Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Rejestr Czynności Przetwarzania – mapowanie procesów

Do czego jest mi potrzebne mapowanie procesów?

Do tej pory większość administratorów danych osobowych, tworząc fundamenty systemu ochrony danych osobowych bazowała na zbiorach danych. Zbiory danych osobowych należało zgłaszać do Regulatora bądź ujawniać w tzw. Jawnym Rejestrze.

RODO wprowadza w przedmiotowej materii daleko idącą modyfikacje. Nie musimy już zgłaszać zbiorów danych do Regulatora. Nie musimy też jako ABI prowadzić Jawnego Rejestru.

Za to w wielu przypadkach naszym obowiązkiem jest prowadzenie tzw. Rejestru Czynności Przetwarzania (RCP). Aby przygotować Rejestr, konieczne jest jednak mapowanie procesów i powiązanie przetwarzanych danych osobowych w zbiory.

Nawet jeśli nasza organizacja nie musi prowadzić RCP, to musimy być w stanie wykazać się tzw. Przesłanką legalności na dany proces przetwarzania danych osobowych. Żeby sprawdzić czy nasze procesy przetwarzania danych są legalne, musimy w ogóle wiedzieć o jakich procesach mowa.

W ten sposób wracamy do punktu wyjścia – bez mapowania procesów, jakiekolwiek dalsze kroki dostosowawcze do RODO, nie mają większego sensu.

Dobrze przygotowana mapa procesów przetwarzania danych, będzie stanowiła fundament przetwarzania danych osobowych w naszej organizacji przez wiele lat.

Wyodrębnienie zbiorów danych

Aby zebrać pełną i jednolitą informację o wszelkich czynnościach i procesach realizowanych na danych, pomocne okaże się przeprowadzenie krótkiego audytu.

Polecam zacząć od analizy schematu organizacyjnego instytucji czy przedsiębiorstwa. Usystematyzowanie wewnętrznej struktury pomoże na wstępie dokonać podziału na bloki danych gromadzonych we wszystkich komórkach organizacyjnych.

Zabieg ten ma na celu wyodrębnienie konkretnych zbiorów danych jako bazy, na którą nałożone będą odpowiednie procesy przetwarzania. W świetle Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. na przedsiębiorcy ciążył obowiązek prowadzenia i zgłaszania zbiorów danych osobowych do organu nadzorczego (GIODO).

Ogólne rozporządzenie o ochronie danych całkowicie znosi wymóg zgłaszania zbiorów danych do Regulatora.

Jednak samo wyodrębnienie zbiorów danych w organizacji pozostaje niezbędną praktyką, gdyż dokładnie porządkuje, przygotowuje i systematyzuje wszelkie dalsze czynności.

Jest także podstawą do przygotowania wymaganego przez RODO w wielu przypadkach Rejestru Czynności Przetwarzania (RCP).

Chcesz uzyskać gotowe rozwiązanie dla swojej firmy / urzędu? Zapraszamy do zakupu gotowego szablonu Rejestru Czynności Przetwarzania razem z instrukcją wypełniania.

Sprawdź

Czym jest zbiór danych i jak go wyodrębnić?

Zbiór danych osobowych w każdym systemie ochrony danych osobowych to punkt wyjścia i klucz do skutecznego stosowania wymogów prawa. Zgodnie z art. 7 pkt 1 Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r.  zbiór danych to: „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

Ujmując tę kwestię bardziej praktycznie, sposobem do najprostszego wyodrębnienia zbiorów danych jest uwzględnienie pewnych kryteriów, w oparciu o które należy je rozróżniać, takich jak: dostęp do zbioru, cel i zakres przetwarzania danych, podstawa prawna czy kategorie osób których dane dotyczą.

Najlepiej jednak zrozumieć pojęcie zbioru danych, analizując poniższe przykłady.

Jak nazwać zbiory danych?

Nazewnictwo zbioru danych ma charakter czysto umowny, zbiorom możemy więc nadawać nazwy według własnego uznania. Jednak z praktycznego punktu widzenia przyjmuje się, że nazwa powinna być prosta i czytelna, aby wyszczególnienie struktury zbiorów było logiczne i zrozumiałe. Przykładowe zbiory danych wyodrębniane w organizacjach to:

Przykładowe zbiory danych osobowych

  • pracownicy i współpracownicy
  • rekrutacja
  • kontrahenci
  • klienci
  • potencjalni klienci (zbiór marketingowy)
  • rejestr korespondencji
  • monitoring
  • reklamacje
  • postępowania sądowe
  • księga gości czy rejestr osób wchodzących i wychodzących do budynków
  • serwisy internetowe
  • dane powierzone

Ile zbiorów danych wyodrębnić?

Kolejnym problemem, przed którym możemy stanąć wyodrębniając zbiory danych jest ich liczba. W tym miejscu należy zastanowić się co może podlegać ochronie w naszej organizacji?

Naturalnie katalog danych będzie adekwatny do jej wielkości, struktury czy zakresu działalności, ponieważ każda instytucja czy przedsiębiorstwo ma swoją specyfikę.

W związku z tym występują w nich różnice w posiadanych zbiorach danych. Za każdym razem musi przyświecać nam jednak myśl czy w przypadku mojej organizacji wyodrębnienie danej liczby zbiorów będzie uzasadnione, praktyczne i co najważniejsze – funkcjonalne?

Zdecydowanie sugerujemy nie wyróżnianie zbyt dużej ilości zbiorów danych osobowych. W praktyce średnie ilości wyróżnianych zbiorów danych to 8 – 20 w organizacji.

Nałożenie procesów przetwarzania na zbiory danych osobowych

Po wyodrębnieniu zbiorów danych, czas na przyporządkowanie do nich procesów funkcjonujących w organizacji. To właśnie na tym polega tzw. Podejście procesowe, które jest mocno promowane przez RODO.

Aby lepiej zrozumieć zależność pomiędzy zbiorami danych, a procesami przetwarzania danych w ramach zbioru, poniżej przedstawiam przykładowe propozycje, odpowiednie dla dokumentacji ochrony danych średniej wielkości instytucji czy przedsiębiorstwa:

Nazwa zbioru Procesy

Pracownicy i współpracownicy

•          realizacja praw i obowiązków pracowniczych w ramach zatrudnienia

•          przetwarzanie danych w ramach Zakładowego Funduszu Świadczeń Socjalnych

•          korzystanie przez pracowników z dodatkowych benefitów (kart sportowych, ubezpieczenia, opieki medycznej)

•          konkursy pracownicze

•          wykorzystywanie wizerunku pracowników

•          monitorowanie aktywności pracowników w sieci teleinformatycznej

•          podnoszenie kwalifikacji i szkolenia pracowników

•          prowadzenie floty samochodów

Rekrutacja •          prowadzenie bieżących rekrutacji

•          wykorzystywanie dokumentów aplikacyjnych kandydatów do pracy w przyszłych rekrutacjach

Kontrahenci

•          nawiązywanie współpracy

•          czynności związane z realizacją zawartych umów

•          procedura zatwierdzania i monitorowania dostawców

•          księgowanie i archiwizowanie dokumentów księgowych

Klienci

•          nawiązywanie współpracy

•          realizacja zawartych umów/zamówień

•          informowanie klientów na temat nowych produktów

Rejestr korespondencji •          ewidencja korespondencji oraz odbiór i wysyłanie korespondencji
Reklamacje •          rozpatrywanie reklamacji klientów w zakresie oferowanych produktów
Postępowania sądowe •          dochodzenie roszczeń, podejmowanie działań o charakterze windykacyjnym
Serwisy internetowe

 •          świadczenie usługi Newsletter

•          autorzy komentarzy

•          użytkownicy posiadający konto

Najczęstsze błędy spotykane przy mapowaniu procesów

 W toku mapowania procesów wystrzegajmy się podstawowych błędów.

Błąd nr 1 - zbyt szczegółowo

Zmapowane przez nas procesy staną się w przyszłości kluczowym elementem RCP. Jeśli mapując procesy, zrobimy to zbyt szczegółowo, doprowadzimy do tego, że system ochrony danych osobowych nie będzie skuteczny.

Zarządzanie np. trzystoma procesami przetwarzania danych osobowych w średniej wielkości organizacji nie będzie możliwe w praktyce. Pamiętajmy o tym, że każdy zmapowany proces musimy powiązać z przesłanką legalności, przeanalizować pod kątem powierzenia etc.

W audycie finansowym istnieją specjalne procedury, mówiące o tym, że jeśli wykryte nieścisłości są odpowiednio mało istotne – to nie zajmujemy się nimi w ogóle. Takie zdroworozsądkowe podejście jest wskazane również w audycie RODO.

Błąd nr 2 - zbyt ogólnikowo

Jeśli podejdziemy do tematu na zbyt ogólnym poziomie, może okazać się, że pominęliśmy jakiś istotny proces. Nie zostanie on sprawdzony pod kątem przesłanki legalności, nie zostanie podpisana umowa powierzenia etc.

Proces będzie funkcjonował całkowicie obok budowanego przez nas systemu. To potencjalnie niebezpieczna sytuacja.

Z perspektywy naszego doświadczenia, procesy szczególnie warte zmapowania i uwzględnienia w RCP to:

  • procesy powtarzalne, realizowane na masową skalę
  • procesy w ramach których przetwarzana jest duża ilość danych osobowych
  • procesy budzące duże ryzyka prawne, a więc działania powiązane z działalnością marketingową czy te które dotyczą danych wrażliwych
  • procesy w ramach których już wystąpiły jakieś trudności, skargi czy zastrzeżenia osób, których dane dotyczą

Przygotowanie rejestru czynności przetwarzania (RCP)

Jeśli udało Ci się wyodrębnić zbiory danych i nanieść na nie procesy przetwarzania – brawo!

Na tym właśnie polega mapowanie procesów o którym tak dużo się teraz mówi. Dzięki odpowiednio zmapowanym procesom, masz teraz świadomość tego co dokładnie dzieje się z danymi osobowymi w Twojej organizacji.

Jednak to dopiero początek góry RODOwej…Teraz zebrane dane posłużą do stworzenia rejestru czynności przetwarzania, do którego prowadzenia większość przedsiębiorców zobowiązuje art. 30 ust. 5 RODO.

Rejestr Czynności Przetwarzania jest czymś znacznie więcej niż sama mapa zbiorów i procesów. Jednak to właśnie zmapowane przez Ciebie zbiory i procesy staną się fundamentem RCP.

 Poradnik dotyczący tworzenia i prowadzenia samego RCP – już wkrótce.

Najlepsze na rynku szkolenia e-learningowe. Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną widzę z zakresu RODO zamiast nużących regułek? Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Prowadzisz MŚP lub nadzorujesz prace niewielkiego urzędu państwowego? Zapraszamy do zapoznania się z pakietem RODO Optymalnie.

Sprawdź

Powiązane artykuły

Obowiązek informacyjny w RODO cz. 3
Obowiązek informacyjny w RODO cz. 2
Obowiązek informacyjny w RODO

26 Odpowiedzi

  1. Dzień dobry.
    Jeżeli jesteśmy osobowo (osobami z Zarządu) powiązani z szwajcarską spółką X i ściśle współpracujemy, między innymi np przy rekrutacji – przekazujemy dane kandydatów specjalistom z tamtej spółki, w celu weryfikacji kandydatów. To czy spółka szwajcarska jest współadministratorem, czy odbiorcą danych?

    A również – jeżeli my przekazujemy księgowej jedynie ewidencję czasu pracy, a ona przygotowuje wszystkie rozliczenia, formularze, zgłoszenia ZUS – to czy my jesteśmy administratorami tych czynności i powinniśmy je uwzględnić w naszym rejestrze, czy jako że powierzamy to podmiotowi przetwarzającemu, nie musimy uwzględniać tego w rejestrze?

    Z góry dziękuję za informacje!

    1. Kancelaria Lex Artist

      Dzień dobry. Z uwagi na prostszą konstrukcję, w przypadku przekazywania danych do Szwajcarii należy zastosować powierzenie przetwarzania danych osobowych. Jednocześnie, realizując obowiązek informacyjny, należy poinformować kandydatów do pracy, że ich dane będą przekazywane do państwa trzeciego, jakim jest Szwajcaria i że państwo to, na mocy decyzji Komisji Europejskiej z 2000 r. jest państwem, w którym stwierdzono odpowiedni poziom ochrony. Z kolei w przypadku księgowej – należy zawrzeć umowę powierzenia przetwarzania danych osobowych i zarazem umieścić tę czynność przetwarzania w rejestrze czynności przetwarzania administratora danych. Pozdrawiamy!

      1. Dziękuję za szybką odpowiedź. Doprecyzowując temat księgowej – w rejestrze wpisuję “czynność przekazania powierzenia danych do Biura Księgowego celem obsługi kadrowej”, czy dokładnie “Tworzenie rozliczeń ZUS, rozliczenia płacowe, itd” ?

  2. Łukasz

    Witam, artykuł świetny jednak dalej nie wynika z niego co tak naprawdę powinno się znaleźć w RCP – rejestr zbiorów czy rejestr procesów. Jeżeli rejestr zbiorów to po co mapować procesy skoro we wzorze RCP zamieszczonym przez GIODO nie ma miejsca na wyliczanie procesów, natomiast jeżeli ma to być rejestr procesów to po co w ogóle tworzyć ogólnikowe zbiory danych jeżeli takich procesów tak jak w mojej firmie dla jednego zbioru jest 28. Kolejna sprawa to same zbiory – firmy, które już dawno powinny mieć politykę bezpieczeństwa informacji oraz instrukcję zarządzania systemem informatycznym takie “mapowanie procesów” już dawno mają wykonane. W mojej firmie w polityce znajduje się 10 zbiorów danych, a procesy o których mowa w artykule to znajdujące się w zbiorach dokumentacje służące do przetwarzania zbioru danych

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy za miłą recenzję. Cóż – każdy podmiot ma nieco inne podejście do tego jak definiować procesy, czy wyodrębniać jeszcze wyższą kategorię, jaką są zbiory. Decyzja w tym zakresie należy do administratora danych. GIODO, zamieszczając przykładowy RCP, wyraźnie wskazał, iż jest on “przykładowy”, także mamy w tym zakresie pewien luz decyzyjny. Formalnie nie jest to rejestr procesów, tylko rejestr czynności przetwarzania, które mogą się nieco różnić od procesów biznesowych, które znamy z nauki o procesach. Pozdrawiamy!

  3. Admin

    Witam,
    W końcu ktoś jasnym językiem wyjaśnił co to są zbiory i procesy. Pracuję w szkole i mieliśmy ostatnio prawnika, który nam robił z tego szkolenie jednak mówił takim językiem i tak ogólnikowo, że nic z tego szkolenia nie wyniosłem.
    Jeżeli chodzi o komentarze to dobrze rozumiem, że w polityce musimy mieć zamieszczony rejestr zbiorów danych oraz procesów i jednocześnie prowadzić jeszcze rejestr czynności przetwarzania, czy RPC zastępuje posiadany przez nas rejestr zbiorów….
    Pozdrawiam wszystkich wkręconych w rodo 🙂

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy za miłą opinię! 😀 RCP zastępuje prowadzony rejestr zbiorów. Obowiązku prowadzenia rejestru zbiorów w Polityce ochrony danych nie ma, ale nie ma również przeszkód, by go tam zamieścić – to pozostaje do decyzji administratora danych. Pozdrawiamy!

  4. Julia

    Witam! jesteśmy firmą budowlaną, zastanawiam się, czy powinniśmy wysłać maile informacyjne do każdej z firm z którą współpracowaliśmy (nadal posiadamy ich dane) i z którą współpracujemy nadal (firmy podwykonawcze, Inwestorzy, hurtownie, gdzie zamawiamy materiały) z informacją o celu i zasadach przetwarzania przez Naszą firmę danych osobowych oraz o przysługujących prawach związanych z przetwarzaniem wspomnianych danych? Czy maile, które otrzymujemy od innych firm o treści powyżej, powinniśmy zachowywać w celu rejestracji, gdzie została wyrażona zgoda na przetwarzanie danych? Pozdrawiam!

    1. Kancelaria Lex Artist

      Dzień dobry. Generalnie RODO takiego obowiązku nie stawia przed administratorami danych, ale spełnienie zaktualizowanego obowiązku informacyjnego na pewno jest dobrą praktyką. Pozdrawiamy!

  5. Łukasz

    Witam ponownie,
    Czytałem dzisiaj artykuł, że firmy zatrudniające mniej niż 250 osób są zwolnione z prowadzenia RCP o ile nie przetwarzają danych wrażliwych – w związku z tym, że pracuję w szkole, gdzie zatrudnionych jest niecałe 50 osób w takim RCP zawieram tylko te zbiory, w których są dane wrażliwe?
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Obowiązki w zakresie prowadzenia rejestru czynności przetwarzania nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych (co dotyczy także szkoły). Zgodnie z opinią grupy roboczej artykułu 29 ds. ochrony danych osobowych w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust 5 RODO, organizacje takie jak Państwa szkoła muszą prowadzić RCP jedynie dla czynności wskazanych w artykule 30 ust 5 RODO, tj. “danych wrażliwych”. W związku z tym, obowiązek prowadzenia RCP istnieje jedynie dla rodzajów przetwarzania, które zawierają “dane wrażliwe”. Pozdrawiamy!

      1. Łukasz

        Dziękuję za wyczerpującą odpowiedź – proszę jeszcze powiedzieć, czy dobrze myślę – sąsiad prowadzi małą firmę zatrudniającą 3 osoby, faktury wypisuje komputerowo, a sprawy finansowe (ZUS itp.) wykonuje mu księgowa. W takiej sytuacji kolega musi posiadać politykę, instrukcję, umowę powierzenia danych do firmy księgowej ale RCP już nie robi?

  6. Agnieszka

    Dzień Dobry,

    Mam pytanie dotyczące tego, kto powinien prowadzić rejestr czynności przetwarzania w firmie? wiem, że administrator, ale jeśli firma jest naprawdę rozbudowana ponad 5 tyś. pracowników i wiele działów i procesów, czy jego prowadzenie powinno należeć do każdego działu, który przetwarza dane?

    1. Kancelaria Lex Artist

      Dzień dobry. Powinien prowadzić go administrator, jednak nie ma przeszkód, aby każdy dział dodał do rejestru “coś od siebie” tzn. uzupełnił te czynności, którymi dany dział się zajmuje. Pozdrawiamy!

      1. Ania

        Witam! Chciałabym się dowiedzieć, co to znaczy “prowadzić rejestr czynności”. Czy to oznacza, że np. co miesiąc wpisuję w rejestrze czynności, które miały miejsce w danym miesiacu (np. kandydaci do pracy- prowadzenie rekrutacji). Czy może stwarzam rejest obejmujący czynnosći, które najczęśćiej występują w firmie i ew. dodaję nowe czynnosci, które mogą się pojawić (mogą powstać) podczas prowadzenia firmy?
        Kiedy ukaże się “Poradnik dotyczący tworzenia i prowadzenia samego RCP”?

        1. Kancelaria Lex Artist

          Dzień dobry. Prowadzenie rejestru to raczej ta druga opcja, którą Pani przedstawiła. Co do poradnika – konkretnego terminu nie jesteśmy w stanie w tej chwili podać. Zachęcamy do zapoznania się z przykładowym RCP na stronie jeszcze ówczesnego GIODO. Pozdrawiamy!

  7. Anna

    Witam, jak rozumieć pojęcie “zautomatyzowanego przetwarzania danych” w kontekście obowiązku informacyjnego? Chodzi o to, że dane przetwarzane są w jakimś programie księgowym?

    1. Kancelaria Lex Artist

      Dzień dobry. Musimy wyprowadzić Panią z błędu, obowiązek informacyjny dotyczy wyłącznie “zautomatyzowanego podejmowania decyzji” – to coś zupełnie innego niż wspomniane przez Panią zautomatyzowane przetwarzanie danych. Korzystanie z programu księgowego jest zautomatyzowanym przetwarzaniem danych, ale nie jest zautomatyzowanym podejmowaniem decyzji. 🙂 Pozdrawiamy!

  8. Gabrysia

    Dziękuję Wam za cenne porady! Dostałam dzisiaj umowę powierzenia przetwarzania danych osobowych między firmą a weterynaryjnym laboratorium diagnostycznym, które jako podmiot przetwarzający chce przetwarzać takie dane OSOBOWE jak na przykład “wiek zwierzęcia”, “płeć zwierzęcia”, “dane dotyczące wycinków histopatologicznych”… co z takim “fantem” zrobić?
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry i na początek dziękujemy za miłe słowa! 🙂 Podane dane nie są danymi osobowymi, niezależnie jak bardzo kochamy nasze zwierzaki. 😀 Pozdrawiamy!

Zostaw odpowiedź