LexDigital

Czym jest rejestr czynności przetwarzania danych osobowych?

Jednym z obowiązków nałożonych na administratorów danych osobowych jest konieczność prowadzenia rejestru czynności przetwarzania. To podstawowy dokument, dotyczący ochrony danych osobowych w organizacji. Powinien być sporządzony przez zdecydowaną większość organizacji, które przetwarzają dane osobowe. Administratorzy Danych Osobowych lub podmioty przetwarzające mają obowiązek udostępniania rejestrów na każde żądanie organu nadzorczego.

Czym jest rejestr czynności przetwarzania danych osobowych?

Kto ma obowiązek prowadzenia rejestru czynności przetwarzania? Zapoznaj się z wymaganiami prawnymi

Zgodnie z przepisami Rozporządzenia Ogólnego o Ochronie Danych (RODO), Administratorzy Danych Osobowych (ADO) są zobowiązani do prowadzenia rejestru czynności przetwarzania. Stanowi on bazowy dokument dotyczący ochrony danych osobowych.

rejestr czynności przetwarzania
Rejestr czynności przetwarzania został wprowadzony rozporządzeniem RODO.


Jednakże nie wszystkie organizacje są obowiązane do jego tworzenia.

Ze względu szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw rejestru nie muszą posiadać podmioty zatrudniające mniej niż 250 osób.

Nie dotyczy to jednak sytuacji, gdy przetwarzanie danych osobowych nie ma charakteru sporadycznego, a więc jest prowadzone regularnie lub systematycznie, a same czynności przetwarzania danych są na tyle istotne dla organizacji, że operacje na danych wykonywane są stosunkowo często.

Ponadto wyłączenie to nie może być zastosowane przez podmioty, które przetwarzają dane osobowe w sposób, mogący powodować ryzyko naruszenia praw i wolności osób fizycznych.

rejestr czynności rodo
Jeśli przetwarzanie danych nie ma charakteru sporadycznego, trzeba prowadzić rejestr.

Sprawdź nasz artykuł: Rejestr czynności przetwarzania – przykład

Przetwarzasz szczególne kategorie danych osobowych? Musisz prowadzić rejestr czynności przetwarzania

Co więcej, Administrator zawsze musi prowadzić rejestr w sytuacji gdy przetwarza szczególne kategorie danych osobowych, takie jak informacje o:

  • stanie zdrowia
  • poglądach politycznych
  • wyznaniu
  • orientacji seksualnej
naruszenie praw rodo
Jeśli przetwarzanie może powodować ryzyko naruszenia praw osób, to musisz prowadzić rejestr.


Obowiązek prowadzenia rejestru czynności ma zastosowanie również w przypadku, kiedy przetwarzamy dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Zapoznając się z wymaganiami prawnymi, szybko można określić, że w praktyce zwolnienie z obowiązku sporządzania rejestru dotyczy bardzo małej ilości przedsiębiorców w Polsce.

Dane osobowe wrażliwe, a dane osobowe zwykłe - dowiedz się więcej!

O ile wiele podmiotów posiada mniej niż 250 pracowników, to zdecydowana większość musi przetwarzać dane osobowe częściej niż sporadycznie, chociażby w związku z zatrudnianiem pracowników lub kontaktowaniem się z klientami.

Ponadto z reguły przetwarzanie danych osobowych łączy się z chociaż potencjalnym ryzykiem naruszenia praw i wolności osób fizycznych.

rejestr czynności rodo
Obowiązek prowadzenia rejestru czynności w praktyce dotyczy większości przedsiębiorców.


Co więcej, bardzo wiele podmiotów przetwarza dane osobowe szczególnej kategorii, np. dotyczące stanu zdrowia pracowników. Oznacza to, że w praktyce jedynie niektórzy mikroprzedsiębiorcy nie będą musieli tworzyć rejestru czynności przetwarzania.

Plan kontroli sektorowych UODO na 2024 - kto na celowniku?

Rejestr czynności przetwarzania musi zawierać dane kontaktowe administratora

RODO wskazuje na szereg elementów, które muszą znaleźć się w rejestrze czynności przetwarzania. Pierwszym z nich jest konieczność wskazania tożsamości Administratora Danych Osobowych oraz jego dane kontaktowe.

Administratorem danych jest podmiot, który decyduje o celu i sposobach przetwarzania danych osobowych. Jeżeli dana organizacja decyduje się na przetwarzanie danych osobowych, określa cel w jakim to robi i ustala sposoby prowadzenia operacji na danych osobowych, to jest administratorem danych osobowych. Właśnie taki podmiot powinien w treści rejestru czynności przetwarzania danych wskazać określone informacje, dotyczące prowadzonych przez siebie czynności przetwarzania danych.

Czy imię i nazwisko to dane osobowe? Dowiesz się z tego artykułu

W sytuacji gdy Administratorem Danych Osobowych jest osoba fizyczna, w rejestrze muszą znaleźć się dane kontaktowe administratora.

Konieczne jest podanie jej imienia, nazwiska oraz danych kontaktowych, takich jak adres do korespondencji, adres zamieszkania lub adres prowadzenia działalności gospodarczej. Prawidłowe będzie podanie również innych informacji kontaktowych, takich jak adres poczty elektronicznej lub numer telefonu. To samo tyczy się wszelkich współadministratorów, a gdy ma to zastosowanie, także przedstawiciela administratora oraz inspektora ochrony danych.

W przypadku gdy administratorem danych jest np. spółka prawa handlowego, konieczne jest podanie firmy (nazwy) tej spółki, jej siedziby, adresu oraz innych danych kontaktowych, takich jak wspomniany adres poczty elektronicznej lub numer telefonu do przedstawiciela spółki.

Drugim wymaganym przez prawo elementem rejestru jest konieczność wskazania celów przetwarzania. Należy przy tym pamiętać, że niezbędne jest określenie celu odrębnie w stosunku do każdej z czynności przetwarzania. Inny cel bowiem dotyczy przetwarzania danych osobowych kandydatów do pracy, przy czym czynnością przetwarzania może być tu np. gromadzenie CV potencjalnych pracowników, a inny dotyczy przetwarzania danych klientów przedsiębiorcy, może być bowiem związany np. z wykonaniem zawartej pomiędzy stronami umowy czy też spełnieniem obowiązków wynikających z przepisów podatkowych.

W treści rejestru czynności przetwarzania powinien się również opis kategorii osób, których dane dotyczą, oraz opis kategorii danych osobowych. Nawiązując do powyższego przykładu, kategorią osób, których dane dotyczą mogą być np. potencjalni pracownicy, którzy przysłali administratorowi swoje CV, a kategoriami danych będą informacje zawarte w treści zgłoszeń rekrutacyjnych.

Należy pamiętać, że wystarczające jest określenie kategorii danych osobowych i osób, a więc określonych zbiorów podmiotów danych i informacji o nich. Nie oznacza to konieczności wskazywania listy wszystkich osób, których dane przetwarza administrator.

Rejestr musi uwzględniać przekazanie danych do organizacji międzynarodowej lub odbiorców z "państwa trzeciego"

Kolejnym elementem rejestru czynności przetwarzania są kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych.

rodo kategorie danych
Rejestr musi uwzględnić opis kategorii osób, których dane dotyczą oraz "kategorie odbiorców".


Odbiorcą danych będą przede wszystkim podmioty przetwarzające dane w imieniu administratora. Może to być np. przedsiębiorca świadczący na rzecz administratora usługi księgowe lub polegające na hostingu poczty elektronicznej administratora. Odbiorcami danych będą także inni administratorzy danych, którzy otrzymują je od tworzącego rejestr czynności przetwarzania.

Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, konieczne jest zawarcie tej informacji w rejestrze wraz z nazwą tego państwa trzeciego lub organizacji międzynarodowej. Państwem trzecim w rozumieniu RODO jest państwo poza terenem Unii Europejskiej.

Czy numer telefonu to dane osobowe? Ważne stanowiska UODO i sądu

W rejestrze musi się znaleźć opis technicznych i organizacyjnych środków bezpieczeństwa

W treści rejestru należy również wskazać planowane terminy usunięcia poszczególnych kategorii danych. Mogą one być określone poprzez wskazanie dni, miesięcy lub lat przez które przetwarzane będą dane osobowe.

rejestr danych terminy
Rejestr powinien uwzględnić planowane terminy usunięcia poszczególnych kategorii danych.


W przypadku gdy nie jest to możliwe wystarczające będzie wskazanie kryteriów, w oparciu o jakie ustalony zostanie czas przetwarzania danych osobowych.

Ważnym elementem rejestru jest dokumentacja odpowiednich zabezpieczeń. W rozporządzeniu wskazano, że administrator powinien zawrzeć w treści rejestru ogólny opis technicznych i organizacyjnych środków bezpieczeństwa służących zabezpieczeniu danych osobowych, o ile jest to możliwe.

rejestr danych bezpieczeństwo
Rejestr powinien zawierać ogólny opis techniczny i organizacyjny środków bezpieczeństwa.

Aktualna klauzula RODO do CV 2025. Jak poprawnie sformułować zgodę?

Podmiot przetwarzający. Rejestr kategorii czynności przetwarzania

Można rozróżnić typy dwa rejestru czynności przetwarzania danych. Pierwszy, czyli opisany powyżej rejestr dla Administratora Danych Osobowych zawiera szczegółowe informacje o przetwarzanych danych.

Z kolei podmioty przetwarzające dane osobowe w imieniu innego administratora zobowiązane są do prowadzenia rejestru kategorii czynności przetwarzania danych osobowych. Dokument ten zawiera informacje podobne do tych wymaganych w rejestrze czynności przetwarzania.

rejestr przetwarzania podmiot przetwarzający
Podmiot przetwarzający ma mają obowiązek prowadzenia rejestru kategorii czynności przetwarzania.


Do rejestru kategorii czynności przetwarzania danych osobowych trzeba koniecznie wpisać takie informacje, jak nazwa i dane kontaktowe podmiotu przetwarzającego (lub podmiotów przetwarzających, jeśli jest ich wiele).

rejestr czynności rodo 2024
Na barkach podmiotu przetwarzającego spoczywa obowiązek prowadzenia odpowiedniego rejestru.


Poza tym rejestr musi zawierać następujące dane:

  • Nazwa oraz dane kontaktowe każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych
  • Opis kategorii przetwarzań dokonywanych w imieniu każdego z administratorów,
  • Informacje o ewentualnym przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
rejestr rodo dokumentacja
Ważnym elementem rejestru jest dokumentacja odpowiednich zabezpieczeń.


W praktyce zdecydowana większość procesorów będzie prowadziła dwa rejestry – rejestr czynności przetwarzania jako administrator oraz rejestr kategorii czynności przetwarzania jako podmiot przetwarzający.

Prowadzenie rejestru czynności przetwarzania

Rozporządzenie wymaga, aby rejestr czynności przetwarzania prowadzony był w formie pisemnej lub elektronicznej. Umożliwia to szybsze reagowanie na zmieniającą się sytuację gospodarczą, która wymusza nagłe edytowanie rejestru i dodawanie do niego lub usuwanie określonych czynności przetwarzania danych.

Oobowiązek prowadzenia i aktualizowania rejestru czynności przetwarzania danych osobowych spoczywa na każdym Administratorze Danych Osobowych oraz – w uzasadnionych przypadkach – na jego przedstawicielu.

Warto przy tym podkreślić, że nie jest konieczne informowanie organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych) o prowadzeniu rejestru czynności przetwarzania.

Sprawdź szablony rejestru czynności przetwarzania

Ze względu na różnorodność administratorów, sektorów, w których działają i procesów przetwarzania danych, które prowadzą oraz innych czynników, w praktyce może występować wiele różnych modeli (struktur) rejestru czynności.

– czytamy na stronie Urzędu Ochrony Danych Osobowych. Oznacza to, że jeśli administrator uważa, że w rejestrze czynności przetwarzania danych osobowych powinny się pojawić inne informacje, np. źródła pozyskania danych, to jak najbardziej może uwzględnić je w dokumencie.

Przykładowe rejestry znajdziesz w naszym sklepie z wzorami dokumentów. Więcej o wzorach przeczytasz tutaj.

Polecamy nasze inne artykuły:

NIS2 - sprawdź nowe wymagania dla firm

Incydenty i naruszenia ochrony danych osobowych w dni wolne od pracy i święta

Dane osobowe: Kompletny przewodnik po RODO na 2025 rok

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk