Rejestr czynności przetwarzania (RCP) – wzór

Q: 1. Czym jest rejestr czynności przetwarzania (RCP) i po co mi on w firmie?

RCP to rejestr procesów, w których Twoja firma przetwarza dane osobowe jako administrator (a czasem także jako podmiot przetwarzający — wtedy prowadzi się odrębny rejestr kategorii czynności). Po co? Bo RODO wymaga rozliczalności: masz umieć wykazać, że przetwarzasz dane zgodnie z zasadami, w określonych celach, przez określony czas, z właściwymi zabezpieczeniami. RCP porządkuje też praktykę: łatwiej zrobić klauzule informacyjne, umowy powierzenia, oceny ryzyka, DPIA i odpowiedzi na wnioski osób.

Q: 2. Kto ma obowiązek prowadzić RCP? Czy “<250 osób” mnie zwalnia?

Zasadniczo administrator prowadzi RCP. Wyjątek dla organizacji <250 osób jest ograniczony: jeśli przetwarzanie nie jest sporadyczne, może powodować ryzyko naruszenia praw i wolności albo obejmuje dane szczególnych kategorii (art. 9) lub dane karne (art. 10) — rejestr nadal jest wymagany. W praktyce większość firm przetwarza dane pracowników i klientów w sposób ciągły, więc “sporadyczność” rzadko pasuje do rzeczywistości.

Q: 3. Jakie elementy muszą być w RCP “minimalnie” (art. 30) — checklista?

W RCP powinny się znaleźć co najmniej: (1) nazwa i dane administratora (oraz ewentualnie współadministratorów/ przedstawiciela), (2) cele przetwarzania, (3) opis kategorii osób i kategorii danych, (4) kategorie odbiorców, (5) transfery poza EOG i zastosowane zabezpieczenia — jeśli dotyczy, (6) planowane terminy usunięcia (retencja) dla kategorii danych, (7) ogólny opis środków technicznych i organizacyjnych bezpieczeństwa.

Q: 4. Jakie kolumny warto dodać “praktycznie”, żeby rejestr był użyteczny, a nie papierowy?

Dobrze działający RCP ma zwykle kilka dodatkowych pól: właściciel procesu (osoba / dział), systemy i lokalizacje danych (np. CRM, poczta, dysk, ERP), podstawę prawną z art. 6 (i ewentualnie art. 9/10), informację o powierzeniach (procesorach) i kluczowych umowach, flagę DPIA/oceny ryzyka, informację o profilowaniu / zautomatyzowanych decyzjach, a także krótką notatkę o źródłach danych (skąd je masz) — przydaje się to do art. 13/14 i art. 15.

Q: 5. Jak szczegółowo opisywać “czynność”? (żeby nie było za ogólnie)

Zamiast “obsługa klienta” lepiej: “Obsługa zapytań i reklamacji klientów w systemie helpdesk + e-mail”, “Realizacja umów i rozliczenia w ERP + fakturowanie”, “Wysyłka newslettera do subskrybentów w narzędziu e-mail marketing”. Opis ma od razu mówić: co robimy, po co, gdzie to siedzi (system) i kto jest typową osobą (kategoria osób).

Q: 6. Czy w RCP muszę wpisywać podstawy prawne (art. 6)?

Art. 30 nie wymienia podstawy prawnej jako obowiązkowej kolumny literalnie, ale w praktyce to jedna z najbardziej użytecznych informacji. Bez podstawy trudno spójnie utrzymać klauzule informacyjne, retencję i ocenę ryzyka. Dlatego dodajemy ją jako kolumnę przydatną.

Q: 7. Profilowanie i automatyczne decyzje — jak to ująć w RCP?

Jeżeli w procesie stosujesz profilowanie (np. scoring leadów, segmentację marketingową, automatyczne dopasowanie oferty), zaznacz to w rejestrze i opisz krótko: na czym polega, jakie dane są używane i jakie może mieć skutki. To ważne także dlatego, że brak ujęcia profilowania w opisie procesu bywa oceniany jako błąd w prowadzeniu RCP (patrz decyzja UODO w źródłach).

Q: 8. Odbiorcy danych: “kategorie odbiorców” czy konkretne firmy?

RODO dopuszcza opis odbiorców jako kategorii (np. “dostawcy hostingu”, “biuro rachunkowe”, “operator płatności”, “firma kurierska”), ale ma to być uczciwe i realne. Jeśli korzystasz z konkretnego procesora, i tak musisz mieć go w dokumentacji (umowy powierzenia). W samym rejestrze najczęściej wystarczają kategorie + ewentualnie nazwa kluczowych dostawców (zwłaszcza wrażliwych: chmura/CRM/marketing).

Q: 9. Retencja w RCP: co wpisać, jeśli nie da się podać jednej liczby?

Możesz podać kryteria: “czas trwania umowy + okres przedawnienia roszczeń”, “okres wymagany przepisami podatkowymi/rachunkowymi”, “do czasu cofnięcia zgody, nie dłużej niż X miesięcy od ostatniej aktywności”. Ważne: nie wpisuj “bezterminowo” bez realnej podstawy — to sygnał ryzyka.

Q: 10. Jak często aktualizować RCP i kto ma to robić?

RCP aktualizujesz zawsze, gdy zmienia się proces: nowy system, nowy dostawca, nowy kanał marketingu, zmiana retencji, nowe kategorie danych, nowe transfery poza EOG, nowe zabezpieczenia, nowe cele. W praktyce działa model: właściciel procesu zgłasza zmianę, a osoba odpowiedzialna za compliance/RODO scala to do rejestru i pilnuje spójności.

Rejestr czynności przetwarzania (RCP) z art. 30 RODO to w praktyce „mapa procesów z danymi osobowymi” w Twojej firmie. Nie jest to dokument „dla prawnika do szuflady” — to narzędzie rozliczalności: masz umieć pokazać co przetwarzasz, po co, na jakiej podstawie, w jakich systemach, komu ujawniasz, jak długo trzymasz i jak zabezpieczasz. Najczęściej firmy wykładają się na 3 rzeczach: (1) rejestr jest nieaktualny, (2) wpisy są zbyt ogólne („obsługa klienta”), (3) brakuje elementów „wrażliwych” operacyjnie: profilowania, transferów poza EOG, odbiorców, realnych terminów retencji albo kategorii danych. Na tej stronie masz gotowy wzór tabeli do skopiowania (z wymaganym minimum + praktyczne kolumny) oraz instrukcję: jak prowadzić RCP tak, żeby po lekturze zostały Ci odpowiedzi, a nie pytania.

Dla kogo: MŚP i zespoły operacyjne (HR, sprzedaż, marketing, e-commerce, IT, obsługa klienta). Bazujemy na art. 30 RODO, zasadzie rozliczalności (art. 5 ust. 2) oraz na poradniku Prezesa UODO dot. rejestrowania czynności przetwarzania. Pokazujemy też przykład z praktyki organu: brak ujęcia profilowania w opisie procesu w rejestrze to realny problem (decyzja UODO w źródłach).

Wróć do Ochrona danych w firmie

W skrócie — najważniejsze fakty

RCP to nie formalność, tylko dowód rozliczalności. Jeśli ktoś pyta „czy macie RCP?”, to naprawdę pyta: czy umiecie opisać procesy z danymi i nimi zarządzać (cele, podstawy, odbiorcy, retencja, bezpieczeństwo).

Art. 30 podaje minimum, ale praktyka wymaga kilku kolumn ekstra. Minimum to m.in. cele, kategorie danych i osób, odbiorcy, transfery poza EOG, terminy usunięcia i opis zabezpieczeń. Dodatkowo warto mieć: systemy, właściciela procesu, podstawę prawną, powiązane umowy powierzenia, flagi DPIA, informację o profilowaniu.

Rejestr musi żyć – aktualizacja to obowiązek operacyjny. Nowy system? Nowy dostawca? Zmieniasz retencję? Uruchamiasz kampanię? Wchodzisz w monitoring? To są momenty, kiedy RCP powinien być zaktualizowany „od razu”, a nie raz w roku.

“Mamy <250 osób” nie zawsze zwalnia z RCP. Wyjątek dla mniejszych organizacji jest wąski. Jeśli przetwarzanie nie jest sporadyczne, może powodować ryzyko albo dotyczy danych szczególnych kategorii / karnych – rejestr zwykle i tak jest potrzebny (w praktyce: pracownicy, klienci, marketing, monitoring, helpdesk – to nie jest „sporadyczne”).

Pytania i odpowiedzi: rejestr czynności przetwarzania (RCP)

1. Czym jest rejestr czynności przetwarzania (RCP) i po co mi on w firmie?

RCP to rejestr procesów, w których Twoja firma przetwarza dane osobowe jako administrator (a czasem także jako podmiot przetwarzający — wtedy prowadzi się odrębny rejestr kategorii czynności). Po co? Bo RODO wymaga rozliczalności: masz umieć wykazać, że przetwarzasz dane zgodnie z zasadami, w określonych celach, przez określony czas, z właściwymi zabezpieczeniami. RCP porządkuje też praktykę: łatwiej zrobić klauzule informacyjne, umowy powierzenia, oceny ryzyka, DPIA i odpowiedzi na wnioski osób.

2. Kto ma obowiązek prowadzić RCP? Czy “<250 osób” mnie zwalnia?

Zasadniczo administrator prowadzi RCP. Wyjątek dla organizacji <250 osób jest ograniczony: jeśli przetwarzanie nie jest sporadyczne, może powodować ryzyko naruszenia praw i wolności albo obejmuje dane szczególnych kategorii (art. 9) lub dane karne (art. 10) — rejestr nadal jest wymagany. W praktyce większość firm przetwarza dane pracowników i klientów w sposób ciągły, więc “sporadyczność” rzadko pasuje do rzeczywistości.

3. Jakie elementy muszą być w RCP “minimalnie” (art. 30) — checklista?

W RCP powinny się znaleźć co najmniej: (1) nazwa i dane administratora (oraz ewentualnie współadministratorów/ przedstawiciela), (2) cele przetwarzania, (3) opis kategorii osób i kategorii danych, (4) kategorie odbiorców, (5) transfery poza EOG i zastosowane zabezpieczenia — jeśli dotyczy, (6) planowane terminy usunięcia (retencja) dla kategorii danych, (7) ogólny opis środków technicznych i organizacyjnych bezpieczeństwa.

4. Jakie kolumny warto dodać “praktycznie”, żeby rejestr był użyteczny, a nie papierowy?

Dobrze działający RCP ma zwykle kilka dodatkowych pól: właściciel procesu (osoba / dział), systemy i lokalizacje danych (np. CRM, poczta, dysk, ERP), podstawę prawną z art. 6 (i ewentualnie art. 9/10), informację o powierzeniach (procesorach) i kluczowych umowach, flagę DPIA/oceny ryzyka, informację o profilowaniu / zautomatyzowanych decyzjach, a także krótką notatkę o źródłach danych (skąd je masz) — przydaje się to do art. 13/14 i art. 15.

5. Jak szczegółowo opisywać “czynność”? (żeby nie było za ogólnie)

Zamiast “obsługa klienta” lepiej: “Obsługa zapytań i reklamacji klientów w systemie helpdesk + e-mail”, “Realizacja umów i rozliczenia w ERP + fakturowanie”, “Wysyłka newslettera do subskrybentów w narzędziu e-mail marketing”. Opis ma od razu mówić: co robimy, po co, gdzie to siedzi (system) i kto jest typową osobą (kategoria osób).

6. Czy w RCP muszę wpisywać podstawy prawne (art. 6)?

Art. 30 nie wymienia podstawy prawnej jako obowiązkowej kolumny literalnie, ale w praktyce to jedna z najbardziej użytecznych informacji. Bez podstawy trudno spójnie utrzymać klauzule informacyjne, retencję i ocenę ryzyka. Dlatego dodajemy ją jako kolumnę przydatną.

7. Profilowanie i automatyczne decyzje — jak to ująć w RCP?

Jeżeli w procesie stosujesz profilowanie (np. scoring leadów, segmentację marketingową, automatyczne dopasowanie oferty), zaznacz to w rejestrze i opisz krótko: na czym polega, jakie dane są używane i jakie może mieć skutki. To ważne także dlatego, że brak ujęcia profilowania w opisie procesu bywa oceniany jako błąd w prowadzeniu RCP (patrz decyzja UODO w źródłach).

8. Odbiorcy danych: “kategorie odbiorców” czy konkretne firmy?

RODO dopuszcza opis odbiorców jako kategorii (np. “dostawcy hostingu”, “biuro rachunkowe”, “operator płatności”, “firma kurierska”), ale ma to być uczciwe i realne. Jeśli korzystasz z konkretnego procesora, i tak musisz mieć go w dokumentacji (umowy powierzenia). W samym rejestrze najczęściej wystarczają kategorie + ewentualnie nazwa kluczowych dostawców (zwłaszcza wrażliwych: chmura/CRM/marketing).

9. Retencja w RCP: co wpisać, jeśli nie da się podać jednej liczby?

Możesz podać kryteria: “czas trwania umowy + okres przedawnienia roszczeń”, “okres wymagany przepisami podatkowymi/rachunkowymi”, “do czasu cofnięcia zgody, nie dłużej niż X miesięcy od ostatniej aktywności”. Ważne: nie wpisuj “bezterminowo” bez realnej podstawy — to sygnał ryzyka.

10. Jak często aktualizować RCP i kto ma to robić?

RCP aktualizujesz zawsze, gdy zmienia się proces: nowy system, nowy dostawca, nowy kanał marketingu, zmiana retencji, nowe kategorie danych, nowe transfery poza EOG, nowe zabezpieczenia, nowe cele. W praktyce działa model: właściciel procesu zgłasza zmianę, a osoba odpowiedzialna za compliance/RODO scala to do rejestru i pilnuje spójności.

11. Kiedy NIE muszę prowadzić RCP albo kiedy nie muszę wpisywać czynności?

Jeżeli spełniasz warunki wyjątku dla mniejszych organizacji, a dany proces jest naprawdę sporadyczny, ma małe ryzyko, nie obejmuje danych szczególnych kategorii ani karnych — można argumentować brak wpisu. Uwaga praktyczna: w realnych firmach procesy pracownicze, sprzedażowe, obsługa klienta i marketing zwykle nie są “sporadyczne”. Zamiast walczyć o wyjątek, często bezpieczniej jest mieć prosty RCP — to i tak pomaga operacyjnie.

12. Jak RCP łączy się z klauzulą informacyjną (art. 13/14) i prawem dostępu (art. 15)?

Jeżeli w klauzuli informacyjnej deklarujesz cele, odbiorców, retencję i transfery, to w RCP powinieneś mieć to opisane spójnie. Przy wniosku z art. 15 (prawo dostępu) rejestr pomaga szybko ustalić: jakie procesy obejmują osobę i gdzie są jej dane.

13. Czy RCP musi być w Excelu? Czy może być w narzędziu / systemie?

Może być w Excelu, w systemie GRC, w narzędziu do RODO albo w formie elektronicznej tabeli — ważne, żeby dało się go łatwo aktualizować i przedstawić “na żądanie” w sposób czytelny. Excel jest OK dla MŚP, o ile jest kontrola wersji i właściciel aktualizacji.

14. Jakie błędy w RCP są rażące i jak ich uniknąć?

Najczęstsze: wpisy ogólne (“marketing”), brak odbiorców i procesorów, brak retencji lub “bezterminowo”, brak informacji o transferach poza EOG, pominięcie profilowania, brak opisu zabezpieczeń, brak aktualizacji po zmianach w IT/marketingu. Rozwiązanie: proste kolumny praktyczne + cykliczny przegląd (np. kwartalny) + obowiązek zgłaszania zmian procesowych.

Kiedy NIE musisz prowadzić rejestru albo kiedy nie wpisujesz czynności? (wyjątek art. 30 ust. 5)

Wyjątek z art. 30 ust. 5 jest wąski i wymaga spełnienia kilku warunków jednocześnie. Poniżej krótka, praktyczna wersja „kiedy nie” — z ostrzeżeniem, że w realnych firmach większość procesów nie spełnia kryterium sporadyczności.

1. Kiedy organizacja <250 osób może nie prowadzić RCP?

Gdy przetwarzanie ma charakter sporadyczny, jest mało prawdopodobne, by powodowało ryzyko naruszenia praw lub wolności, i nie obejmuje danych szczególnych kategorii ani danych karnych. Wystarczy, że jedna z przesłanek “wyłączenia” nie jest spełniona — i rejestr wraca jako obowiązek.

2. Co w praktyce znaczy “sporadyczne”?

To nie jest “czasem”. Sporadyczne to incydentalne i nieregularne, bez stałego procesu. Dane pracowników, klientów, sprzedaż, księgowość, newsletter, monitoring, helpdesk — zwykle są ciągłe albo cykliczne, więc trudno je obronić jako sporadyczne.

3. Czy pojedyncza kampania marketingowa musi być osobnym wpisem?

Nie zawsze. Jeśli to ten sam proces (newsletter/CRM), możesz opisać go jako jedną czynność z rozsądnym poziomem szczegółu. Osobny wpis ma sens, gdy pojawia się nowy cel, nowy system, nowy dostawca, nowe kategorie danych lub nowy kanał/automatyzacja.

4. Czy “notatki na wizytówkach” też wpisuję?

Jeśli masz z tego realny proces (np. wprowadzasz do CRM, utrzymujesz relację handlową, robisz follow-up), to tak — to nie są tylko “wizytówki”, tylko proces sprzedażowy/CRM.

5. Czy rejestr musi obejmować dane, których w ogóle nie utrwalam?

Jeżeli nie utrwalasz danych i nie ma procesu (brak systemu, brak notatek, brak CRM), to trudno mówić o czynności przetwarzania w sensie operacyjnym. Ale uwaga: w praktyce zwykle coś zostaje (mail, log połączenia, notatka, ticket) — i wtedy proces istnieje.

Jak utrzymać RCP w praktyce (aktualizacja, role, audyt)

Aktualizacja triggerami (IT/marketing/HR)

Ustal proste „wyzwalacze” aktualizacji: nowy system, nowy dostawca, nowa kampania, zmiana retencji, nowe kategorie danych. RCP musi reagować na zmianę procesu, nie tylko na przegląd roczny.

Właściciel procesu + jedna osoba scala rejestr

Każda czynność powinna mieć właściciela (dział/rola). Jedna osoba/rola (np. compliance/RODO) spina zmiany, dba o spójność i wersjonowanie.

Przegląd kwartalny + przegląd po zmianach

Wprowadź stały rytm (np. co kwartał) oraz przegląd „po zmianie”. To ogranicza ryzyko, że RCP stanie się papierowy.

Spójność z klauzulami art. 13/14 i umowami powierzenia

Jeśli w RCP masz cele/odbiorców/retencję, to w klauzulach i umowach powierzenia powinny się pojawiać te same realne informacje.

Klauzula informacyjna art. 13 – gdy dane zbierasz bezpośrednio Klauzula informacyjna art. 14 – gdy dane pochodzą z innych źródeł Obowiązki administratora danych (RODO) – checklista i FAQ Wyciek danych w firmie – co zrobić krok po kroku Zawiadomienie o naruszeniu RODO – wzór i instrukcja

Wzór RCP – tabela do skopiowania

Poniżej masz wzór rejestru czynności przetwarzania „dla firm”: minimalne wymagania z art. 30 RODO + praktyczne kolumny, które ułatwiają realne prowadzenie RCP. Zaznacz tabelę i skopiuj do arkusza.

ID procesu	Nazwa czynności / procesu	Właściciel procesu (dział/rola)	Cel(e) przetwarzania	Podstawa prawna (art. 6 + ewentualnie 9/10)	Kategorie osób	Kategorie danych	Źródło danych	Kategorie odbiorców	Podmioty przetwarzające / dostawcy	Transfer poza EOG? (tak/nie) + zabezpieczenie	Retencja (termin lub kryteria)	Profilowanie / automatyzacja? (tak/nie + opis)	Opis zabezpieczeń (ogólny)	Data ostatniej aktualizacji
RCP-01	Rekrutacja – nabór kandydatów (CV, kontakt, ocena kandydata)	HR	przeprowadzenie rekrutacji, kontakt z kandydatem, ocena kompetencji	art. 6 ust. 1 lit. b RODO (działania przed zawarciem umowy), art. 6 ust. 1 lit. c RODO (gdy zakres wynika z przepisów), art. 9 ust. 2 lit. b RODO (jeśli pojawiają się dane zdrowotne w zakresie medycyny pracy/obowiązków)	kandydaci do pracy	identyfikacyjne, kontaktowe, kwalifikacje, doświadczenie, dokumenty rekrutacyjne	osoba, której dane dotyczą (CV, formularz), polecenie	upoważnieni pracownicy HR i managerowie	narzędzie ATS/hosting poczty (jeśli używane)	zależnie od dostawcy (np. chmura)	do zakończenia rekrutacji + okres na roszczenia; lub dłużej, jeśli zgoda na przyszłe rekrutacje	nie / tak (jeśli scoring ATS – opisać)	upoważnienia, kontrola dostępu, szyfrowanie, logi	[data]
RCP-02	Kadry i płace – obsługa zatrudnienia i rozliczeń	Kadry/Płace	realizacja stosunku pracy, wypłata wynagrodzeń, ZUS/US, dokumentacja pracownicza	art. 6 ust. 1 lit. b i c RODO; w zakresie danych szczególnych art. 9 ust. 2 lit. b	pracownicy, współpracownicy	identyfikacyjne, adresowe, rozliczeniowe, podatkowe, kadrowe	osoba + organy/instytucje (np. ZUS)	ZUS, US, banki (wypłaty), dostawcy systemu kadrowo-płacowego	biuro rachunkowe, dostawca systemu kadrowego/IT	zależnie od dostawcy	zgodnie z przepisami prawa pracy/archiwizacją + przedawnienia roszczeń	nie	ograniczenia uprawnień, separacja ról, kopie zapasowe	[data]
RCP-03	Sprzedaż i obsługa klienta (umowy, kontakt, CRM)	Sprzedaż/Obsługa klienta	kontakt, przygotowanie oferty, zawarcie i realizacja umowy, obsługa posprzedażowa	art. 6 ust. 1 lit. b i/lub f RODO	klienci, osoby kontaktowe u kontrahentów	kontaktowe, umowne, rozliczeniowe, historia kontaktu	osoba, której dane dotyczą / kontrahent / korespondencja	działy wewnętrzne, podwykonawcy usługi	CRM, hosting, narzędzia komunikacji	zależnie od dostawcy	czas umowy + przedawnienie roszczeń	możliwe (segmentacja leadów) – jeśli tak, opisać	uprawnienia, MFA, logi dostępu	[data]
RCP-04	Fakturowanie i księgowość	Finanse/Księgowość	rozliczenia, faktury, obowiązki podatkowe i rachunkowe	art. 6 ust. 1 lit. c RODO	klienci, kontrahenci	identyfikacyjne, rozliczeniowe, NIP (jeśli dotyczy), adresowe	umowy/zamówienia	biuro rachunkowe, bank, organy publiczne	system fakturowy/ERP, biuro rachunkowe	zależnie od dostawcy	okresy wymagane prawem + ewentualne roszczenia	nie	kontrola dostępu, kopie zapasowe	[data]
RCP-05	Newsletter / komunikacja marketingowa (własna baza)	Marketing	wysyłka informacji i ofert, analiza skuteczności kampanii	art. 6 ust. 1 lit. f RODO (marketing własny) lub art. 6 ust. 1 lit. a RODO (jeśli model oparty o zgodę dla danych działań) – dopasować do realnego procesu	subskrybenci, klienci	e-mail/telefon, preferencje, statystyki wysyłek	formularz zapisu, zakup/relacja klienta	dostawca narzędzia mailingowego	e-mail marketing/CRM	zależnie od dostawcy + zabezpieczenia	do wypisania/wycofania zgody lub do osiągnięcia celu, z przeglądem aktywności	możliwe (segmentacja) – opisać	double opt-in (jeśli stosowane), kontrola dostępu, logi	[data]
RCP-06	Reklamacje i helpdesk (zgłoszenia, historia kontaktu)	Obsługa klienta	rozpatrywanie reklamacji, kontakt, dowody w sprawie, roszczenia	art. 6 ust. 1 lit. b/c/f RODO (zależnie od procesu)	klienci, użytkownicy	kontaktowe, treść zgłoszenia, historia komunikacji	osoba (formularz/e-mail/telefon)	działy wewnętrzne, podwykonawcy (jeśli dotyczy)	system helpdesk/hosting	zależnie od dostawcy	do zamknięcia sprawy + przedawnienie roszczeń	nie	role i uprawnienia, ograniczenie eksportów, logi	[data]

Plik zostanie pobrany jako CSV (Excel otworzy go automatycznie). Możesz też zaznaczyć tabelę i skopiować do arkusza.

Jak utworzyć i prowadzić RCP – krok po kroku

Krok 1. Zrób listę procesów (nie systemów)

Zbierz procesy biznesowe, w których pojawiają się dane: rekrutacja, kadry i płace, sprzedaż, umowy, faktury, newsletter, reklamacje, monitoring, helpdesk, strona WWW/formularze.

Krok 2. Dla każdego procesu opisz osoby i dane

Wpisz kategorie osób (np. klienci, pracownicy, kandydaci, kontrahenci) oraz kategorie danych (kontaktowe, rozliczeniowe, identyfikacyjne, dane szczególne itp.).

Krok 3. Dopisz cel i podstawę prawną (praktycznie)

Cel “po ludzku” + podstawa z art. 6 (i ewentualnie art. 9/10). To scala rejestr z klauzulami art. 13/14 i retencją.

Krok 4. Wpisz odbiorców i procesorów

Kategorie odbiorców + najważniejsi dostawcy (hosting/CRM/księgowość/kurier). Upewnij się, że masz powierzenia tam, gdzie trzeba.

Krok 5. Ustal retencję (konkret albo kryteria)

Nie pisz “zawsze”. Powiąż retencję z celem, przepisami i przedawnieniem roszczeń.

Krok 6. Zaznacz profilowanie/automatyzacje i transfery poza EOG

Jeśli jest scoring/segmentacja — zaznacz. Jeśli chmura poza EOG — zaznacz i dopisz zabezpieczenia.

Krok 7. Ustal rytm aktualizacji i odpowiedzialności

Właściciel procesu zgłasza zmiany, a jedna osoba/rola scala rejestr. Zrób przegląd cykliczny (np. co kwartał) i “trigger” aktualizacji (zmiana dostawcy/systemu/kampanii).

Najczęstsze błędy w RCP (i jak ich uniknąć)

Najczęstszy błąd to rejestr, który wygląda „ładnie” na papierze, ale nie odzwierciedla rzeczywistości: brak nowych procesów, brak nowych dostawców, brak profilowania, brak retencji lub „bezterminowo”. Drugi błąd to zbyt ogólny opis czynności („marketing”, „obsługa klienta”) bez systemów, odbiorców i źródeł danych. Jeśli chcesz ograniczyć ryzyko – użyj prostych, praktycznych kolumn i aktualizuj RCP zawsze po zmianie procesu.

Podstawa prawna i źródła

RODO – art. 30 (rejestr czynności), art. 5 ust. 2 (rozliczalność), art. 32 (bezpieczeństwo), art. 35 (DPIA), art. 44+ (transfery) UODO – Rejestrowanie czynności przetwarzania (poradnik + szablony i wyjaśnienia) Decyzja Prezesa UODO: DKN.5112.14.2022 – błąd w RCP: kara za nieuwzględnienie profilowania w opisie czynności (przykład praktyki organu)