Rejestr czynności przetwarzania po RODO: jak go poprawnie prowadzić w małej i średniej firmie

Przez
Krystyna Krawczyk
-
0
6
Rate this post

Nawigacja po artykule:

Po co w ogóle rejestr czynności przetwarzania w małej firmie

Rozliczalność, minimalizacja i przejrzystość w praktyce MŚP

RODO wprowadziło kilka zasad ogólnych, które przewijają się niemal w każdym obowiązku, także w rejestrze czynności przetwarzania. Kluczowe są trzy: rozliczalność, minimalizacja danych i przejrzystość. Rejestr jest jednym z głównych narzędzi, które mają pokazać, że te zasady są u Ciebie realnie wdrażane – nie tylko zapisane w polityce prywatności.

Rozliczalność oznacza, że w razie kontroli lub sporu musisz umieć wykazać, co robisz z danymi osobowymi, po co to robisz i na jakiej podstawie. Rejestr czynności przetwarzania po RODO to w praktyce spis procesów, w których pojawiają się dane klientów, pracowników, kontrahentów czy użytkowników serwisu. Bez tego spisu często nawet właściciel firmy nie jest w stanie w kilka minut odpowiedzieć, gdzie leżą konkretne dane i kto ma do nich dostęp.

Minimalizacja danych to z kolei wymóg, aby zbierać tylko tyle danych, ile jest rzeczywiście potrzebne do danego celu. Jeżeli masz dobrze opisane czynności przetwarzania, łatwo sprawdzisz, czy w danym procesie nie zbierasz „nadmiarowych” informacji, bo tak było zawsze albo bo formularz przygotował grafik, a nie ktoś znający zasady ochrony danych.

Przejrzystość natomiast odsyła do tego, co komunikujesz osobom, których dane dotyczą – m.in. w klauzulach informacyjnych. Rejestr pomaga utrzymać spójność między tym, co dzieje się „w środku” firmy, a tym, co deklarujesz na zewnątrz. Gdy klauzula mówi o jednym celu i jednym okresie przechowywania, a rejestr o czymś zupełnie innym, w razie kontroli jest to natychmiast widoczne.

Rejestr czynności jako mapa danych w firmie

W małej i średniej firmie rejestr przetwarzania nie powinien być tylko tabelką przygotowaną na wszelki wypadek. Znacznie lepsze podejście polega na traktowaniu rejestru jak mapy danych osobowych. Dobrze przygotowany dokument pokazuje, gdzie dane są zbierane, w jakich systemach się znajdują, kto do nich zagląda, jak długo są potrzebne i komu są przekazywane.

W praktyce pomaga to uporządkować firmowe procesy. Wiele MŚP odkrywa na etapie tworzenia rejestru, że dane klientów „rozlane są” po prywatnych skrzynkach e-mailowych pracowników, po notatkach w papierowych zeszytach, po wielu narzędziach SaaS używanych testowo bez umów powierzenia. Spięcie tego wszystkiego w spójny opis często prowadzi do decyzji o uproszczeniu narzędzi i procedur.

Rejestr jest też punktem odniesienia dla aktualizacji regulaminów, polityk bezpieczeństwa, upoważnień i instrukcji dla pracowników. Zamiast wymyślać je w próżni, można zestawić je z konkretnymi czynnościami przetwarzania i lepiej dopasować do realnego ryzyka.

Korzyści dla właściciela i zarządu, nie tylko „święty spokój” z UODO

Jednym z powodów, dla których małe firmy odkładają rejestr czynności, jest przekonanie, że chodzi wyłącznie o kolejną tabelkę „dla urzędników”. Tymczasem dobrze przygotowany rejestr ma kilka wymiernych korzyści biznesowych, które zwykle docenia się dopiero po czasie.

Po pierwsze, mniejsze ryzyko chaosu. Gdy firma rośnie, przybywa pracowników, systemów i dokumentów, a wiedza o procesach jest w głowach dwóch–trzech osób. Rejestr wymusza uporządkowanie podstaw: kto za co odpowiada, gdzie są dane, jak długo z nimi pracujemy. To z kolei ułatwia wdrażanie nowych osób, porządkowanie dostępu do systemów czy decyzje o likwidacji starych baz.

Po drugie, łatwiejsze reagowanie na incydenty. Jeżeli dochodzi do naruszenia ochrony danych – wycieku maili, zgubienia laptopa, omyłkowego wysłania pliku do złego adresata – rejestr pozwala szybko ustalić, z jaką czynnością przetwarzania jest to związane, jakie kategorie osób i danych są objęte, komu te dane były przekazywane. To znacznie skraca czas reakcji i przygotowania ewentualnego zgłoszenia do UODO.

Po trzecie, wsparcie w rozmowach z klientami B2B. Dużym klientom coraz częściej zależy na tym, aby dostawca miał uporządkowaną ochronę danych. Pytają o rejestr, o podstawy prawne, o zasady przechowywania danych, o podmioty przetwarzające. Posiadanie spójnego rejestru pozwala odpowiedzieć na te pytania bez improwizacji, co buduje zaufanie i może zaważyć na wygraniu przetargu.

Obsługa praw osób, których dane dotyczą, bez paniki

Prawo dostępu, prawo do sprostowania, sprzeciwu czy usunięcia danych brzmi na pierwszy rzut oka dość abstrakcyjnie. Problem pojawia się, gdy klient napisze e-mail: „Proszę o informację, jakie moje dane przetwarzacie, gdzie i komu je przekazaliście”. Bez rejestru trzeba szukać na oślep po systemach, dopytywać handlowców i księgowość, co zwykle kończy się nerwową improwizacją.

Jeżeli czynności przetwarzania są dobrze opisane, łatwiej ustalić, w jakich procesach pojawiają się dane konkretnego klienta: np. obsługa zamówień, marketing newsletterowy, analiza statystyk sprzedaży, windykacja. Rejestr podpowiada, z jakich systemów trzeba pozyskać dane, jakie są okresy przechowywania oraz czy przetwarzanie odbywa się na podstawie zgody, umowy, prawnie uzasadnionego interesu czy przepisu prawa.

Analogicznie przy żądaniu usunięcia danych. mając aktualny rejestr, można szybko sprawdzić, które dane rzeczywiście należy usunąć, a które trzeba pozostawić z powodów księgowych czy do obrony przed roszczeniami. Dzięki temu unikasz pochopnych decyzji, które później trudno odkręcić.

Czy moja firma musi mieć rejestr? Interpretacja wyjątków dla MŚP

Art. 30 RODO – ogólny obowiązek i wyjątek dla małych firm

Podstawą prawną obowiązku prowadzenia rejestru jest art. 30 RODO. Co do zasady każdy administrator i każdy podmiot przetwarzający mają obowiązek dokumentować czynności przetwarzania w odpowiednim rejestrze. Popularna opinia głosi, że małe firmy zatrudniające mniej niż 250 osób są z tego zwolnione – ale jest to tylko część obrazu.

RODO rzeczywiście przewiduje wyjątek dla podmiotów zatrudniających mniej niż 250 pracowników. Jednak ten wyjątek jest bardzo wąski. Ma zastosowanie tylko wtedy, gdy przetwarzanie:

  • ma charakter sporadyczny,
  • nie obejmuje szczególnych kategorii danych (np. zdrowotnych, dotyczących poglądów politycznych, przekonań religijnych),
  • nie dotyczy danych dotyczących wyroków skazujących i naruszeń prawa.

Jeśli choć jeden z powyższych warunków nie jest spełniony, rejestr czynności przetwarzania jest wymagany tak samo, jak w dużych organizacjach. W praktyce oznacza to, że większość firm MŚP nie mieści się w tym wyjątku, bo ich przetwarzanie danych nie jest sporadyczne.

„Przetwarzanie sporadyczne” – jak rozumieć ten zwrot

Najwięcej wątpliwości budzi pojęcie sporadyczności. RODO go nie definiuje, ale z dotychczasowych wytycznych i praktyki wynika, że przetwarzanie sporadyczne to takie, które:

  • nie odbywa się w sposób ciągły ani regularny,
  • nie jest integralną częścią głównej działalności firmy,
  • pojawia się incydentalnie, np. raz na jakiś czas przy realizacji nietypowego projektu.

Typowe czynności w małej firmie – obsługa zamówień, stałe zatrudnienie pracowników, prowadzenie księgowości, regularny marketing – nie spełniają tej definicji. Są one powtarzalne, stałe i przewidywalne, a więc trudno nazwać je sporadycznymi.

Innymi słowy, działalność, która polega na stałej obsłudze klientów, nie może być traktowana jako przetwarzanie incydentalne, nawet jeżeli firma zatrudnia pięć osób i działa lokalnie. Już sam fakt codziennego gromadzenia danych o klientach, pracownikach czy kontrahentach wyłącza możliwość powołania się na ten wyjątek.

Przykłady: e‑sklep, biuro rachunkowe, software house

Dla lepszego zrozumienia, kiedy obowiązek prowadzenia rejestru w MŚP istnieje, a kiedy nie, przydatne są krótkie przykłady z praktyki.

Sklep internetowy obsługujący zamówienia klientów indywidualnych na stałe przetwarza imiona, nazwiska, adresy, dane kontaktowe, historię zakupów, numer konta bankowego (pośrednio z informacji o płatnościach). Przetwarzanie jest stałe i związane z główną działalnością. Taki sklep – nawet zatrudniający trzy osoby – powinien mieć rejestr czynności przetwarzania po RODO.

Biuro rachunkowe obsługuje dokumenty swoich klientów, w tym listy płac, informacje o wynagrodzeniu, czasem dane o zwolnieniach lekarskich. Tu w grę wchodzą szczególne kategorie danych (zdrowie), a przetwarzanie jest stałym elementem działalności. Brak rejestru w takim podmiocie jest trudny do obrony.

Mały software house tworzący aplikacje dla klientów biznesowych może być zarówno administratorem danych (np. dla swoich pracowników i kandydatów do pracy), jak i podmiotem przetwarzającym dane klientów w testowanych systemach. W obu tych rolach trudno mówić o sporadycznym przetwarzaniu – praca z danymi odbywa się regularnie. Rejestr czynności i rejestr kategorii czynności są tu praktycznie koniecznością.

Kiedy rejestr jest faktycznym obowiązkiem, a kiedy dobrą praktyką

Łącząc przepisy z praktyką, można sformułować dość prostą konkluzję: większość firm MŚP realnie powinna prowadzić rejestr. Wyłączyć można co najwyżej podmioty, które niemal w ogóle nie przetwarzają danych osób fizycznych lub robią to jedynie incydentalnie, np. jednorazowo organizując konkurs bez tworzenia długich list czy baz.

Z tego powodu sporo małych firm sięga po gotowe wskazówki i interpretacje, np. w serwisach takich jak Nowe zasady przetwarzania danych osobowych po wdrożeniu RODO, po czym adaptuje je do własnej skali. Często wystarcza dobrze przygotowany arkusz kalkulacyjny i jedna osoba odpowiedzialna za aktualizacje.

Nawet jeśli jakaś firma w teorii mieści się w wyjątku (np. jednoosobowy wykonawca B2B mający niemal wyłącznie kontakty z innymi firmami), prowadzenie prostego rejestru nadal pozostaje rozsądną praktyką. Pozwala uporządkować to, co i tak dzieje się codziennie, ułatwia przygotowanie klauzul informacyjnych i umów powierzenia oraz obniża ryzyko popełnienia błędu z niewiedzy.

Rejestr czynności a rejestr kategorii czynności: kto co prowadzi

Administrator danych a podmiot przetwarzający – prosty podział ról

Podstawowa różnica, od której trzeba zacząć, to rozróżnienie między administratorem danych a podmiotem przetwarzającym (procesorem). Administrator to ten, kto decyduje o celach i sposobach przetwarzania. Podmiot przetwarzający wykonuje przetwarzanie w imieniu administratora, zgodnie z jego instrukcjami.

Typowe przykłady administratora to: właściciel sklepu internetowego wobec danych klientów, pracodawca wobec danych pracowników, operator serwisu internetowego wobec danych użytkowników. Podmiotem przetwarzającym jest natomiast np. zewnętrzna księgowość obsługująca kadry i płace, agencja marketingowa obsługująca kampanie mailingowe, dostawca chmurowego systemu CRM.

W praktyce jedna firma może być jednocześnie administratorem i procesorem, ale w odniesieniu do innych zestawów danych. Agencja marketingowa jest administratorem wobec własnych danych pracowników i kandydatów, a jednocześnie podmiotem przetwarzającym wobec danych klientów swojego klienta.

Rejestr czynności przetwarzania (administrator) – co obejmuje

Rejestr czynności przetwarzania to dokument, który prowadzi administrator. Zawiera on opis wszystkich głównych czynności, w których administrator przetwarza dane osób fizycznych w związku ze swoją działalnością. Są to m.in.:

  • obsługa klientów (sprzedaż, reklamacje, wsparcie posprzedażowe),
  • marketing i działania promocyjne,
  • obsługa strony internetowej i aplikacji, w tym logi serwerowe, cookies itp.,
  • rekrutacja, zatrudnienie, rozliczanie czasu pracy, szkolenia,
  • księgowość, rozliczenia podatkowe, rozliczanie umów cywilnoprawnych,
  • monitoring wizyjny, jeżeli jest stosowany.

Każda z tych czynności powinna być opisana zgodnie z wymaganiami art. 30 RODO: cele, kategorie osób i danych, odbiorcy, transfery poza EOG, planowane terminy usunięcia oraz ogólny opis zabezpieczeń. Rejestr jest więc „atlasem” najważniejszych procesów, za które administrator ponosi odpowiedzialność.

Rejestr kategorii czynności przetwarzania (procesor) – odrębny dokument

Jeżeli Twoja firma działa również jako podmiot przetwarzający, dochodzi drugi dokument – rejestr kategorii czynności przetwarzania. Prowadzi go procesor i opisuje w nim, w jakich kategoriach czynności przetwarza dane w imieniu konkretnych administratorów.

Różnica jest subtelna, ale istotna: administrator opisuje własne procesy, a procesor opisuje czynności wykonywane dla innych. Przykładowe pozycje w rejestrze kategorii czynności:

Jakie informacje ujmuje się w rejestrze kategorii czynności

Rejestr kategorii czynności przetwarzania ma nieco inną strukturę niż rejestr administratora. Procesor nie opisuje szczegółowo swoich wewnętrznych procesów, tylko ujmuje czynności „z lotu ptaka” – przez pryzmat usług świadczonych dla poszczególnych klientów (administratorów). Art. 30 ust. 2 RODO wymaga w szczególności wskazania:

  • nazwy i danych kontaktowych procesora oraz każdego administratora, na rzecz którego świadczone są usługi (często także dane inspektora ochrony danych, jeśli został powołany),
  • kategorii przetwarzań realizowanych w imieniu poszczególnych administratorów, np. „obsługa księgowa”, „obsługa kampanii mailingowych”, „utrzymanie systemu CRM”,
  • informacji o transferach do państw trzecich lub organizacji międzynarodowych, jeżeli mają miejsce – razem ze wskazaniem odpowiednich zabezpieczeń (np. standardowe klauzule umowne),
  • ogólnego opisu środków bezpieczeństwa, technicznych i organizacyjnych, stosowanych przez podmiot przetwarzający.

Mały podmiot rzadko ma rozbudowany portfel usług, dlatego często wystarczą 2–3 kategorie czynności, opisane w odniesieniu do grup administratorów (np. „klienci biura rachunkowego z branży handlowej”). Istotę rejestru stanowi wykazanie, że procesor wie, jakie dane przetwarza, w jakim celu i dla kogo.

Typowe pomyłki MŚP przy rozróżnieniu dwóch rejestrów

W małych i średnich firmach pojawiają się powtarzalne błędy, które później generują zamieszanie podczas audytu lub kontroli:

  • jeden dokument do wszystkiego – wszystko ląduje w jednym arkuszu, bez wyraźnego rozróżnienia: które czynności są wykonywane jako administrator, a które jako procesor,
  • brak administratorów w rejestrze procesora – wpisane są kategorie czynności, ale nie ma przypisania ich do konkretnych administratorów lub grup administratorów,
  • zbyt techniczne opisy – szczegółowo rozpisane są funkcje systemów informatycznych, a ginie informacja, jakie kategorie danych i w jakim celu są faktycznie przetwarzane,
  • brak aktualizacji po zmianie zakresu usług – firma rozszerza usługi (np. przejmuje obsługę newslettera), ale rejestr nadal obejmuje tylko księgowość.

Dobrym punktem wyjścia jest osobny arkusz lub zakładka dla czynności jako administratora i osobna część dla czynności jako procesora. Dzięki temu łatwiej dopilnować, aby zakres informacji z art. 30 RODO był zrealizowany w obu rolach.

Ekran laptopa z napisem Proxy provider w biurze zajmującym się cyberbezpieczeńst
Źródło: Pexels | Autor: Ed Webster

Co dokładnie musi znaleźć się w rejestrze – przepisy a praktyka

Elementy wymagane przez art. 30 RODO

Art. 30 RODO formułuje katalog informacji, które powinny znaleźć się w rejestrze czynności przetwarzania administratora. W uproszczeniu, dla każdej czynności należy wskazać:

  • nazwę i dane kontaktowe administratora (oraz ewentualnie współadministratorów, podmiotów przetwarzających, inspektora ochrony danych),
  • cele przetwarzania – po co w ogóle dane są przetwarzane w ramach tej czynności,
  • opis kategorii osób, których dane dotyczą (np. klienci indywidualni, użytkownicy sklepu, pracownicy, osoby współpracujące na B2B),
  • opis kategorii danych osobowych (np. dane identyfikacyjne, kontaktowe, rozliczeniowe, dane o zamówieniach, dane szczególne – jeśli występują),
  • kategorie odbiorców danych, którym dane są ujawniane (np. biuro rachunkowe, firmy kurierskie, dostawcy usług IT, banki),
  • informację o transferach do państw trzecich (poza EOG) lub organizacji międzynarodowych, wraz ze wskazaniem odpowiednich zabezpieczeń, jeżeli takie transfery występują,
  • planowane terminy usunięcia poszczególnych kategorii danych, o ile można je określić,
  • ogólny opis zastosowanych środków bezpieczeństwa (technicznych i organizacyjnych).

Na pierwszy rzut oka jest tego sporo, jednak w realiach małej firmy wiele tych elementów będzie się powtarzać między czynnościami. Ta powtarzalność działa na plus – raz wypracowane sformułowania można wielokrotnie wykorzystać.

Jak formułować cele przetwarzania

Opis celu przetwarzania nie musi być ani poetycki, ani przesadnie techniczny. Powinien jasno odpowiadać na pytanie „po co”, a nie tylko „co się robi”. W praktyce sprawdzają się sformułowania:

  • „realizacja i rozliczanie umów sprzedaży z klientami indywidualnymi”,
  • „prowadzenie dokumentacji kadrowo‑płacowej pracowników”,
  • „prowadzenie działań marketingu bezpośredniego produktów i usług administratora”,
  • „zapewnienie bezpieczeństwa osób i mienia poprzez monitoring wizyjny”.

Niewskazane są opisy całkowicie ogólne typu „obsługa firmy” czy „przetwarzanie danych w związku z działalnością gospodarczą” – niewiele z nich wynika i trudno na ich podstawie ocenić zasadność, minimalizację i okresy przechowywania danych.

Kategorie osób i danych – jak bardzo szczegółowo

Przy opisie kategorii osób i danych zwykle wystarczy poziom ogólności pozwalający zrozumieć, o jakiej grupie mówimy. Przykładowo:

  • kategorie osób: klienci indywidualni, przedstawiciele klientów biznesowych, pracownicy, zleceniobiorcy, kandydaci do pracy, użytkownicy serwisu, uczestnicy szkoleń,
  • kategorie danych: dane identyfikacyjne (imię, nazwisko, PESEL lub NIP), dane kontaktowe (telefon, e‑mail, adres korespondencyjny), dane dotyczące zatrudnienia (stanowisko, historia zatrudnienia, kwalifikacje), dane finansowe (numer rachunku bankowego, informacje księgowe), dane związane z aktywnością w serwisie (logi, identyfikatory cookies).

Nie ma potrzeby przepisywania pełnych formularzy czy wszystkich pól z systemu CRM. Rejestr ma dawać rozsądnie pełny obraz, a nie być kopią bazy danych. Zwykle wystarczy poziom umożliwiający identyfikację ryzyk – np. wskazanie, że przetwarzane są dane lokalizacyjne lub dane dotyczące zdrowia, bez rozpisywania ich na kilkanaście podtypów.

Odbiorcy danych i transfery – jak to ująć, gdy korzystasz z chmury

W części o odbiorcach danych problematyczne bywają usługi chmurowe i narzędzia SaaS. W małej firmie typowa sytuacja to:

  • krajowy dostawca usług księgowych online,
  • międzynarodowy dostawca systemu mailingowego,
  • dostawca usługi dysku w chmurze z serwerami poza EOG.

W rejestrze nie trzeba podawać pełnej listy firm z nazwą handlową i adresem, jeżeli nie jest to praktyczne. Zwykle wystarczy opis kategorii, np. „dostawcy systemów IT, w tym systemu CRM i hostingu danych, w szczególności świadczący usługi w chmurze obliczeniowej”. Jeżeli dochodzi do przekazywania danych poza Europejski Obszar Gospodarczy, warto osobno to zaznaczyć i doprecyzować, że transfer odbywa się na podstawie określonych mechanizmów, np. standardowych klauzul umownych.

Okres przechowywania – jak to zapisać w rejestrze

RODO nie wymaga podawania co do dnia konkretnej daty usunięcia danych, lecz „planowanych terminów usunięcia”. W praktyce dla każdej czynności wskazuje się regułę, z reguły powiązaną z innym przepisem:

  • „dane klientów przechowywane są przez okres trwania umowy, a po jej zakończeniu przez okres przedawnienia roszczeń wynikający z przepisów prawa cywilnego”,
  • „dokumentacja kadrowo‑płacowa przechowywana jest przez okres wynikający z przepisów prawa pracy i ubezpieczeń społecznych”,
  • „dane na potrzeby marketingu bezpośredniego przetwarzane są do czasu wycofania zgody lub wniesienia sprzeciwu”,
  • „nagrania z monitoringu wizyjnego przechowywane są co do zasady do 30 dni, a następnie nadpisywane, chyba że stanowią dowód w postępowaniu”.

W małej firmie sensowne jest zsynchronizowanie zapisów w rejestrze z przyjętą polityką retencji danych i praktyką w systemach informatycznych. Jeżeli np. faktury w systemie księgowym są archiwizowane przez 5 lat, rejestr powinien to odzwierciedlać.

Opis zabezpieczeń – poziom ogólności odpowiedni dla MŚP

Rejestr nie jest miejscem na szczegółowy opis konfiguracji serwerów ani polityk haseł. Potrzebny jest „ogólny opis” środków technicznych i organizacyjnych. W praktyce można to ująć np. w taki sposób:

  • „dostęp do systemów informatycznych jest ograniczony do upoważnionych użytkowników za pomocą indywidualnych kont i haseł”,
  • „dane przechowywane są na serwerach zlokalizowanych w centrach danych spełniających standardy bezpieczeństwa, z regularnym wykonywaniem kopii zapasowych”,
  • „przetwarzanie danych w formie papierowej odbywa się w pomieszczeniach zabezpieczonych przed dostępem osób nieupoważnionych”,
  • „zawarto umowy powierzenia przetwarzania danych z dostawcami usług IT, zawierające postanowienia o poufności i bezpieczeństwie danych”.

Jeżeli firma ma już wdrożoną politykę bezpieczeństwa lub inne wewnętrzne dokumenty, można w rejestrze odwołać się do nich ogólnie, zamiast powielać z detalami te same postanowienia.

Dobrym uzupełnieniem będzie też materiał: Umowa powierzenia: kiedy naprawdę jest wymagana? — warto go przejrzeć w kontekście powyższych wskazówek.

Od pustej kartki do pierwszej wersji rejestru – krok po kroku

1. Zbierz informacje o głównych obszarach przetwarzania

Pierwszy krok nie wymaga jeszcze formularzy ani tabel. Chodzi o zidentyfikowanie głównych obszarów, w których w firmie pojawiają się dane osobowe. W typowej mikro- lub małej firmie będą to zwykle:

  • relacje z klientami (sprzedaż, obsługa posprzedażowa, reklamacje),
  • marketing (newsletter, social media, programy lojalnościowe),
  • obsługa pracowników i współpracowników,
  • finanse i księgowość,
  • systemy IT i strona internetowa,
  • monitoring wizyjny, jeżeli jest stosowany.

Dobrze przeprowadzić krótką rozmowę z osobami, które „dotykają” danych w codziennej pracy – księgową, handlowcem, osobą odpowiedzialną za rekrutacje. Takie rozmowy często ujawniają procesy, o których zarządzający po prostu zapomnieli, np. listy mailingowe w narzędziu marketingowym czy arkusze Excela z danymi kandydatów.

2. Ustal listę czynności przetwarzania

Na bazie zebranych informacji tworzysz wstępną listę czynności, którą później uporządkujesz. W małej firmie nie należy przesadzać z rozdrobnieniem – 8–15 sensownie opisanych czynności zwykle wystarczy. Przykładowo:

  • realizacja umów sprzedaży z klientami indywidualnymi,
  • obsługa zapytań z formularza kontaktowego i e‑maila,
  • prowadzenie księgowości i rozliczeń podatkowych,
  • rekrutacja pracowników i współpracowników,
  • obsługa pracowników (kadry i płace),
  • prowadzenie działań marketingu bezpośredniego (newsletter),
  • prowadzenie profili firmowych w mediach społecznościowych,
  • monitoring wizyjny terenu firmy (jeśli występuje).

Jeżeli firma występuje także jako podmiot przetwarzający, osobno sporządza się listę kategorii czynności w tej roli, np. „obsługa księgowa klientów”, „prowadzenie kampanii mailingowych na zlecenie klientów”.

3. Wybierz prosty format rejestru

W większości MŚP w zupełności wystarczy arkusz kalkulacyjny (Excel, LibreOffice, Arkusze Google) lub prosty dokument tabelaryczny. Kluczowe jest, aby:

  • każdy wiersz odpowiadał jednej czynności przetwarzania,
  • każda kolumna odzwierciedlała element wymagany przez art. 30 RODO (cel, kategorie osób, kategorie danych, odbiorcy, okres przechowywania, zabezpieczenia, transfery poza EOG),
  • było miejsce na datę ostatniej aktualizacji i uwagi.

Gotowe szablony są pomocne na starcie, ale zwykle wymagają dopasowania do specyfiki firmy. Nadmiernie rozbudowane wzory z dużych korporacji potrafią tylko zniechęcić i skłonić do wypełniania „byle jak, byle było”. Lepszy jest prostszy rejestr, który faktycznie da się utrzymać.

4. Wypełnij rejestr dla jednej, najlepiej znanej czynności

Zamiast od razu uzupełniać wszystkie wiersze, rozsądnie jest wziąć na warsztat jedną czynność – taką, którą dobrze znasz, np. realizację umów sprzedaży. W praktyce przydatna jest sekwencja pytań:

  • Jakie dane zbieramy, gdy klient składa zamówienie?
  • Skąd te dane pochodzą (formularz, e‑mail, telefon)?
  • Co z tymi danymi robimy później (wysyłka, reklamacje, fakturowanie)?
  • Kto poza nami ma do nich dostęp (kurier, księgowość, dostawca systemu sklepowego)?

    • 5. Zweryfikuj zespółem i uzupełnij luki

    Po przygotowaniu pierwszego wiersza rejestru dobrze jest skonfrontować go z osobami, które wykonują czynności „od kuchni”. Nawet w kilkuosobowej firmie perspektywy potrafią się różnić – handlowiec widzi przede wszystkim kontakt z klientem, a księgowa – obieg dokumentów.

    Krótka, rzeczowa rozmowa często ujawnia dodatkowe elementy:

  • dodatkowe źródła danych (np. dane dopisywane ręcznie na etykietach przesyłek),
  • nowych odbiorców (np. operator płatności, broker kurierski),
  • nietypowe sytuacje (np. przekazywanie danych do serwisu producenta przy naprawach gwarancyjnych).

Po takiej weryfikacji warto dopracować opis pierwszej czynności i dopiero na jego wzór uzupełniać kolejne wiersze. Zwykle po 2–3 czynnościach pojawia się powtarzalność – te same kategorie osób, podobne zabezpieczenia, stała lista odbiorców. To naturalny moment, żeby ujednolicić słownictwo i przenieść powtarzające się sformułowania między wierszami, zamiast za każdym razem wymyślać je od nowa.

6. Uporządkuj i urealnij listę czynności

Po wstępnym wypełnieniu kilku wierszy dobrze jest spojrzeć na rejestr z góry i zadać sobie dwa pytania: czy czegoś nie ma oraz czy czegoś nie jest za dużo. W praktyce widać to na przykładach:

  • osobno opisano „obsługę reklamacji” i „obsługę zwrotów”, choć w firmie to ten sam proces realizowany przez tych samych ludzi w tym samym systemie – można to połączyć,
  • brakuje natomiast czynności „obsługa zapytań ofertowych od potencjalnych klientów”, bo handlowcy zapisywali kontakty w prywatnych notatnikach i w telefonach.

W tej fazie lepiej jest scalać zbyt szczegółowe czynności w szersze procesy niż dzielić jedną czynność na kilka bardzo drobnych. Nadmierne rozdrobnienie utrudnia aktualizację rejestru, bo każda zmiana w praktyce biznesowej wymaga korekty wielu wierszy.

7. Ustal zasady aktualizacji rejestru

Rejestr jest dokumentem żywym. Bez minimalnych zasad szybko się zdezaktualizuje i przestanie odzwierciedlać rzeczywistość. W małej firmie zwykle wystarcza prosty mechanizm:

  • wyznaczenie osoby odpowiedzialnej za rejestr (niekoniecznie formalnego inspektora ochrony danych),
  • powiązanie aktualizacji rejestru z innymi zdarzeniami – np. wdrożeniem nowego systemu IT, uruchomieniem nowej usługi, wejściem w życie znaczącej zmiany w prawie,
  • przegląd całości raz do roku lub raz na dwa lata, połączony z krótką rozmową z kluczowymi osobami.

Takie „przeglądy” nie muszą być rozbudowanym audytem. Często wystarczy przejrzenie listy czynności i krótkie pytanie: czy przetwarzamy dane inaczej niż rok temu? Jeśli odpowiedź brzmi „tak”, zwykle od razu widać, który wiersz wymaga korekty lub czy trzeba dodać nową czynność.

Jak opisywać czynności przetwarzania, żeby nie utopić się w szczegółach

Poziom ogólności – proces, nie pojedyncza operacja

Najczęstszy problem w małych firmach to wahanie między zbyt ogólnym a nadmiernie szczegółowym opisem. W praktyce najlepiej przyjąć perspektywę procesu biznesowego, a nie pojedynczej czynności wąsko rozumianej technicznie. Zamiast więc opisywać osobno:

  • „zbieranie danych z formularza”,
  • „zapisywanie danych do systemu CRM”,
  • „wysyłka potwierdzenia e‑mail”,

można opisać jedną czynność: „obsługa zapytań klientów i przygotowywanie ofert handlowych”. W ramach tej czynności dane przechodzą przez różne etapy, ale z punktu widzenia celów, kategorii osób i danych oraz okresu przechowywania jest to spójny proces.

Unikanie „romanów” w polu celu przetwarzania

Opis celu przetwarzania nie powinien być ani jednym słowem („marketing”), ani półstronicowym elaboratem. Pomaga podejście dwustopniowe:

  • krótkie hasło określające główny cel, np. „realizacja umów sprzedaży”,
  • jedno–dwa zdania doprecyzowujące, np. „obsługa zamówień, dostawa towarów lub usług, obsługa reklamacji i roszczeń związanych z umowami zawieranymi z klientami indywidualnymi”.

Taki poziom szczegółowości zwykle wystarcza, aby osoba z zewnątrz zrozumiała, o czym mowa, a jednocześnie umożliwia ocenę zgodności z zasadą minimalizacji i legalności podstawy prawnej.

Łączenie podobnych kategorii danych i osób

W rejestrze nie ma potrzeby rozbijania każdej roli na osobny wiersz. Jeśli pracownicy i zleceniobiorcy są obsługiwani w tym samym systemie kadrowym, a zakres danych i cele są zbliżone, można wskazać jedną czynność „obsługa kadr i płac”, a w kategoriach osób wymienić oba typy. Podobnie przy danych:

  • adres zamieszkania, adres korespondencyjny i adres dostawy w sklepie internetowym można ująć jako „dane adresowe”,
  • telefon służbowy i prywatny jako „dane kontaktowe (telefon, e‑mail)”.

Istotne wyjątki to sytuacje, w których pojawiają się dane szczególnej kategorii (np. zdrowie, przekonania religijne) lub dane o zwiększonym ryzyku (np. lokalizacja w czasie rzeczywistym kierowców). Wtedy warto wydzielić je jako osobną kategorię, nawet jeśli technicznie są przechowywane w tym samym systemie.

Do kompletu polecam jeszcze: Transfer danych poza EOG: jak dobrać SCC i ocenić ryzyko — znajdziesz tam dodatkowe wskazówki.

Oddzielanie ról administratora i podmiotu przetwarzającego

Firmy usługowe – księgowe, agencje marketingowe, software house’y – często działają jednocześnie jako administrator w stosunku do danych własnych oraz jako podmiot przetwarzający wobec danych klientów. W rejestrze dobrze jest te role wyraźnie rozdzielić, np. poprzez dwa osobne arkusze lub dwie wyraźnie oznaczone sekcje.

Dla czynności, w których firma działa jako administrator, opisuje się wszystkie elementy z art. 30 ust. 1 RODO. Natomiast w rejestrze kategorii czynności jako podmiot przetwarzający (art. 30 ust. 2) akcent przesuwa się na:

  • kategorie klientów (administratorów), dla których wykonywane są usługi,
  • rodzaje operacji (np. „księgowanie dokumentów”, „utrzymanie systemu CRM”),
  • kategorie osób, których dane dotyczą, oraz kategorie danych,
  • informację o ewentualnych transferach poza EOG.

Takie rozdzielenie porządkuje dokumentację i ułatwia odpowiedź na pytanie organu nadzorczego, w jakiej roli firma występuje w konkretnym przypadku.

Opis odbiorców danych bez katalogów „na kilka stron”

Przy opisie odbiorców wielu przedsiębiorców próbuje stworzyć pełną listę nazw firm. W praktyce ma to ograniczony sens, ponieważ podwykonawcy się zmieniają, a rejestr trzeba by aktualizować przy każdej zmianie dostawcy hostingu czy systemu mailingowego.

Bezpieczniejsze i jednocześnie praktyczne jest stosowanie kategorii odbiorców, np.:

  • „podmioty świadczące usługi księgowe i doradcze”,
  • „dostawcy usług IT w zakresie hostingu, systemów CRM i oprogramowania biurowego”,
  • „operatorzy płatności elektronicznych”,
  • „firmy kurierskie i operatorzy pocztowi”.

Jeżeli w szczególnym przypadku istotny jest konkretny transfer (np. przekazywanie danych do producenta sprzętu medycznego w związku z serwisem), można go ująć odrębnie przy danej czynności albo wskazać w uwagach. Ważniejsze jest, aby logika przepływu danych była jasna, niż aby rejestr zawierał każdorazowo pełne dane rejestrowe kontrahentów.

Opis transferów poza EOG – prosty, ale konkretny

Przy usługach chmurowych pojawia się pytanie, jak szczegółowo opisywać transfery poza EOG. W rejestrze zwykle wystarczy połączenie trzech elementów:

  • wskazanie, że dane mogą być przekazywane do państw trzecich (np. „Stany Zjednoczone”),
  • określenie kategorii odbiorcy („dostawca usług chmurowych / systemu mailingowego”),
  • wskazanie mechanizmu zabezpieczającego, np. „na podstawie standardowych klauzul umownych, z dodatkowymi środkami bezpieczeństwa zgodnie z oceną ryzyka transferu”.

Jeżeli firma używa kilku rozwiązań tego samego dostawcy (np. pakiet narzędzi biurowych w chmurze), nie ma potrzeby powielania tego samego opisu przy każdej czynności. Można posłużyć się odwołaniem, np. „transfer danych opisany jak przy czynności nr 1 – korzystanie z pakietu usług biurowych w chmurze”. Ułatwia to późniejszą aktualizację, gdy zmieni się dostawca lub podstawa transferu.

Minimalizm przy opisie zabezpieczeń – ale nie ogólniki

Opis środków technicznych i organizacyjnych powinien być konkretny, choć ogólny. Sformułowania w rodzaju „stosujemy odpowiednie zabezpieczenia” są zbyt lakoniczne. Z drugiej strony nie ma sensu przenosić do rejestru pełnych procedur IT.

Pomaga podejście warstwowe:

  • warstwa organizacyjna – np. „przetwarzanie danych odbywa się na podstawie upoważnień, a pracownicy są zobowiązani do zachowania poufności”,
  • warstwa techniczna – np. „dostęp do systemów chroniony jest uwierzytelnianiem, transmisja danych szyfrowana, wykonywane są kopie zapasowe”,
  • warstwa kontraktowa – np. „z podmiotami przetwarzającymi zawarto umowy powierzenia przetwarzania danych osobowych”.

Taki zestaw pokazuje, że bezpieczeństwo nie ogranicza się do jednego środka (np. hasła), ale jest elementem szerszego podejścia. Przy kolejnych czynnościach opisy mogą się powtarzać – rejestr nie musi mieć odrębnego, unikalnego „zestawu” zabezpieczeń dla każdego procesu, jeśli firma stosuje ten sam standard ochrony w różnych obszarach.

Radzenie sobie z wyjątkami i sytuacjami niestandardowymi

W prawie każdej firmie zdarzają się czynności przetwarzania spoza głównego nurtu – jednorazowe akcje promocyjne, konkursy, pilotaże nowych usług. Pojawia się pytanie, czy każdą taką sytuację trzeba natychmiast opisywać w rejestrze.

Rozsądne podejście zakłada, że:

  • jeśli akcja jest krótka, obejmuje ograniczony zakres danych (np. imię, adres e‑mail) i odbywa się w ramach już opisanej czynności (np. „marketing bezpośredni”), zwykle wystarczy doprecyzowanie dokumentacji marketingowej,
  • jeśli nowa inicjatywa wprowadza nowy typ danych, nową grupę odbiorców lub nowe narzędzia (np. zewnętrzną platformę konkursową), dobrze jest dodać odrębną czynność do rejestru albo rozszerzyć istniejącą o nowy wariant.

W praktyce pomocna bywa prosta zasada robocza: jeżeli dla danej akcji i tak przygotowywane są osobne dokumenty (np. regulamin, ocena ryzyka, DPIA), to zwykle sygnał, że także rejestr wymaga dostosowania, choćby przez dodanie nowej podkategorii w ramach istniejącej czynności.

Język rejestru – między żargonem IT a prawniczym stylem

Rejestr ma służyć nie tylko prawnikom czy inspektorom ochrony danych, lecz również osobom odpowiedzialnym za biznes i IT. Dlatego opis czynności powinien być zrozumiały dla obu stron. Zamiast:

  • „realizacja usług w modelu SaaS w środowisku multi‑tenant z zastosowaniem kryptografii asymetrycznej”,

wystarczy:

  • „świadczenie usług w aplikacji internetowej, z wykorzystaniem szyfrowania danych i kont użytkowników”.

Jeśli używane są nieuniknione terminy techniczne (np. „backup”, „logi systemowe”), dobrze jest powiązać je z bardziej opisowym wyjaśnieniem: „logi systemowe (zapisy dotyczące korzystania z systemu, obejmujące m.in. czas logowania i adres IP)”. Dzięki temu rejestr pozostaje przystępny również dla osób spoza działu IT.

Spójność rejestru z innymi dokumentami

Ostatnim elementem, o który często potykają się małe i średnie firmy, jest niespójność rejestru z innymi dokumentami: polityką prywatności, umowami powierzenia, polityką retencji. Jeżeli rejestr wskazuje, że dane marketingowe są przechowywane „do czasu wycofania zgody”, a w systemie mailingowym ustawiono automatyczne usuwanie po dwóch latach nieaktywności, powstaje rozdźwięk.

Dlatego po przygotowaniu pierwszej, roboczej wersji rejestru dobrze jest:

  • porównać okresy przechowywania z zapisami w regulaminach, polityce prywatności i umowach z klientami,
  • sprawdzić, czy wskazane podstawy prawne i cele odpowiadają treści klauzul informacyjnych,
  • zweryfikować, czy wymienieni w rejestrze odbiorcy pokrywają się z tym, co komunikowane jest na zewnątrz (np. w polityce prywatności strony internetowej).

Nie chodzi o to, aby wszystkie dokumenty były słowo w słowo identyczne, ale o to, by mówiły o tych samych procesach w sposób niesprzeczny. W razie kontroli organ zwykle szybko wychwytuje rozbieżności między tym, co zapisano w rejestrze, a tym, co deklaruje się osobom, których dane dotyczą.

Najczęściej zadawane pytania (FAQ)

Czym jest rejestr czynności przetwarzania po RODO i do czego służy w małej firmie?

Rejestr czynności przetwarzania to spis wszystkich głównych procesów, w których w firmie pojawiają się dane osobowe – np. obsługa zamówień, rekrutacja, newsletter, księgowość, windykacja. Dla każdej czynności opisuje się m.in. cel, podstawę prawną, kategorie danych, osoby, których dane dotyczą, odbiorców oraz okres przechowywania.

W małej i średniej firmie taki rejestr pełni rolę mapy danych. Ułatwia ustalenie, gdzie są dane klientów i pracowników, kto ma do nich dostęp, jak długo są przechowywane i komu się je przekazuje. Dzięki temu łatwiej wykazać rozliczalność przed UODO, zachować minimalizację danych oraz spójność między praktyką a klauzulami informacyjnymi.

Czy mała firma poniżej 250 pracowników musi prowadzić rejestr czynności przetwarzania?

Co do zasady tak. Choć RODO przewiduje wyjątek dla podmiotów zatrudniających mniej niż 250 osób, jest on bardzo wąski. Zwolnienie dotyczy tylko takich sytuacji, gdy przetwarzanie ma charakter sporadyczny, nie obejmuje szczególnych kategorii danych (np. zdrowotnych) i nie dotyczy danych o wyrokach skazujących lub naruszeniach prawa.

W praktyce zwykłe procesy w MŚP – stała obsługa klientów, prowadzenie kadr, księgowość, regularny marketing – nie są sporadyczne. Oznacza to, że większość małych firm powinna prowadzić rejestr czynności przetwarzania tak samo jak duże organizacje.

Co oznacza „przetwarzanie sporadyczne” w kontekście wyjątku z art. 30 RODO?

Przetwarzanie sporadyczne to takie, które nie jest prowadzone w sposób ciągły ani regularny, nie stanowi stałego elementu działalności firmy i pojawia się jedynie incydentalnie. Może to być np. jednorazowy projekt wymagający zebrania danych uczestników wydarzenia, który nie powtarza się cyklicznie.

Obsługa zamówień w e‑sklepie, długoterminowe przechowywanie dokumentacji pracowniczej czy regularne wysyłki newslettera trudno uznać za sporadyczne – są powtarzalne i przewidywalne. Jeżeli firma działa na danych osobowych „na co dzień”, powoływanie się na sporadyczność zwykle będzie nie do obrony.

Jakie dane powinny znaleźć się w rejestrze czynności przetwarzania w MŚP?

Minimalny zakres wynika z art. 30 RODO, ale w małej firmie dobrze jest rozszerzyć go o elementy praktyczne. W typowym rejestrze opisuje się dla każdej czynności m.in.:

  • cel przetwarzania (np. realizacja umów z klientami, prowadzenie kadr),
  • podstawę prawną (zgoda, umowa, obowiązek prawny, uzasadniony interes),
  • kategorie osób (klienci, pracownicy, kontrahenci) i kategorie danych,
  • systemy i narzędzia, w których dane są przetwarzane (np. CRM, program księgowy, SaaS),
  • odbiorców danych i podmioty przetwarzające (np. biuro rachunkowe, dostawca hostingu),
  • okres przechowywania lub kryteria jego ustalania,
  • główne zabezpieczenia i osoby odpowiedzialne za daną czynność.

Dzięki temu rejestr staje się nie tylko dokumentem „na półkę”, ale realnym narzędziem porządkującym procesy i pomagającym reagować na incydenty.

Jak prowadzić rejestr czynności przetwarzania w małej firmie – Excel, system czy coś innego?

RODO nie narzuca formy rejestru. W małej i średniej firmie najczęściej stosuje się prostą tabelę w Excelu lub arkuszu online, pod warunkiem że zawiera ona pełen wymagany zakres informacji i jest na bieżąco aktualizowana. Przy kilku–kilkunastu procesach taki format jest zwykle wystarczający.

Przy większej liczbie czynności lub wielu systemach IT można rozważyć dedykowane narzędzia (np. moduły w systemach do zarządzania bezpieczeństwem informacji). Niezależnie od formy kluczowe jest, aby rejestr był spójny z rzeczywistą praktyką firmy i był aktualizowany przy każdej istotnej zmianie w procesach lub narzędziach.

Jak rejestr czynności przetwarzania pomaga przy żądaniach klientów (dostęp, usunięcie, sprzeciw)?

Dobrze prowadzony rejestr wskazuje, w jakich procesach pojawiają się dane danej osoby – np. sprzedaż, marketing, obsługa reklamacji, windykacja. Dzięki temu łatwiej ustalić, z których systemów trzeba zebrać informacje, jakie są okresy przechowywania i na jakiej podstawie dane są przetwarzane.

Przykładowo, gdy klient żąda usunięcia danych, rejestr pomaga od razu oddzielić dane, które można usunąć (np. profil marketingowy w systemie newsletterowym), od tych, które trzeba zachować z innych powodów (np. dokumenty księgowe przechowywane przez określony czas na podstawie przepisów podatkowych). Ogranicza to ryzyko pochopnych decyzji lub niepełnych odpowiedzi.

Jakie korzyści biznesowe daje rejestr czynności przetwarzania dla właściciela MŚP?

Rejestr porządkuje wiedzę o procesach i danych, która często jest „w głowach” kilku osób. Ułatwia nadawanie i odbieranie dostępów do systemów, wdrażanie nowych pracowników, likwidację nieużywanych narzędzi oraz ocenę, czy nie zbiera się zbyt wielu informacji w stosunku do celu.

Dodatkowo ułatwia rozmowy z klientami B2B, którzy coraz częściej pytają o podstawy prawne, okresy przechowywania, podmioty przetwarzające czy zasady bezpieczeństwa. Posiadanie spójnego rejestru pozwala odpowiadać na takie pytania konkretnie, co zwiększa wiarygodność firmy i bywa argumentem przy wyborze dostawcy.

Opracowano na podstawie

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Dziennik Urzędowy Unii Europejskiej (2016) – Podstawa prawna rejestru czynności przetwarzania, art. 30 i zasady ogólne
  • Wytyczne dotyczące inspektorów ochrony danych (DPO). Europejska Rada Ochrony Danych (2017) – Wskazówki o rozliczalności i dokumentowaniu przetwarzania danych
  • RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. C.H.Beck (2018) – Komentarz do art. 5 i 30 RODO, obowiązek rejestru i wyjątki dla MŚP

Inne wpisy, które mogą Ci się spodobać: