Zgłoszenie naruszenia danych osobowych - procedura 72h
czytaj więcej
Prowadzisz firmę online - sklep, stronę z usługami, aplikację - i zbierasz dane klientów. To znaczy, że RODO nakłada na Ciebie obowiązek, o którym wielu przedsiębiorców zapomina, dopóki nie zapuka urząd: rejestr czynności przetwarzania. Poniżej wyjaśniam, czym jest RCPD, kto realnie musi go prowadzić i jak przygotować go tak, żeby nie był tylko martwą tabelką.
Czym jest rejestr czynności przetwarzania
RCPD to wewnętrzny dokument, w którym opisujesz wszystkie sytuacje, w których Twoja firma przetwarza dane osobowe. Reguluje go art. 30 RODO. Nie chodzi o listę pojedynczych osób, tylko o czynności - np. 'obsługa zamówień w sklepie', 'newsletter', 'rekrutacja', 'kadry i płace'. Każda taka czynność to osobny wpis. Rejestr pełni podwójną rolę: porządkuje Twoją wiedzę o danych i jest pierwszym dokumentem, o który poprosi Prezes UODO podczas kontroli.
Kto musi prowadzić RCPD
Obowiązek dotyczy zarówno administratora, jak i podmiotu przetwarzającego. Art. 30 ust. 5 RODO przewiduje wyjątek dla firm zatrudniających mniej niż 250 osób - ale ten wyjątek jest pozorny i w praktyce prawie nikogo nie zwalnia.
Nie skorzystasz ze zwolnienia, jeżeli:
- przetwarzanie nie ma charakteru sporadycznego (a obsługa klientów, kadry czy marketing to działania stałe),
- przetwarzanie może powodować ryzyko naruszenia praw i wolności osób,
- przetwarzasz dane szczególnych kategorii (np. o zdrowiu) lub dane dotyczące wyroków skazujących.
Wystarczy jeden z tych warunków, żeby obowiązek wrócił. Dlatego przyjmij założenie, że RCPD prowadzisz - tak będzie bezpieczniej.
Co powinien zawierać rejestr
Art. 30 ust. 1 RODO wskazuje konkretne elementy, które musi mieć wpis administratora:
- nazwa i dane kontaktowe administratora (oraz IOD, jeśli został powołany),
- cele przetwarzania - po co zbierasz dane,
- kategorie osób i kategorie danych osobowych,
- kategorie odbiorców, którym dane ujawniasz (np. biuro rachunkowe, firma kurierska, dostawca hostingu),
- informacja o przekazywaniu danych poza EOG, jeśli ma miejsce,
- planowane terminy usunięcia danych dla poszczególnych kategorii,
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (odsyła do art. 32 RODO).
Rejestr prowadzisz na piśmie, także w formie elektronicznej. Tabela w arkuszu w zupełności wystarczy - RODO nie narzuca formatu.
Rejestr czynności przetwarzania - jak zrobić krok po kroku
- Zrób inwentaryzację. Wypisz każdą sytuację, w której dane wchodzą do firmy: zamówienia, formularz kontaktowy, newsletter, rekrutacja, faktury, monitoring.
- Opisz każdą czynność według elementów z art. 30 - cel, podstawa prawna, kategorie danych i osób, odbiorcy, okres przechowywania.
- Ustal terminy retencji. To najczęściej pomijany punkt - określ, jak długo trzymasz dane (np. faktury 5 lat, CV po zakończonej rekrutacji do usunięcia).
- Powiąż rejestr z resztą dokumentacji. Wpisy muszą być spójne z Twoją dokumentacją RODO - politykami, klauzulami i umowami powierzenia.
- Aktualizuj na bieżąco. Nowa usługa czy nowe narzędzie oznacza nowy wpis. Rejestr to żywy dokument, nie jednorazowe zadanie.
Jeżeli powołałeś Inspektora Ochrony Danych, to on zwykle czuwa nad aktualnością rejestru - ale odpowiedzialność za jego istnienie zawsze spoczywa na administratorze.
Najczęstszy błąd
Pobranie darmowego wzoru z internetu i wpisanie w niego byle czego. Taki rejestr wygląda, jakby był - ale przy kontroli szybko widać, że nie odpowiada temu, co firma realnie robi z danymi. RCPD ma odzwierciedlać Twoje procesy, nie cudzy szablon.
Jeśli chcesz mieć pewność, że Twój rejestr czynności przetwarzania jest kompletny i zgodny z tym, co dzieje się w firmie - pomogę Ci go przygotować albo uporządkować istniejący, razem z całą dokumentacją RODO. Prowadzę też stałą opiekę w roli IOD, jeśli wolisz oddać ten temat w ręce prawnika na dłużej. Napisz - ustalimy, czego potrzebujesz.

