Dr Tymoteusz Zych
2025-07-29
0 Comments
By kinga.kaniewska@tzlaw.pl

Rejestr czynności przetwarzania danych osobowych (RCPD) to dokumentacja prowadzona w celu wykazania zgodności przetwarzania danych z RODO.

Mimo że nie każda organizacja ma obowiązek jego prowadzenia, jego znaczenie jest kluczowe dla wykazania tzw. zasady rozliczalności.

Czym dokładnie jest rejestr, kto musi go prowadzić i co powinien zawierać?

Podstawy prawne

Obowiązek prowadzenia rejestru czynności przetwarzania wynika z art. 30 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO). Przepis ten nakłada na administratora oraz – w pewnych przypadkach – na podmiot przetwarzający obowiązek dokumentowania czynności przetwarzania danych osobowych.

Zgodnie z art. 30 ust. 1 RODO, każdy administrator danych oraz – jeśli ma to zastosowanie – jego przedstawiciel prowadzi rejestr czynności przetwarzania, za które odpowiada. Natomiast zgodnie z art. 30 ust. 2 RODO, podmiot przetwarzający prowadzi rejestr kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Kto musi prowadzić rejestr czynności przetwarzania?

Z obowiązku prowadzenia rejestru zwolnione są podmioty zatrudniające mniej niż 250 osób, o ile przetwarzanie:

  • nie jest regularne,
  • nie obejmuje szczególnych kategorii danych osobowych (np. dane o stanie zdrowia, poglądach politycznych, przekonaniach religijnych),
  • nie wiąże się z ryzykiem naruszenia praw i wolności osób, których dane dotyczą.

W praktyce oznacza to, że większość podmiotów leczniczych, kancelarii prawnych, szkół, przedszkoli czy nawet firm zatrudniających kilku pracowników będzie zobowiązana do prowadzenia takiego rejestru – ze względu na zakres i charakter przetwarzanych danych.

Co powinien zawierać rejestr?

Zgodnie z art. 30 ust. 1 RODO, rejestr powinien zawierać:

  1. Nazwę i dane kontaktowe administratora, a także współadministratorów i inspektora ochrony danych (jeśli został wyznaczony).
  2. Cele przetwarzania.
  3. Opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych.
  4. Kategorie odbiorców danych, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych.
  5. Informacje o przekazywaniu danych do państw trzecich (poza EOG).
  6. Planowane terminy usunięcia poszczególnych kategorii danych.
  7. Opis stosowanych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych (art. 32 ust. 1 RODO).

RCPD a rozliczalność – nie tylko formalność

Zasada rozliczalności wymaga, aby administrator był w stanie wykazać, że przetwarza dane zgodnie z przepisami.

Rejestr jest nie tylko dokumentem formalnym. Jest również dowodem na to, że podmiot wie, co, jak, dlaczego i na jakiej podstawie przetwarza dane osobowe.

W razie kontroli UODO (Prezesa Urzędu Ochrony Danych Osobowych), posiadanie kompletnego i aktualnego rejestru może przesądzić o braku podstaw do nałożenia kary administracyjnej.

Praktyczne wskazówki

  • Rejestr nie musi mieć z góry narzuconego formatu – może być prowadzony w nawet w formie papierowej, o ile zawiera wymagane dane.
  • Powinien być regularnie aktualizowany – np. po wprowadzeniu nowego procesu (np. newsletter, monitoring wizyjny) albo zmianie celu przetwarzania.
  • Dobrym rozwiązaniem jest prowadzenie oddzielnych rejestrów: jednego dla administratora (czynności przetwarzania) i drugiego dla podmiotu przetwarzającego (kategorie czynności przetwarzania).

Sankcje za brak rejestru

Zgodnie z art. 83 ust. 4 lit. a RODO, nieprowadzenie rejestru może skutkować karą administracyjną do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. Zastosowanie ma kwota wyższa.

Prezes UODO w decyzjach podkreśla, że brak wiedzy o obowiązku nie zwalnia z odpowiedzialności. Nieprowadzenie rejestru świadczy o niedopełnieniu podstawowych obowiązków administratora.

Orzecznictwo

Wyrok Wojewódzkiego Sądu Administracyjnego w Łodzi z dnia 12 lutego 2019 r., sygn. akt II SAB/Łd 181/18

Teza:
Rejestry czynności przetwarzania oraz rejestry kategorii przetwarzania nie stanowią informacji publicznej w rozumieniu ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej.

Stan faktyczny i rozstrzygnięcie:
Skarżący wystąpił do Prezydenta Miasta Łodzi o udostępnienie m.in. rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania.

Po nieotrzymaniu żądanych informacji wniósł skargę na bezczynność organu.

Sąd oddalił skargę, uznając, że przedmiotowe rejestry mają charakter dokumentów wewnętrznych. Służą zapewnieniu zgodności z RODO i stosowanych wyłącznie na potrzeby administratora danych oraz inspektora ochrony danych.

W ocenie sądu rejestry te nie dotyczą „spraw publicznych”. Nie podlegają zatem udostępnieniu w trybie ustawy o dostępie do informacji publicznej.

Sąd zaakcentował również, że rejestr może zawierać informacje wrażliwe, w tym opisy zastosowanych zabezpieczeń technicznych i organizacyjnych, które nie powinny być publicznie ujawniane.

Wskazano, że obowiązek udostępnienia rejestru dotyczy wyłącznie sytuacji, gdy żąda go organ nadzorczy (art. 30 ust. 4 RODO), co dodatkowo potwierdza jego niepubliczny charakter.

Czego dotyczyła sprawa:
Oceniano, czy rejestr czynności przetwarzania stanowi informację publiczną w rozumieniu u.d.i.p. i czy powinien zostać udostępniony na żądanie obywatela. Sąd orzekł, że nie, ponieważ dokument ten ma charakter wyłącznie wewnętrzny.

Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 4 maja 2023 r., sygn. akt C-60/22

Teza:
Naruszenie przez administratora obowiązków wynikających z art. 26 i 30 RODO (dotyczących odpowiednio współadministrowania i rejestru czynności przetwarzania) nie stanowi automatycznie niezgodnego z prawem przetwarzania, o którym mowa w art. 17 ust. 1 lit. d oraz art. 18 ust. 1 lit. b RODO, o ile nie doszło jednocześnie do naruszenia zasady rozliczalności (art. 5 ust. 2 RODO).

Stan faktyczny i rozstrzygnięcie:
W sprawie UZ przeciwko Republice Federalnej Niemiec, sąd krajowy zakwestionował legalność przekazania jego danych osobowych (akta MARIS) przez organ migracyjny do sądu, bez istnienia rejestru czynności przetwarzania i bez zawarcia odpowiednich uzgodnień współadministrowania.

Trybunał uznał, że brak rejestru czynności przetwarzania lub uzgodnień współadministrowania nie oznacza automatycznie nielegalności przetwarzania danych osobowych, chyba że naruszenie to prowadzi do naruszenia fundamentalnych zasad przetwarzania, zwłaszcza zasady zgodności z prawem i rozliczalności.

Dodatkowo, Trybunał wskazał, że w takiej sytuacji nie ma obowiązku usunięcia ani ograniczenia przetwarzania danych wyłącznie z powodu formalnego naruszenia art. 26 lub 30 RODO.

Dane mogą być legalnie wykorzystane przez sąd, nawet bez zgody osoby, której dotyczą, jeśli zachodzą inne przesłanki zgodnego z prawem przetwarzania (np. wykonywanie zadań publicznych, art. 6 ust. 1 lit. e RODO).

Czego dotyczyła sprawa:
Sąd niemiecki pytał, czy brak rejestru czynności przetwarzania i brak ustaleń współadministrowania powoduje automatycznie nielegalność przetwarzania danych.

Trybunał orzekł, że nie, chyba że naruszenie to łączy się z nieprzestrzeganiem podstawowych zasad przetwarzania danych (np. przejrzystości, zgodności z prawem, rozliczalności).

FAQ – najczęstsze pytania

Czy muszę mieć rejestrb czynności, jeśli prowadzę jednoosobową działalność?

Tak, jeśli regularnie przetwarzasz dane np. klientów, pracowników lub kontrahentów – np. w ramach świadczenia usług medycznych, prawnych lub księgowych.

Czy mogę korzystać z gotowego wzoru rejestru?

Tak, ale warto go dostosować do specyfiki własnej działalności – gotowe wzory mogą nie uwzględniać wszystkich kategorii czynności.

Czy rejestr muszę udostępniać osobom, których dane przetwarzam?

Nie. Rejestr nie jest dokumentem publicznym. Należy go jednak przedstawić w przypadku kontroli organu nadzorczego.

Czy inspektor ochrony danych (IOD) powinien prowadzić rejestr?

Nie. Odpowiedzialność za prowadzenie rejestru leży po stronie administratora lub podmiotu przetwarzającego. IOD może jednak wspierać w jego opracowaniu i aktualizacji.

Podsumowanie

Prowadzenie rejestru czynności przetwarzania danych osobowych to nie tylko wymóg RODO, ale także narzędzie, które pomaga organizacji zarządzać danymi w sposób świadomy i zgodny z prawem.

Regularnie aktualizowany rejestr to jeden z filarów systemu ochrony danych osobowych – nie warto go lekceważyć, nawet jeśli przedsiębiorstwo nie zatrudnia setek osób.

Potrzebujesz wsparcia w zakresie wdrożenia dokumentacji RODO lub audytu bezpieczeństwa danych?
Kancelaria Radcy Prawnego dr Tymoteusz Zych oferuje kompleksową pomoc prawną w zakresie ochrony danych osobowych, w tym wdrażanie rejestrów, procedur zgłaszania naruszeń i szkoleń dla personelu.

Zapraszamy do kontaktu pod numerem telefonu +48 726 003 505.

Kinga Kaniewska

Kinga Kaniewska

Cookies
Obsługujemy pliki cookies. Jeśli uważasz, że to jest ok, po prostu kliknij "Akceptuj wszystko". Możesz też wybrać, jakie chcesz ciasteczka, klikając "Ustawienia". Przeczytaj naszą politykę cookie
Ustawienia Zaakceptuj wszystko
Cookies
Wybierz, jakie pliki cookies chcesz zaakceptować. Twój wybór zostanie zachowany przez rok. Przeczytaj naszą politykę cookie
Zapisz Zaakceptuj wszystko