Ochrona Danych

Rejestr czynności przetwarzania: wzór do pobrania

Rejestr czynności przetwarzania — wzór kolumna po kolumnie wg art. 30 ust. 1 i 2 RODO, z przykładami wpisów dla kadr, rekrutacji, CRM i monitoringu.

Also available in:English·Français·Deutsch·Italiano

W jednym zdaniu. Rejestr czynności przetwarzania (RCP) to tabela wymagana przez art. 30 RODO, w której administrator opisuje każdą czynność przetwarzania kolumna po kolumnie — cel, podstawę, kategorie danych i osób, odbiorców, transfery i termin usunięcia; poniżej znajdziesz gotowy wzór i przykładowe wpisy.

Rejestr czynności to pierwszy dokument, o który prosi kontroler UODO. Ten tekst nie tłumaczy, dlaczego trzeba go prowadzić — to wyjaśniam w przewodniku o rejestrze czynności przetwarzania — lecz daje gotowy szkielet: dokładny układ kolumn wg art. 30 ust. 1 i ust. 2 oraz cztery przykładowo wypełnione czynności, które możesz skopiować i dostosować.

Najważniejsze punkty

  • Administrator prowadzi rejestr wg art. 30 ust. 1 (7 obowiązkowych kolumn).
  • Procesor prowadzi węższy rejestr kategorii czynności wg art. 30 ust. 2.
  • UODO opublikował na swojej stronie przykładowe szablony rejestrów — warto się nimi wzorować.
  • Rejestr prowadzi się na piśmie, także w formie elektronicznej (art. 30 ust. 3).
  • Zwolnienie z art. 30 ust. 5 (poniżej 250 osób) w praktyce prawie nigdy nie działa.
  • Rejestr musi być spójny z klauzulami informacyjnymi i umowami powierzenia.

Kolumny rejestru administratora (art. 30 ust. 1)

Rejestr administratora musi zawierać co najmniej siedem elementów. Poniżej układ kolumn, który spełnia wymogi i jest czytelny dla kontrolera:

Kolumna Podstawa Co wpisać
Nazwa czynności np. “Obsługa kadrowo-płacowa”
Administrator / współadministrator art. 30 ust. 1 lit. a nazwa, dane kontaktowe, IOD
Cel przetwarzania art. 30 ust. 1 lit. b konkretny cel biznesowy
Podstawa prawna art. 6/9 np. art. 6 ust. 1 lit. c
Kategorie osób art. 30 ust. 1 lit. c pracownicy, klienci, kandydaci
Kategorie danych art. 30 ust. 1 lit. c identyfikacyjne, finansowe, zdrowotne
Kategorie odbiorców art. 30 ust. 1 lit. d ZUS, bank, dostawca IT
Transfery poza EOG art. 30 ust. 1 lit. e kraj + zabezpieczenie
Termin usunięcia art. 30 ust. 1 lit. f konkretny okres lub kryterium
Środki bezpieczeństwa art. 30 ust. 1 lit. g ogólny opis (szyfrowanie, kontrola dostępu)

Kolumna “podstawa prawna” nie jest wprost wymieniona w art. 30, ale UODO oczekuje jej wskazania i praktyka kontrolna to potwierdza — bez niej rejestr jest niekompletny.

Dwa pola sprawiają najwięcej trudności. Pierwsze to termin usunięcia: nie wystarczy wpisać “przez czas niezbędny”. Kontroler oczekuje konkretnego okresu (np. “5 lat od końca roku obrotowego”) albo jasnego kryterium (“do przedawnienia roszczeń z umowy”). Drugie to kategorie danych — należy je rozróżnić od kategorii osób i wskazać, czy wśród nich są dane szczególne z art. 9 (o zdrowiu, o przynależności związkowej), bo to determinuje dodatkowe obowiązki. Rejestr, który miesza te pojęcia, jest sygnałem dla kontrolera, że organizacja nie panuje nad własnym przetwarzaniem.

Rejestr kategorii czynności procesora (art. 30 ust. 2)

Podmiot przetwarzający prowadzi węższy rejestr — nie opisuje celów (bo działa na polecenie administratora), lecz kategorie czynności wykonywanych na rzecz każdego klienta. Wymagane kolumny:

  • nazwa i dane administratora, na rzecz którego przetwarza (lit. a),
  • kategorie przetwarzań (lit. b),
  • transfery poza EOG (lit. c),
  • ogólny opis środków bezpieczeństwa (lit. d).

Typowy błąd biur rachunkowych i agencji IT: prowadzą tylko rejestr administratora dla własnych danych (kadry firmy), a zapominają o rejestrze kategorii czynności dla danych klientów. Każda taka relacja wymaga też umowy powierzenia przetwarzania — rejestr i umowa powinny się pokrywać.

Warto pamiętać, że jedna organizacja bardzo często występuje w obu rolach jednocześnie. Software house jest administratorem wobec danych własnych pracowników i kandydatów, a procesorem wobec danych użytkowników aplikacji, którą utrzymuje dla klienta. Wtedy prowadzi dwa odrębne rejestry, które nie powinny się mieszać: opisanie przetwarzania powierzonego jak własnego to błąd, który zaciera odpowiedzialność i utrudnia rozliczenie ról podczas kontroli.

Przykładowe wpisy do skopiowania

Cztery czynności, które ma prawie każda firma:

1. Obsługa kadrowo-płacowa. Cel: realizacja stosunku pracy i obowiązków płatnika. Podstawa: art. 6 ust. 1 lit. c, art. 9 ust. 2 lit. b, art. 22¹ K.p. Osoby: pracownicy. Dane: identyfikacyjne, finansowe, o zdrowiu (zwolnienia). Odbiorcy: ZUS, US, bank, biuro rachunkowe. Termin: 10 lat od ustania zatrudnienia.

2. Rekrutacja. Cel: przeprowadzenie naboru. Podstawa: art. 6 ust. 1 lit. b i c, art. 6 ust. 1 lit. a (dane ponad katalog kodeksowy). Osoby: kandydaci. Dane: z CV. Termin: do zakończenia rekrutacji lub 12 miesięcy za zgodą.

3. CRM / obsługa klientów. Cel: zawarcie i wykonanie umowy, obsługa reklamacji. Podstawa: art. 6 ust. 1 lit. b, lit. c (księgowość), lit. f (roszczenia). Osoby: klienci, osoby kontaktowe. Odbiorcy: dostawca CRM, kurier. Termin: 5 lat (rachunkowość) + okres przedawnienia roszczeń.

4. Monitoring wizyjny. Cel: bezpieczeństwo osób i mienia. Podstawa: art. 6 ust. 1 lit. f, art. 22² K.p. Osoby: pracownicy, klienci, goście. Dane: wizerunek. Termin: do 3 miesięcy.

Przy czynnościach o wysokim ryzyku (monitoring na dużą skalę, profilowanie) rejestr powinien odsyłać do przeprowadzonej oceny skutków dla ochrony danych (DPIA).

Powyższe cztery wpisy to minimum, które ma niemal każda firma zatrudniająca ludzi i obsługująca klientów. W praktyce dochodzą kolejne: newsletter i marketing (osobna podstawa, osobna zgoda), obsługa zgłoszeń z formularza kontaktowego, zarządzanie dostępami w systemach IT, obsługa reklamacji i gwarancji, a w spółkach kapitałowych — obsługa organów i akcjonariatu. Każda z tych czynności zasługuje na odrębny wiersz z własnym celem, podstawą i terminem retencji. Sztuka polega nie na wyliczeniu wszystkiego, co się da, lecz na odwzorowaniu realnych procesów — rejestr, który opisuje procesy nieistniejące albo pomija te faktycznie prowadzone, jest gorszy niż jego brak, bo wprowadza w błąd i kontrolera, i samą organizację.

Excel czy dedykowany system

Wzór w arkuszu wystarcza przy kilku czynnościach w jednej spółce. Problem pojawia się przy skali: 30+ czynności, kilka spółek, zmieniające się podstawy prawne i dziesiątki umów powierzenia. Arkusz nie ma wersjonowania (kto i kiedy zmienił termin retencji?), nie łączy wpisu z umową powierzenia ani z klauzulą, a eksport “na wczoraj” na żądanie UODO staje się nocnym maratonem. Do tego dochodzi ryzyko rozjazdu: gdy prawnik aktualizuje politykę, dział IT zmienia dostawcę hostingu, a kadry wydłużają okres retencji, a każda z tych zmian żyje w innym pliku, rejestr przestaje odzwierciedlać rzeczywistość już po kilku miesiącach.

Dlatego przy większej złożoności organizacje przechodzą na dedykowany program do rejestru czynności przetwarzania. Narzędzia takie jak Legiscope trzymają rejestr, umowy powierzenia i klauzule w jednym, wersjonowanym źródle — zmiana podstawy prawnej w jednym miejscu propaguje się do powiązanych dokumentów, a eksport gotowy na kontrolę powstaje w kilka minut. To nie kwestia wygody, lecz rozliczalności z art. 5 ust. 2. Kto prowadzi rejestr, decyduje też, czy potrzebny jest inspektor ochrony danych.

FAQ

Czy rejestr czynności można prowadzić w Excelu?

Tak — RODO nie narzuca formy, wymaga jedynie formy pisemnej, w tym elektronicznej (art. 30 ust. 3). Excel jest dopuszczalny, ale przy większej liczbie czynności i spółek traci na spójności i audytowalności; wtedy lepiej sprawdza się dedykowany system.

Czym różni się rejestr administratora od rejestru procesora?

Rejestr administratora (art. 30 ust. 1) opisuje cele i pełny zakres przetwarzania. Rejestr procesora (art. 30 ust. 2) jest węższy — nie zawiera celów, lecz kategorie czynności wykonywanych na rzecz poszczególnych administratorów. Podmiot, który jest jednocześnie administratorem i procesorem, prowadzi oba.

Czy UODO udostępnia gotowy wzór rejestru?

Tak, UODO opublikował na stronie uodo.gov.pl przykładowe szablony rejestru czynności oraz rejestru kategorii czynności. To dobra baza wyjściowa, którą należy dostosować do realnych procesów w organizacji — same nagłówki kolumn nie wystarczą, bo wartość rejestru tkwi w treści wpisów, a nie w formacie tabeli.


Źródła: Art. 30 RODO w EUR-Lex (CELEX 32016R0679) · UODO — obowiązki administratorów · EDPB

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →