Twórcy RODO wielokrotnie podkreślali, że Rozporządzenie opiera się na podejściu procesowym. Nie pokusili się jednak o zbudowanie definicji procesu przetwarzania danych osobowych.
Podejście procesowe, miało być czymś nowym w stosunku do podejścia opartego na zbiorach danych. Jeszcze na początku 2018 roku, w Polsce do GIODO (poprzednika Prezesa UODO) zgłaszaliśmy zbiory danych osobowych. Z dniem rozpoczęcia stosowania RODO, tj. 25 maja 2018 r. ten obowiązek wygasł.
Wprawdzie pojęcie zbioru danych występuje także w przepisach RODO, straciło ono jednak znacznie na rzecz pojęcia procesu.
Czym jest wobec tego proces przetwarzania danych osobowych?
Definicja
Na początek krótki wstęp teoretyczny. Co prawda w Rozporządzeniu brak definicji procesu, to jednak całkiem użyteczną definicję znajdziemy w normie PN-EN ISO 9000:2006. Norma PN-EN ISO 9000:2006, definiuje proces jako:
„zbiór działań wzajemnie powiązanych lub wzajemnie oddziałujących, które przekształcają wejścia w wyjścia”
Zobrazujmy to przykładem. Wyobraź sobie konkurs internetowy w którym zbierasz dane osobowe uczestników. Wejście w proces polega na zebraniu danych osobowych uczestników. Wyjście procesu to zrealizowanie konkursu i rozdanie nagród. Zarówno wejście, jak i wyjście, stanowią elementy całego procesu.
Dlaczego procesy są tak ważne w RODO
Proces przetwarzania danych na potrzeby realizacji konkursu to jedynie przykład. Procesów przetwarzania danych osobowych, jest w Twojej organizacji dużo więcej.
Jeśli zatrudniasz pracowników na podstawie umowy o pracę, to prowadzisz specjalną dokumentację kadrową, BHP. Być może prowadzisz Zakładowy Fundusz Świadczeń Socjalnych lub świadczysz różnego rodzaju usługi benefitowe, etc.
To wszystko są różne procesy związane z danymi kadrowymi. Więcej na temat procesów kadrowych, znajdziesz w naszym artykule na blogu.
Twórcy RODO, oczekują od Ciebie, że zapanujesz nad procesami przetwarzania danych osobowych. Powinieneś je wszystkie zmapować (tj. rozpoznać i wyodrębnić), a następnie spisać w formie rejestru czynności przetwarzania.
RCP to jeden z pierwszych dokumentów, o które poproszą Cię inspektorzy UODO w trakcie kontroli. Poza zmapowanymi procesami przetwarzania danych, RCP zawiera również cele przetwarzania danych, okresy retencji, informacje o powierzeniu lub udostępnieniu danych.
RCP to mapa drogowa dla przetwarzania danych w Twojej organizacji. Jeśli zapomnisz o jakimś procesie, to nie zbudujesz do niego również obowiązków informacyjnych, nie zapewnisz przesłanek legalności, etc. Jeśli Twój RCP będzie zbyt szczegółowy, to stworzysz nadmierną biurokrację i dodasz sobie pracy (konieczność częstej aktualizacji wpisów w rejestrze), której nie zdążysz zrealizować. O szukaniu złotego środka przy mapowaniu procesów, pisaliśmy również na naszym blogu
Rejestr czynności przetwarzania (RCP) i RKCP
Chcesz spełnić wymóg RODO i prowadzić Rejestr Czynności Przetwarzania oraz Rejestr Kategorii Czynności Przetwarzania, ale nie wiesz od czego zacząć?
Działaj na sprawdzonym szablonie, którego autorem są eksperci Lex Artist – lidera na rynku ochrony danych osobowych w Polsce.
Podsumowanie
Proces to podstawowa jednostka, która pomoże Ci uporządkować przetwarzanie danych osobowych. Pogrupuj działania w procesy i opisz je w RCP. Zyskasz poczucie kontroli nad tym co dzieje się z danymi osobowymi w Twojej organizacji.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.