Czym jest Rejestr Czynnosci Przetwarzania (RCP)?

Artykul 30 RODO wymaga od kazdego administratora i podmiotu przetwarzajacego prowadzenia rejestru czynnosci przetwarzania. Istnieje ograniczone zwolnienie dla organizacji zatrudniajacych mniej niz 250 pracownikow, ale jest ono tak waskie, ze prawie nigdy nie ma zastosowania w praktyce: obejmuje tylko organizacje, ktore przetwarzaja dane osobowe okazjonalnie, nie przetwarzaja szczegolnych kategorii danych i nie przetwarzaja danych mogacych stanowic zagrozenie dla osob fizycznych. W praktyce praktycznie kazda organizacja obslugujaca dane pracownikow, klientow lub odwiedzajacych strone internetowa potrzebuje RCP. Oznacza to, ze zdecydowana wiekszosc Twoich klientow — niezaleznie od wielkosci — jest prawnie zobowiazana do jego prowadzenia. Jako zewnetrzny IOD jestes zazwyczaj odpowiedzialny za tworzenie, utrzymywanie i aktualizowanie rejestrow dla kazdego ze swoich klientow. Przy 10-20 klientach moze to szybko stac sie znacznym obciazeniem administracyjnym, jesli zarzadzanie odbywa sie recznie.

Artykul 30 ust. 1 okresla obowiazkowa zawartosc dla administratorow. Kazdy wpis dotyczacy czynnosci przetwarzania musi zawierac: nazwe i dane kontaktowe administratora oraz IOD, cele przetwarzania, opis kategorii osob, ktorych dane dotycza, i danych osobowych, kategorie odbiorcow, przekazywanie do panstw trzecich lacznie z zabezpieczeniami, planowane okresy przechowywania oraz ogolny opis technicznych i organizacyjnych srodkow bezpieczenstwa. Dla podmiotow przetwarzajacych art. 30 ust. 2 wymaga nieco innego zestawu informacji: nazwy i danych kontaktowych podmiotu przetwarzajacego i kazdego administratora, w imieniu ktorego przetwarzanie jest prowadzone, kategorii przetwarzania, przekazan do panstw trzecich oraz, w miare mozliwosci, opisu srodkow bezpieczenstwa. Wiele organow nadzorczych zaleca wykraczanie poza minimalne wymagania. Dodanie podstawy prawnej dla kazdej czynnosci przetwarzania, zrodla danych oraz informacji o zautomatyzowanym podejmowaniu decyzji sprawia, ze RCP staje sie bardziej przydatnym narzedziem zarzadzania zgodnością — a nie tylko cwiczeniem z zaznaczania pol.

Najczestszym bledem jest traktowanie RCP jako jednorazowego projektu, a nie zywego dokumentu. Czynnosci przetwarzania sie zmieniaja — wprowadzane jest nowe oprogramowanie, modyfikowane sa przeplywy danych, aktualizowane sa okresy przechowywania. RCP dokladny w styczniu moze byc nieaktualny juz w marcu. Innym czestym problemem jest niespojny poziom szczegolowosci. Niektorzy IOD dokumentuja kazdy pojedynczy system jako oddzielna czynnosc przetwarzania, konczac z setkami wpisow niemozliwych do utrzymania. Inni grupuja wszystko w piec lub szesc szerokich kategorii, ktorym brakuje szczegolowosci oczekiwanej przez organy nadzorcze. Odpowiedni poziom szczegolowosci zazwyczaj oznacza 15-40 czynnosci przetwarzania dla sredniej wielkosci organizacji. Wreszcie wielu IOD zarzadza rejestrami w arkuszach kalkulacyjnych Excel — co sprawdza sie dla jednego lub dwoch klientow, ale zawodzi na skale. Brak kontroli wersji, brak przypomñien o przegladach, brak ustrukturyzowanych pol i brak mozliwosci generowania eksportow gotowych do audytu. To wlasnie w tym obszarze dedykowane narzedzia wprowadzaja mierzalna roznice.

Kluczem do efektywnego zarzadzania RCP jest struktura i automatyzacja. Zacznij od szablonow branżowych, ktore wstepnie wypelniaja typowe czynnosci przetwarzania — firma e-commerce i placowka medyczna maja bardzo rozne krajobrazy przetwarzania, ale firmy z tej samej branzy dzielą 70-80% swoich czynnosci. Ustaw daty przegladu dla kazdej czynnosci przetwarzania. Wiekszosc organow nadzorczych oczekuje przegladow co najmniej raz w roku, ale krytyczne czynnosci przetwarzania powinny byc przegladane przy kazdej istotnej zmianie. Automatyczne przypomnienia zapewniaja, ze nic nie umknie. Kontrola wersji jest niezbedna dla rozliczalnosci. Gdy organ nadzorczy pyta o konkretna czynnosc przetwarzania, musisz pokazac nie tylko aktualny stan, ale historie zmian — kto co zaktualizowal i kiedy. Ta sciezka audytu chroni zarowno Ciebie, jak i Twojego klienta. Dla zewnetrznych IOD zarzadzajacych wieloma klientami wielodostepne narzedzie takie jak Trustee.eu eliminuje narzut zwiazany z utrzymywaniem oddzielnych systemow. Mozesz uzywac tych samych szablonow u klientow z tej samej branzy, generowac gotowe do audytu pliki PDF jednym kliknieciem i na pierwszy rzut oka zobaczyc, u ktorych klientow przeglady RCP sa zaległe.