Zrozumienie i prawidłowe opisanie czynności przetwarzania danych osobowych to fundament zapewnienia zgodności organizacji z RODO. Mapowanie procesów pozwala przedsiębiorcom i instytucjom uchwycić pełny obraz tego, jakie dane są gromadzone, w jakim celu, kto ma do nich dostęp i w jaki sposób są one chronione. Dzięki temu możliwe jest nie tylko przeprowadzenie analizy ryzyka, ale także stworzenie skutecznych procedur ochrony danych.
Mapowanie to nic innego jak stworzenie „mapy drogi” obiegu danych w firmie. Pozwala ono:
- zidentyfikować, w jakich obszarach przetwarzane są dane osobowe (np. rekrutacja, obsługa klienta, marketing, logistyka),
- określić cele i podstawy prawne przetwarzania,
- wyznaczyć odpowiedzialnych za konkretne procesy,
- wskazać potencjalne ryzyka i słabe punkty w ochronie danych,
- przygotować się do obowiązków dokumentacyjnych wynikających z RODO, w tym prowadzenia rejestru czynności przetwarzania (art. 30 ust. 1 RODO).
Bez takiego uporządkowania przedsiębiorca działa w ciemno – nie wie, gdzie znajdują się dane, jak długo są przechowywane i kto faktycznie nad nimi panuje. To z kolei rodzi poważne ryzyko naruszenia przepisów i sankcji finansowych.
Czym są czynności przetwarzania według RODO?
Zgodnie z art. 30 ust. 1 RODO:
„Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiada, obejmujący: imię i nazwisko oraz dane kontaktowe administratora i, gdy ma to zastosowanie, współadministratora, przedstawiciela administratora oraz inspektora ochrony danych, cele przetwarzania, opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione (…).”
W praktyce oznacza to, że czynności przetwarzania to zespół powiązanych ze sobą działań na danych, wykonywanych w określonym celu. Nie opisujemy pojedynczych operacji (np. „wpisanie nazwiska do formularza”), ale cały proces, np. „prowadzenie dokumentacji kadrowej”.
Jak wyodrębniać czynności przetwarzania w organizacji?
Najczęściej stosowanym kryterium jest cel przetwarzania. Dzięki temu możemy podzielić procesy na takie obszary jak:
- HR i kadry – prowadzenie akt pracowniczych, ewidencja czasu pracy, obsługa ZUS,
- Rekrutacja – zbieranie CV, weryfikacja kandydatów, przeprowadzanie rozmów kwalifikacyjnych,
- Obsługa klientów – zawieranie i realizacja umów, obsługa reklamacji,
- Logistyka i dostawy – realizacja zamówień, kontakt z kurierami, obsługa magazynowa,
- Marketing – prowadzenie newslettera, działania promocyjne, social media.
Jednak w dużych i złożonych organizacjach sam cel może okazać się niewystarczający. Wówczas pomocne jest kryterium organizacyjne – np. oddzielny zespół do spraw kadr i oddzielny zespół do spraw płac. W takiej sytuacji tworzymy dwa odrębne procesy: „prowadzenie akt pracowniczych” i „obsługa wynagrodzeń”.
Praktyczne przykłady
Przykład 1 – mała firma handlowa
Firma Handel-Plus zatrudniająca 12 pracowników wyróżniła następujące procesy:
- Kadry i płace – prowadzenie dokumentacji pracowniczej, naliczanie wynagrodzeń,
- Obsługa zamówień klientów – przyjmowanie zamówień, wystawianie faktur, kontakt z dostawcami,
- Marketing – wysyłka newslettera i obsługa mediów społecznościowych.
W tym przypadku podział według celu (kadry, obsługa klientów, marketing) w pełni wystarczył.
Przykład 2 – duża spółka produkcyjna
Spółka TechMetal S.A. zatrudniająca 350 osób miała bardziej skomplikowaną strukturę. Sam podział według celu okazał się niewystarczający, bo w ramach działu HR były odrębne zespoły do:
- Zatrudnienia i rekrutacji – zbieranie CV, prowadzenie rozmów kwalifikacyjnych,
- Obsługi kadrowej – prowadzenie akt osobowych, urlopów, zwolnień lekarskich,
- Wynagrodzeń – naliczanie płac i przekazywanie danych do banku oraz ZUS.
Tutaj konieczne było zastosowanie dodatkowego kryterium – podziału organizacyjnego. Dzięki temu rejestr czynności przetwarzania stał się przejrzysty i możliwy do zarządzania.
Podsumowanie
Mapowanie czynności przetwarzania to pierwszy krok do zgodności z RODO i zarządzania ryzykiem związanym z danymi osobowymi. Pamiętaj, że:
- czynności wyodrębnia się przede wszystkim według celu przetwarzania,
- w większych organizacjach warto dodatkowo stosować podział organizacyjny,
- dobrze przeprowadzone mapowanie pozwala stworzyć rzetelny rejestr czynności przetwarzania i łatwo identyfikować ryzyka.
Nie traktuj mapowania jako obowiązku formalnego – to narzędzie, które realnie porządkuje procesy w Twojej firmie i pomaga uniknąć kar od UODO.
Podstawa prawna
- art. 30 ust. 1 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
Tematy porad zawartych w poradniku
- mapowanie czynności przetwarzania danych
- rejestr czynności przetwarzania RODO
- podział procesów w ochronie danych
- RODO w kadrach i rekrutacji