Słowniczek

Rejestr czynności przetwarzania

Rejestr czynności przetwarzania (RCP) to obowiązkowy dokument, w którym administrator danych osobowych (pracodawca) dokumentuje wszystkie procesy przetwarzania danych osobowych w organizacji. Wymagany przez art. 30 RODO, musi być prowadzony w formie pisemnej (w tym elektronicznej) i udostępniany organowi nadzorczemu (UODO) na żądanie. Obowiązek prowadzenia RCP dotyczy podmiotów zatrudniających powyżej 250 osób, a także mniejszych — jeśli przetwarzanie niesie ryzyko, nie jest sporadyczne lub obejmuje dane wrażliwe. W praktyce HR obejmuje to niemal każdego pracodawcę. RCP musi zawierać dla każdej czynności: nazwę i dane kontaktowe administratora, cele przetwarzania, kategorie osób i danych, kategorie odbiorców, przekazywanie do państw trzecich, planowane terminy usunięcia i opis środków bezpieczeństwa. Typowe czynności HR w RCP to: rekrutacja, prowadzenie akt osobowych, naliczanie wynagrodzeń, ewidencja czasu pracy, ZFŚS, BHP, monitoring i szkolenia.

Podmioty 250+ pracowników — obowiązkowo. Mniejsze — jeśli przetwarzanie nie jest sporadyczne, obejmuje dane wrażliwe lub niesie ryzyko. W praktyce każdy pracodawca prowadzący kadry i płace musi mieć RCP (przetwarzanie nie jest sporadyczne).

Rekrutacja, prowadzenie akt osobowych, naliczanie wynagrodzeń i rozliczenia z ZUS/US, ewidencja czasu pracy, ZFŚS, szkolenia BHP, medycyna pracy, monitoring, PFRON, programy benefitowe, kontrola dostępu, newsletter wewnętrzny.

Cel przetwarzania, podstawa prawna, kategorie osób (pracownicy, kandydaci), kategorie danych (identyfikacyjne, finansowe), odbiorcy (ZUS, US, banki), transfer do państw trzecich (jeśli dotyczy), termin usunięcia i opis środków bezpieczeństwa.

Przy każdej zmianie: nowy proces, zmiana celu, nowy odbiorca danych, zmiana systemu IT, nowe podstawy prawne. Rekomendowany przegląd co 6-12 miesięcy. RCP to żywy dokument — musi odzwierciedlać aktualny stan przetwarzania.

RODO wymaga formy pisemnej (w tym elektronicznej). Może to być arkusz Excel, dedykowane oprogramowanie (OneTrust, DataGrail) lub moduł w systemie kadrowym. Ważne: łatwy dostęp, aktualizacja i możliwość udostępnienia UODO na żądanie.

Powiązane pojęcia

Dane biometryczne pracowników

Inspektor Ochrony Danych (IOD)

Monitoring pracowników

Naruszenie ochrony danych osobowych

Obowiązek informacyjny RODO