Rejestr czynności przetwarzania. Dokument który wszyscy mają i nikt nie prowadzi.

Rejestr czynności przetwarzania. Dokument który wszyscy mają i nikt nie prowadzi.

Poproś o rejestr czynności przetwarzania. Dowiesz się więcej o stanie RODO w firmie niż z jakiegokolwiek audytu.


Palacza w szkole rozpoznasz prosząc go do tablicy.

Wdrożenie RODO na taśmę izolacyjną rozpoznasz prosząc o rejestr czynności przetwarzania.

Reakcja jest zawsze ta sama. Chwila ciszy. Szukanie w folderach. Czasem kilka maili do poprzedniego IOD który już nie pracuje. A na końcu – plik Excela z datą modyfikacji z 2018 roku i nazwiskiem kogoś kto odszedł z firmy trzy reorganizacje temu.


Czym jest rejestr czynności przetwarzania i dlaczego wszyscy go mają

Art. 30 RODO nakłada na administratorów danych obowiązek prowadzenia rejestru czynności przetwarzania. To dokument który powinien opisywać wszystko co dzieje się z danymi osobowymi w organizacji – jakie dane zbierasz, w jakim celu, na jakiej podstawie prawnej, jak długo je przechowujesz i komu je udostępniasz.

W teorii: żywy dokument aktualizowany przy każdej zmianie procesu, każdym nowym dostawcy, każdej modyfikacji systemu.

W praktyce: pożółkły skan z okresu gdy RODO wchodziło w życie, prowadzony przez kogoś kto już dawno zmienił pracę, opisujący procesy których część już nie istnieje i pomijający procesy które powstały przez ostatnie lata.

Excel kłamie rzadko. Za to pokazuje wprost jak dawno ktoś w niego zaglądał.


Co widać gdy rejestr jest fikcją

Braki w rejestrze to nie tylko problem formalny. To mapa tego co firma rzeczywiście wie o własnym przetwarzaniu danych.

Puste kolumny z podstawami prawnymi oznaczają że nikt nie sprawdził czy dane są zbierane legalnie. Dostawcy których już nie ma w rejestrze oznaczają umowy powierzenia które wygasły albo nigdy nie istniały. Procesy których jeszcze nie ma w rejestrze oznaczają że ktoś wdrożył coś bez pytania IOD.

Każda z tych luk to potencjalne naruszenie. Każda luka to też informacja której nie masz gdy przyjdzie UODO z kontrolą albo gdy będziesz musiał odpowiedzieć na wniosek osoby której dane dotyczą.

Rejestr który nie istnieje realnie nie jest problemem samym w sobie. Jest objawem. Informuje że organizacja nie zarządza świadomie tym co robi z danymi – tylko reaguje gdy coś się posypie.


Dlaczego rejestr umiera

Rejestr czynności przetwarzania jest jednym z tych dokumentów które każdy tworzy raz i nikt nie aktualizuje. Powodów jest kilka i każdy z nich jest zrozumiały z perspektywy organizacyjnej.

Brak właściciela. Rejestr powstaje przy wdrożeniu RODO. Często to IOD go tworzy. Potem IOD zmienia pracę albo firma rezygnuje z zewnętrznego IOD. Rejestr zostaje bez opiekuna. Nikt nie czuje się odpowiedzialny za jego aktualizację bo nikt formalnie tej odpowiedzialności nie ma.

Brak procesu. Nowe wdrożenia systemów, nowi dostawcy, nowe procesy – wszystko to powinno trafiać do rejestru. Ale żeby trafiało musi istnieć mechanizm który to zapewnia. Ktoś musi wiedzieć że gdy dział marketingu kupuje nowe narzędzie do email marketingu – IOD musi o tym wiedzieć zanim a nie po. W większości firm ten mechanizm nie istnieje.

Brak priorytetu. Rejestr nie generuje przychodów. Jego brak nie boli dopóki nie przyjdzie kontrola. W codziennym zarządzaniu firmą zawsze jest coś pilniejszego. Kwartał się kończy. Projekt się spóźnia. Rejestr może poczekać.

Czeka. Rok. Dwa. Pięć.


Jak to wygląda w praktyce – szczerze

Nie jestem fanem prowadzenia rejestru dla samego rejestru. Dokument który istnieje wyłącznie żeby odhaczył wymóg formalny ma tyle wartości co polityka prywatności którą nikt nie czyta.

Wolę mniej niż więcej – ale z ryzykiem świadomym a nie z ryzykiem fikcji.

Problem w tym że obowiązek istnieje niezależnie od moich upodobań. Art. 30 RODO nie ma wyjątku dla firm które uważają że to biurokratyczny przeżytek.

Dlatego wypracowałem dla siebie metodę która nie jest z podręcznika ale działa lepiej niż zostawienie rejestru na kolejne dwa lata.

Gdy opiniuję nowy proces albo nowego dostawcę – koloruję kratki na żółto. Żółty znaczy: wiem że tu coś jest, jeszcze nie opisałem dokładnie, muszę wrócić. To mój własny system flag który pozwala mi odróżnić "nie wiem czy to jest" od "wiem że jest, opiszę gdy będę miał więcej czasu."

Nie jest to metoda z podręcznika. Ale żółty Excel który jest aktualny jest lepszy niż biały Excel który opisuje świat sprzed pięciu lat.


Co naprawdę działa – opcje które warto rozważyć

Nie ma jednej odpowiedzi która pasuje do każdej organizacji. Są trzy modele które widzę w praktyce i każdy ma swoje warunki działania.

Model 1: Dedykowany człowiek. IOD albo specjalista ds. ochrony danych który ma aktualizację rejestru wpisaną w zakres obowiązków i realnie to robi. Działa w organizacjach gdzie IOD ma czas, zasoby i dostęp do informacji o nowych procesach. Warunek konieczny: IOD musi wiedzieć co się dzieje w firmie zanim to się stanie.

Model 2: System który wymusza aktualizację. Dedykowane narzędzie do zarządzania RODO – nie Excel – które ma wbudowane przypomnienia, workflow i historię zmian. Działa gdy organizacja jest gotowa za to zapłacić i gdy ktoś pilnuje że system jest faktycznie używany a nie tylko zainstalowany. System który nie jest używany jest dokładnie tak samo bezużyteczny jak Excel z 2018 roku.

Model 3: Decentralizacja na właścicieli procesów. Każdy dział jest odpowiedzialny za aktualizację swojej części rejestru. Marketing aktualizuje procesy marketingowe. HR aktualizuje procesy kadrowe. IOD koordynuje i weryfikuje. Działa gdy właściciele procesów rozumieją co aktualizują i gdy ktoś – IOD – faktycznie sprawdza czy aktualizują.

Warunek wspólny dla wszystkich trzech modeli: ktoś musi wiedzieć że nowy proces powstaje zanim powstanie. Bez tego mechanizmu żaden model nie zadziała.


Rejestr jako narzędzie – nie jako obowiązek

Zmiana perspektywy którą warto przeprowadzić w każdej organizacji: rejestr czynności przetwarzania to nie jest dokument który prowadzisz dla UODO.

To jest dokument który prowadzisz dla siebie.

Gdy przychodzi wniosek o dostęp do danych – rejestr mówi Ci gdzie szukać. Gdy przychodzi kontrola – rejestr pokazuje że wiesz co robisz z danymi. Gdy odchodzi kluczowy pracownik – rejestr zachowuje wiedzę o procesach której inaczej nikt nie ma. Gdy wychodzi luka w bezpieczeństwie – rejestr pozwala szybko ocenić jakie dane mogły być dotknięte.

Rejestr który jest aktualny to nie jest koszt compliance. To jest mapa organizacji widziana przez pryzmat danych. I ta mapa ma wartość niezależnie od tego czy UODO kiedykolwiek o nią zapyta.


Podsumowanie dla tych którzy mają mało czasu

Jeśli Twój rejestr czynności przetwarzania nie był aktualizowany od ponad roku – jest duże prawdopodobieństwo że opisuje organizację która już nie istnieje.

Nie musisz robić wszystkiego naraz. Zacznij od przejrzenia co w rejestrze jest a czego nie ma. Oznacz luki. Ustal kto jest odpowiedzialny za poszczególne procesy. Zbuduj mechanizm który sprawi że nowe procesy trafiają do Ciebie zanim wdrożenie jest gotowe.

To nie jest projekt na kwartał. To jest zmiana nawyku organizacyjnego.

I jak każda zmiana nawyku – zaczyna się od przyznania że obecny nawyk nie działa.

Twój rejestr z 2018 roku właśnie na Ciebie patrzy.


Artykuły stanowią "wydłużoną wersję" najpopularniejszych treści tworzonych przeze mnie w innych serwisach social media. Artykuł oraz grafika główna powstały przy wsparciu AI.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.