Wzór rejestru kategorii czynności przetwarzania

INSTRUKCJA WYPEŁNIENIA

Do czego służy: To rejestr prowadzony przez podmiot przetwarzający (procesora), czyli podmiot, który przetwarza dane osobowe w imieniu administratora na podstawie umowy powierzenia (np. biuro rachunkowe, kancelaria, dostawca IT). Procesor opisuje w nim kategorie czynności wykonywanych dla poszczególnych administratorów. Jest dokumentem rozliczalności - na żądanie udostępnia się go Prezesowi UODO.

Kiedy się go używa: Prowadzi się go na bieżąco i aktualizuje przy każdej zmianie (nowy administrator, nowa kategoria czynności, zmiana zakresu powierzenia). Obowiązek dotyczy procesorów; zwolnienie dla podmiotów poniżej 250 osób działa na tych samych zasadach co przy rejestrze administratora i w praktyce rzadko ma zastosowanie.

Podstawa prawna: art. 30 ust. 2 rozporządzenia (UE) 2016/679 (RODO); ustawa z 10 maja 2018 r. o ochronie danych osobowych. Stan na 2025/2026 r.

Jak wypełnić - krok po kroku:

1. Dane podmiotu przetwarzającego (nagłówek) - wpisz nazwę i dane kontaktowe procesora, w razie potrzeby jego przedstawiciela oraz dane inspektora ochrony danych, jeśli został powołany.
2. Lp. - kolejny numer.
3. Administrator, na rzecz którego przetwarzane są dane - nazwa i dane kontaktowe administratora (oraz jego przedstawiciela i IOD, jeśli są znane); przy każdym administratorze, dla którego procesor działa.
4. Kategorie przetwarzań dokonywanych w imieniu administratora - opis rodzaju czynności wykonywanych dla tego administratora (np. obsługa płacowa, hosting danych, archiwizacja).
5. Przekazanie do państwa trzeciego lub organizacji międzynarodowej - wpisz “nie dotyczy” albo nazwę państwa/organizacji oraz zastosowane zabezpieczenia (np. standardowe klauzule umowne).
6. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa - skrótowo, np. kontrola dostępu, szyfrowanie, kopie zapasowe, upoważnienia (jeśli to możliwe do opisania).

Na co uważać / typowe błędy: To rejestr procesora (art. 30 ust. 2) - nie myl go z rejestrem czynności administratora (art. 30 ust. 1 - osobny wzór). W przeciwieństwie do rejestru administratora NIE wpisuje się tu celów ani podstaw prawnych przetwarzania ani terminów usunięcia danych - to obowiązki administratora. Prowadź rejestr w formie pisemnej, w tym elektronicznej, aktualizuj na bieżąco i datuj zmiany. Każdy administrator/kategoria przetwarzań to osobny wiersz. Prezes UODO zaleca własny wzór dostępny na stronie uodo.gov.pl - poniższa tabela odpowiada zakresowi z art. 30 ust. 2 RODO i można ją stosować bezpośrednio.

WZÓR

REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

Podmiot przetwarzający (Procesor): [ ……………….. ] (wpisz: nazwa i dane kontaktowe procesora; w razie potrzeby przedstawiciel)

Inspektor Ochrony Danych: [ ……………….. ] (wpisz: imię, nazwisko i dane kontaktowe IOD - jeśli został powołany; jeśli nie - wpisz “nie powołano”)

Data utworzenia rejestru: [ ……………….. ] (wpisz: data) Data ostatniej aktualizacji: [ ……………….. ] (wpisz: data)

(Tabelę uzupełniaj o kolejne wiersze - każdy administrator oraz każda odrębna kategoria czynności to osobny wiersz. Pola opisowe w wierszu 1. mają charakter przykładowy - zastąp je danymi faktycznymi.)