Wstęp
Prowadzenie rejestru czynności przetwarzania stanowi jeden z podstawowych obowiązków administratora danych osobowych. Dzięki prowadzonej w ten sposób ewidencji administrator wie, jakie procesy przetwarzania zachodzą w jego organizacji,
a to ułatwia przeprowadzenie analizy ryzyka. Rejestr czynności przetwarzania pozwala również na zachowanie zasady rozliczalności.
W połowie 2025 r. Komisja Europejska, w ramach przygotowywanego projektu rozporządzenia Omnibus IV, zaproponowała złagodzenie przepisów w zakresie obowiązków prowadzenia tego rejestru. Przyjrzyjmy się zatem proponowanym zmianom.
Rejestr czynności przetwarzania
Obowiązek prowadzenia rejestru czynności przetwarzania przez każdego administratora danych osobowych (lub przedstawiciela administratora – jeśli ma to zastosowanie) wynika z art. 30 RODO. W rejestrze powinny znaleźć się co najmniej takiej informacje, jak:
a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1[1].
Prowadzenie rejestru czynności przetwarzania stanowi podstawę dla określenia – zmapowania, z jakimi procesami przetwarzania danych osobowych w organizacji pracujemy. Stanowi również punkt wyjścia do przeprowadzenia analizy ryzyka dla tych procesów. Ta z kolei jest jednym z elementów zapobiegania naruszeniom ochrony danych osobowych. W tym przypadku administratorzy analizują hipotetyczne zagrożenia dla przetwarzania danych osobowych i ich wpływ na prawa i wolności osób, których dane dotyczą. Pozwala to na odpowiednie przygotowanie się do przetwarzania danych, zapobieżeniu ryzyku lub zrezygnowaniu z przetwarzania (gdy ryzyko jest na poziomie nie do zaakceptowania).
Zgodnie z obowiązującymi przepisami z obowiązku prowadzenia rejestru czynności przetwarzania zwolnieni są przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10[1].
Prowadzenie rejestru czynności przetwarzania stanowi dla administratora danych osobowych dokument, za pomocą którego może wykazać realizację zasady rozliczalności. Prawidłowo prowadzony i aktualizowany RCP będzie bowiem stanowił dowód na to, że administrator wie, jakie dane osobowe przetwarza, w jakim celu i na jakiej podstawie.
[1] Art. 30 ust. 5 rozporządzenia RODO.
[1] Art. 30 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Złagodzenie przepisów RODO w ramach pakietu Omnibus IV
W maju 2025 r. Komisja Europejska rozpoczęła konsultacje publiczne dotyczące projektu rozporządzenia Omnibus IV. Wśród proponowanych zmian znalazło się również złagodzenie przepisów dotyczących ochrony danych osobowych, które miałoby uprościć zasady RODO dla mniejszych przedsiębiorstw. Miałyby one dotyczyć m.in. ograniczenia obowiązku prowadzenia rejestru czynności przetwarzania danych dla firm, które zatrudniają mniej niż 750 pracowników – tylko do przypadków, kiedy przetwarzanie wiąże się z wysokim ryzykiem.
W ramach deregulacji zakłada się również doprecyzowanie, że przetwarzanie szczególnych kategorii danych osobowych, które jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, samo w sobie nie powinno wymagać prowadzenia rejestru czynności przetwarzania. Komisja Europejska proponuje również rozszerzenie zachęt do tworzenia kodeksów postępowania i mechanizmów certyfikacji[1].
W sprawach proponowanych zmian od maja do sierpnia 2025 r. prowadzono konsultacje publiczne. Autorem jednej z przedstawionych opinii jest Izba Gospodarcza Wodociągi Polskie, która przedstawiła postulat „wprowadzenia w art. 4 RODO Definicje, terminologii pojęcia ryzyka z uwzględnieniem co oznacza wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w celu ujednolicenia oceny ryzyka i interpretacji w kontekście wymogów art. 24 RODO Obowiązki administratora, art. 33 RODO – Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu oraz art. 35 RODO Ocena skutków dla ochrony danych[2]". Argument braku definicji wysokiego ryzyka podnoszony jest również w dyskusjach towarzyszących planowanym zmianom – obecnie nie funkcjonuje bowiem jednolity wzorzec analizy ryzyka przetwarzania danych, oceny skutków przetwarzania, jak i metodyki oceny wagi naruszenia. Administrator danych osobowych przeprowadza zatem analizę ryzyka zgodnie z przyjętymi przez niego zasadami, co może prowadzić do rozbieżności w ocenie, kiedy mamy do czynienia z ryzykiem na poziomie wysokim.
Wątpliwości co do propozycji KE w zakresie odstąpienia od prowadzenia RCP może rodzić nie tylko brak siatki pojęciowej w przytoczonym wyżej zakresie. Ewidencja czynności przetwarzania w ramach RCP stanowi wszak podstawę mapowania procesów przetwarzania danych osobowych, a także punkt wyjścia do wykonania właśnie analizy ryzyka. Czy rzeczywiście prowadzenie rejestru czynności przetwarzania stanowi tak duże obciążenie dla administratora, który nawet jeżeli odstąpiłby od jego prowadzenia, musiałby i tak ocenić, czy dana czynność wiąże się z wysokim ryzykiem dla praw i wolności osób, których dane dotyczą? Informacje zgromadzone w rejestrze czynności przetwarzania usprawniają przecież proces oceny ryzyka dla danego procesu. Ponadto identyfikacja procesów przetwarzania danych osobowych to ważny aspekt zarządzania bezpieczeństwem danych osobowych, który można uznać za działanie wyprzedzające w kontekście zapobiegania naruszeniom ochrony danych osobowych.
Należy również zadać pytanie o zasadę rozliczalności – czy odejście od prowadzenia RCP nie utrudni administratorowi danych osobowych wykazania, że przestrzega zasad dotyczących przetwarzania danych osobowych?
Na ostateczny kształt przepisów w tym zakresie musimy jeszcze poczekać, jednak już teraz proponowane uproszczenia spotkały się z szeroką dyskusją wśród ekspertów RODO. Być może więcej szczegółów poznamy w 2026 r.