What is a Records of Processing Activities (RoPA) under GDPR?

A Records of Processing Activities is a mandatory register under GDPR Article 30 that documents every processing activity involving personal data. Each entry must include the processing purpose, categories of data subjects and data, recipients, transfer details, retention periods, and security measures. Both controllers and processors must maintain their own records. Supervisory authorities can request the register at any time during an audit or investigation.

How do you conduct data mapping for GDPR compliance?

Data mapping starts with structured interviews across every department that handles personal data, from HR and marketing to IT and customer support. For each team, document what personal data they collect, where it is stored, who can access it, how long it is kept, and which vendors or systems process it. Trace the full lifecycle from collection through storage, sharing, and deletion. The resulting map forms the foundation for the Article 30 register and reveals gaps in data governance.

Картографування даних та записи обробки

Build an Article 30 processing register from scratch.

Що таке Картографування даних та записи обробки?

Записи діяльності з обробки (RoPA) — це обов'язкова документація, вимагана статтею 30 GDPR для будь-якої організації з 250 або більше працівниками, або будь-якої організації, що здійснює обробку, яка не є випадковою, включає спеціальні категорії даних або становить ризик для суб'єктів даних. На практиці майже кожна організація, що обробляє персональні дані, потребує таких записів. Ця вправа ставить перед Вами завдання побудувати реєстр обробки з нуля для середньої організації. Ви починаєте з проведення інтерв'ю щодо картографування даних з керівниками відділів, щоб з'ясувати, які персональні дані збирає кожна команда, чому вони їх збирають, де вони зберігаються, кому передаються та як довго зберігаються. Виклик у тому, що жодна окрема людина в будь-якій організації не знає повної картини. Маркетинг використовує один набір інструментів, HR — інший, служба підтримки клієнтів — третій, а фінанси мають свої власні системи. Ваше завдання — об'єднати ці фрагментовані потоки даних у зв'язний реєстр. Вправа охоплює кожне поле, вимагане статтею 30(1) для контролерів: цілі обробки, категорії суб'єктів даних та персональних даних, категорії одержувачів, міжнародні передачі, строки зберігання та загальний опис заходів безпеки. Ви також практикуватимете підтримку цих записів актуальними, оскільки реєстр, що відображає минулорічні потоки даних, є загрозою відповідності. Організації, що підтримують точні записи обробки, швидше обробляють DSAR, проводять більш якісні DPIA та демонструють підзвітність під час аудитів. Вправа вчить Вас створювати живий документ, а не одноразовий артефакт відповідності.

Що ви дізнаєтесь у Картографування даних та записи обробки

Проводити інтерв'ю з картографування даних між відділами для виявлення всіх діяльностей з обробки персональних даних
Створювати записи, що відповідають статті 30(1), документуючи цілі, категорії даних, одержувачів, передачі та строки зберігання
Будувати карту потоків даних між внутрішніми системами та зовнішніми обробниками для виявлення незадокументованого обміну
Встановлювати процес підтримки, що забезпечує актуальність записів діяльності з обробки при зміні систем
Використовувати реєстр обробки як операційний інструмент, що прискорює відповіді на DSAR, DPIA та підготовку до аудиту

Картографування даних та записи обробки — Кроки навчання

вступ

Оскільки організація охорони здоров’я обробляє конфіденційні дані пацієнтів, ведення точних записів обробки не є обов’язковим – це юридична вимога відповідно до статті 30 GDPR. Сьогодні починається ваш щорічний огляд ROPA. Наглядовий орган оголосив про посилену перевірку медичних організацій, і ви повинні переконатися, що кожна діяльність з обробки належним чином задокументована.
Стаття 30 Вимоги

Стаття 30 GDPR вимагає від контролерів зберігати письмові записи, які містять: Ім’я та контактну інформацію контролера Цілі обробки Категорії суб’єктів даних і персональні дані Категорії одержувачів Передачі до третіх країн (за наявності) Періоди зберігання Технічну та організаційну безпеку заходи Дані про медичне обслуговування додають складності - ви також повинні задокументувати правові основи для обробки даних про здоров’я спеціальної категорії відповідно до статті 9.
Відкриття діаграми потоку даних

Ви відкриваєте портал керування даними, щоб отримати доступ до інструменту діаграми потоку даних. Цей портал дозволяє візуалізувати всі дії з обробки даних у Meridian Healthcare – кожну систему, яка обробляє персональні дані, як дані перетікають між ними та правову основу для кожної діяльності з обробки.
Розуміння діаграми

Діаграма потоку даних відображає всі суб’єкти, залучені до обробки персональних даних у Meridian Healthcare. Кожен вузол представляє систему, людину або організацію. Лінії між вузлами показують, як надходять дані. Різні кольори позначають різні типи об’єктів: Синій – Суб’єкти даних (пацієнти) Зелений – Контролери (ваші системи) Помаранчевий – Обробники (треті сторони, які діють від вашого імені) Фіолетовий – Треті сторони (незалежні одержувачі)
Ідентифікація суб'єкта даних

Кожен запис ROPA починається з ідентифікації суб’єктів даних. У сфері охорони здоров’я основними суб’єктами даних є пацієнти. Вам потрібно задокументувати, які категорії персональних даних ви збираєте з них, і переконатися, що у вас є дійсна правова основа для кожної категорії.
Категорії даних пацієнтів

Вузол «Пацієнт» розкриває категорії зібраних персональних даних: Ідентифікаційні дані (ім’я, дата народження, ідентифікаційний номер) Контактна інформація (адреса, телефон, електронна пошта) Записи про стан здоров’я — дані про особливу категорію Інформація про страхування Записи про стан здоров’я вимагають спеціальної правової підстави відповідно до статті 9 — стандартної згоди або законного інтересу недостатньо для спеціальної категорії даних.
Збір даних відстеження

Вам потрібно задокументувати, як дані пацієнтів надходять у вашу організацію. Є два основних пункти збору - Портал пацієнтів для реєстрації та отримання згоди та прямий клінічний прийом для медичних записів. Кожна точка входу потребує задокументованої правової бази та мети.
Документальне оформлення реєстрації пацієнтів

Перша операція з обробки, яку потрібно задокументувати, — це реєстрація пацієнта. Коли пацієнти створюють облікові записи через портал, ви збираєте ідентифікаційні та контактні дані, а також фіксуєте їхні переваги згоди. Юридична основа: Згода - для маркетингових комунікацій Договір - для надання послуг Збереження: тривалість відносин з пацієнтом плюс 10 років для зобов'язань щодо медичної документації.
Виділення Реєстраційної діяльності

Діяльність обробки реєстрації пацієнтів тепер виділена. Це критично важливий запис ROPA, оскільки він встановлює записи згоди, які підтримують подальшу обробку. Без належної реєстраційної документації ви не можете підтвердити отримання дійсної згоди.
Обробка клінічної допомоги

Основною діяльністю з обробки в будь-якій медичній організації є надання клінічної допомоги. Це передбачає обробку спеціальних категорій даних про стан здоров’я – діагнози, лікування, рецепти та клінічні записи. Правовою основою є медична необхідність згідно зі статтею 9(2)(h), яка дозволяє обробку, необхідну для діагностики чи лікування.

Що таке Картографування даних та записи обробки?

Що ви дізнаєтесь у Картографування даних та записи обробки

Картографування даних та записи обробки — Кроки навчання

вступ

Стаття 30 Вимоги

Відкриття діаграми потоку даних

Розуміння діаграми

Ідентифікація суб'єкта даних

Категорії даних пацієнтів

Збір даних відстеження

Документальне оформлення реєстрації пацієнтів

Виділення Реєстраційної діяльності

Обробка клінічної допомоги