobowymi.
  2. Dla każdego procesu ustal cel, podstawę prawną i zakres danych.
  3. Ustal, gdzie dane fizycznie się znajdują i kto ma do nich dostęp.
  4. Określ odbiorców, w tym dostawców IT jako podmioty przetwarzające.
  5. Wyznacz terminy retencji i sposób usuwania.
  6. Opisz zabezpieczenia na poziomie ogólnym.

Do prowadzenia rejestru wystarczy arkusz kalkulacyjny, o ile jest aktualny i ma jednego właściciela. Narzędzie jest wtórne wobec rzetelności.

Jak utrzymać rejestr przy życiu

Największym zagrożeniem dla RCPD nie jest błąd przy tworzeniu, tylko to, że po miesiącu nikt do niego nie zagląda. Martwy rejestr jest gorszy niż jego brak, bo tworzy fałszywe poczucie zgodności.

  • Wyznacz właściciela rejestru, często jest nim IOD lub osoba przez niego wskazana.
  • Ustal przegląd cykliczny, na przykład raz na pół roku.
  • Aktualizuj rejestr przy każdej istotnej zmianie: nowy system, nowy dostawca, nowa usługa.
  • Powiąż aktualizację z procesem zakupowym IT, żeby nowe narzędzia nie wchodziły po cichu.

Powiązania, o których łatwo zapomnieć

Rejestr nie działa w próżni. Powinien łączyć się z umowami powierzenia, analizą ryzyka i procedurą obsługi żądań osób. Kiedy klient prosi o dostęp do swoich danych albo o ich usunięcie, dobrze prowadzony RCPD od razu mówi, gdzie te dane szukać.

Podsumowanie

Dobry rejestr czynności przetwarzania to praktyczne narzędzie, a nie ozdoba do segregatora. Buduj go wokół procesów, przypisz mu właściciela i regularnie aktualizuj. Wtedy w razie kontroli, incydentu albo wniosku osoby masz gotową odpowiedź zamiast paniki.

Jeśli chcesz mieć pewność, że Twój rejestr obejmuje wszystko i jest zgodny z rzeczywistością, sprawdź nasz audyt RODO oraz outsourcing IOD. Pomożemy zbudować rejestr i, co ważniejsze, utrzymać go w formie.