Datu aizsardzība

Apstrādes darbību reģistra paraugs (ROPA): gatava veidne 2026

Apstrādes darbību reģistra (ROPA) paraugs pēc GDPR 30. panta: gatava veidne ar visiem laukiem, aizpildīts piemērs un biežākās kļūdas.

Also available in:English·Français·Deutsch

Šis ir gatava apstrādes darbību reģistra (angliski record of processing activities, ROPA) veidne, ko var kopēt izklājlapā un aizpildīt jau šodien. Tā satur visus Vispārīgās datu aizsardzības regulas 30. panta 1. punktā prasītos laukus, ko pārzinim jāuzskaita par katru apstrādes darbību: nolūku, datu subjektu un personas datu kategorijas, saņēmējus, nosūtīšanu uz trešo valsti, glabāšanas termiņu un tehniskos un organizatoriskos drošības pasākumus (32. pants). Zemāk sniegta pati veidne kā tabula ar trim pilnībā aizpildītiem piemēra ierakstiem, atsevišķa piezīme par apstrādātāja reģistru (30. panta 2. punkts), pēc tam norādes, kā to pielāgot, un biežākās kļūdas, ko izgaismojusi Datu valsts inspekcijas (DVI) prakse.

Apstrādes darbību reģistra paraugs (30. panta 1. punkts)

Apstrādes darbība Nolūks Datu subjektu kategorijas Personas datu kategorijas Saņēmēji Nosūtīšana uz trešo valsti Glabāšanas termiņš Tehniskie un organizatoriskie drošības pasākumi (32. pants)
Personāla lietvedība Darba tiesisko attiecību administrēšana, algu aprēķins, nodokļu un VSAOI ziņošana Darbinieki, bijušie darbinieki, kandidāti Identifikācijas dati, personas kods, kontaktinformācija, bankas konts, alga, darba stāžs Grāmatvedības sistēma, VID, VSAA, banka Personas lieta — 10 gadi pēc darba attiecību beigām; kandidātu dati — 6 mēneši Piekļuves tiesību ierobežošana pēc lomas, personāla mapes slēgtā sistēmā, šifrēti dublējumi, konfidencialitātes līgumi
Klientu CRM / rēķini Līgumu izpilde, rēķinu izrakstīšana, klientu attiecību pārvaldība Klienti, klientu kontaktpersonas Vārds, uzvārds, uzņēmums, e-pasts, tālrunis, rēķinu vēsture, maksājumu dati Grāmatvedības birojs (apstrādātājs), mākoņa CRM piegādātājs (apstrādātājs), VID Nē (dati glabāti ES) Rēķini un grāmatvedības dati — 5 gadi; CRM kontakti — līdz attiecību beigām + 1 gads Divfaktoru autentifikācija, TLS šifrēšana, piekļuves žurnāli, 28. panta līgumi ar apstrādātājiem
Mājaslapas kontaktforma Atbildēšana uz apmeklētāju jautājumiem un pieprasījumiem Mājaslapas apmeklētāji Vārds, e-pasts, ziņojuma saturs, IP adrese E-pasta pakalpojuma sniedzējs (apstrādātājs), tīmekļa hostings (apstrādātājs) Nē (piegādātājs ES) 12 mēneši pēc pieprasījuma slēgšanas reCAPTCHA, TLS, piekļuve tikai atbildīgajam personālam, regulāra dzēšana

Papildus 30. panta 1. punkta laukiem reģistra augšpusē norāda pārziņa nosaukumu un kontaktinformāciju un, ja iecelts, datu aizsardzības speciālista kontaktus. Katrai jaunai apstrādei pievienojiet jaunu rindu; izklājlapā ērti pievienot arī papildu kolonnu “Tiesiskais pamats” (6. pants), kas gan nav 30. panta obligātā prasība, bet praksē ir izšķiroša atbilstības kontrolei.

Apstrādātāja reģistrs (30. panta 2. punkts)

Ja organizācija darbojas kā apstrādātājs (apstrādā datus cita pārziņa vārdā), tai jāuztur atsevišķs, šaurāks reģistrs. Tajā par katru pārzini norāda tikai:

  • apstrādātāja un katra pārziņa nosaukums un kontaktinformācija (arī pārstāvja un DPO kontakti, ja tādi ir);
  • apstrādes kategorijas, ko veic katra pārziņa vārdā (piem. datu glabāšana, algu aprēķins, tehniskā uzturēšana);
  • nosūtīšana uz trešo valsti un piemērotās garantijas (44.–49. pants);
  • drošības pasākumu vispārīgs apraksts (32. pants).

Apstrādātāja reģistrs cieši sasaucas ar datu apstrādes līgumu (28. pants): abi dokumenti apliecina, kādas apstrādes tiek veiktas un kura pārziņa uzdevumā. Daudzas organizācijas ir vienlaikus gan pārzinis (savu darbinieku un klientu datiem), gan apstrādātājs (klientu uzticēto datu apstrādei) — tādā gadījumā uztur abus reģistrus.

Reģistra prasība izriet tieši no VDAR 30. panta, taču Latvijā to papildina Fizisko personu datu apstrādes likums, kas precizē uzraudzības un atbildības kārtību. Praksē reģistrs ir pirmais dokuments, ko Datu valsts inspekcija (DVI) pieprasa jebkurā pārbaudē — tas nav proaktīvi jāpublicē, bet 30. panta 4. punkts nosaka, ka pēc pieprasījuma tas nekavējoties jādara pieejams. Tāpēc reģistram vienmēr jābūt gatavam uzrādīšanai, nevis sagatavojamam brīdī, kad iestāde jau zvana.

Kā pielāgot

Sāciet nevis ar veidni, bet ar inventarizāciju: apstaigājiet katru nodaļu un uzdodiet vienu jautājumu — “kādus personas datus jūs apstrādājat un kāpēc?”. Katra atbilde parasti kļūst par vienu reģistra rindu. Praksē tipiskā Latvijas MVU reģistrā ir 8–20 apstrādes darbību: personāls, alga, klienti, rēķini, piegādātāji, mārketings, mājaslapa, video novērošana, pretendentu atlase. Inventarizāciju ērti veikt pa datu plūsmām: seko datiem no to iegūšanas brīža līdz dzēšanai, un katra atsevišķā plūsma ar savu nolūku parasti veido patstāvīgu rindu.

Pēc tam precizējiet glabāšanas termiņus — tie ir visbiežāk kļūdainais lauks. Katram termiņam jābūt pamatam: vai nu tiesību aktā (piem. grāmatvedības dati 5 gadi, personāla lietas 10 gadi), vai pārziņa pamatotā vajadzībā. Termiņš “pēc vajadzības” vai “neierobežoti” ir tiešs glabāšanas ierobežojuma principa pārkāpums (5. panta 1. punkta “e” apakšpunkts). Kā DVI praksē parādīts, SIA “Lursoft IT” 65 000 EUR sods tieši attiecās uz datu glabāšanu pārāk ilgi — maksātnespējas dati tika glabāti piecus gadus, kur atļauts bija viens.

Beidzot, atzīmējiet apstrādes, kas var radīt augstu risku — sistemātiska novērošana, īpašo kategoriju datu apjomīga apstrāde, profilēšana. Šīm rindām blakus noderīgi pievienot atzīmi “nepieciešams DPIA”, jo reģistrs ir sākumpunkts novērtējumam par ietekmi uz datu aizsardzību (35. pants). Datus, ko atklājat reģistrā, izmantojiet arī, lai sagatavotu vai atjauninātu privātuma politikas paraugu — abiem dokumentiem jābūt saskaņotiem.

Praksē noderīga disciplīna ir reģistra pārskatīšana pēc grafika — vismaz reizi gadā un ikreiz, kad mainās apstrādātājs, IT sistēma vai glabāšanas termiņš. Daudzas organizācijas reģistram pievieno atsevišķu kolonnu ar versiju un pēdējās pārskatīšanas datumu, lai pārbaudē varētu pierādīt, ka dokuments tiek aktīvi uzturēts, nevis tikai reiz izveidots. DVI pārbaudē tieši šī pēdējās atjaunināšanas atzīme bieži nošķir sagatavotu pārzini no formāla, jo tā apliecina, ka pārzinis reāli pārrauga savas apstrādes plūsmas laika gaitā, nevis tikai vienreiz aizpildījis tabulu.

Biežākās kļūdas

Pirmā kļūda ir uzskatīt reģistru par vienreizēju dokumentu. Novecojis reģistrs ir gandrīz tikpat problemātisks kā tā trūkums, jo tas rada nepatiesu priekšstatu par faktisko apstrādi. Reģistrs jāatjaunina ikreiz, kad organizācija sāk jaunu apstrādi, nomaina apstrādātāju vai maina glabāšanas termiņu.

Otrā kļūda ir tukši vai vispārīgi glabāšanas termiņi. Lauks “līdz nepieciešamībai” nav derīgs — DVI sagaida konkrētu termiņu ar pamatu. Trešā kļūda ir saņēmēju izlaišana: bieži reģistrā aizmirst mākoņa un IT pakalpojumu sniedzējus, kaut arī tie ir apstrādātāji, kuriem dati faktiski tiek nodoti. Tāpat mēdz izlaist valsts iestādes, kurām dati nodoti likuma prasību dēļ (VID, VSAA), lai gan arī tās ir saņēmēji 30. panta izpratnē.

Ceturtā kļūda ir paļaušanās uz 250 darbinieku atbrīvojumu (30. panta 5. punkts). Atbrīvojums nedarbojas, ja apstrāde ir regulāra, rada risku vai ietver īpašo kategoriju datus — bet gandrīz katra organizācija apstrādā algas vai klientu datus regulāri, tāpēc reģistrs praksē ir obligāts neatkarīgi no izmēra. Piektā kļūda ir jaukt pārziņa un apstrādātāja lomas — ja organizācija ir abas, tai vajadzīgi abi reģistri, un lomu sajaukšana noved pie nepilnīgas dokumentācijas. Vairāk konteksta sniedz apstrādes darbību reģistra ceļvedis.

Biežāk uzdotie jautājumi

Vai reģistru drīkst uzturēt Excel izklājlapā?

Jā. GDPR 30. panta 3. punkts prasa tikai, lai reģistrs būtu rakstveidā, tostarp elektroniski — konkrēta forma nav noteikta, un DVI izklājlapu atzīst. Galvenā problēma nav forma, bet uzturēšana aktualitātē. Organizācijām ar desmitiem apstrādes darbību izklājlapa kļūst grūti pārvaldāma, un tad noder specializēta programmatūra, taču maziem uzņēmumiem šī veidne izklājlapā ir pilnībā pietiekama.

Cik rindu jābūt reģistrā?

Tik, cik apstrādes darbību organizācija faktiski veic. Tipiskā Latvijas MVU reģistrā ir 8–20 rindu: personāls, alga, klienti, rēķini, piegādātāji, mārketings, mājaslapa, video novērošana. Nav “pareizā” skaita — svarīgi, lai reģistrs aptvertu visas reālās apstrādes, nevis sasniegtu kādu skaitli.

Vai apstrādātāja reģistrs atšķiras no pārziņa reģistra?

Jā. Apstrādātāja reģistrs (30. panta 2. punkts) ir šaurāks — tajā norāda apstrādes kategorijas katra pārziņa vārdā, nevis pašam savus apstrādes nolūkus un glabāšanas termiņus. Ja organizācija darbojas gan kā pārzinis, gan kā apstrādātājs, tā uztur abus reģistrus atsevišķi.

Secinājums

Apstrādes darbību reģistrs ir GDPR atbilstības pamatdokuments un pirmais, ko DVI pieprasa pārbaudē. Šī veidne satur visus 30. panta laukus un ir gatava aizpildīšanai izklājlapā, taču tās vērtība ir atkarīga no divām lietām: precīzi definētiem glabāšanas termiņiem un pastāvīgas atjaunināšanas. Tieši glabāšanas termiņi novērš Lursoft tipa pārkāpumus, un tieši novecojis reģistrs visbiežāk pieviļ pārbaudē. Organizācijām, kurām apstrādes darbību ir daudz un tās mainās bieži, reģistra automatizēta pārvaldība kļūst praktiski nepieciešama; platformas kā Legiscope uztur reģistru dzīvu un sasaista to ar līgumiem un glabāšanas termiņiem, saglabājot datus ES infrastruktūrā. Sāciet ar inventarizāciju — viena apstrāde, viena rinda.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →