Zasoby związane z przetwarzaniem danych osobowych – co musisz wiedzieć?
Jak inwentaryzować je poprawnie?
Wprowadzenie zgodnej z wymogami RODO ochrony danych osobowych nie będzie skuteczne gdy jednostka lub firma nie posiada precyzyjnie określonych zasobów służących ich przetwarzaniu. Element ten stanowi bowiem podstawę do określenia obszarów przetwarzania danych osobowych. Może być także wskazaniem punktów naruszeń danych osobowych, zagrożeń i skutków przetwarzania. Działania te są więc niezbędne dla stworzenia procedur i zastosowania najefektywniejszych czy też najbardziej uzasadnionych rozwiązań technicznych i organizacyjnych. Możliwość uzasadnienia dobranych rozwiązań technicznych i organizacyjnych jest także konieczna z punktu widzenia wypełnienia zawartej w RODO zasady rozliczalności. Ponadto jest to obowiązkiem administratora danych, a naruszenia ochrony danych niosą ze sobą ryzyko utraty dobrego imienia i wysokich kar finansowych.
Czym w świetle przepisów prawa jest przetwarzanie danych osobowych?
Pojęcie przetwarzania danych zostało omówione na gruncie przepisów prawa przede wszystkim w Rozporządzeniu Parlamentu Europejskiego i Rady UE nr 2016/679 z 27 kwietnia 2016 r. Kwestie te reguluje także ustawa uchwalona w 2018 r. w związku z koniecznością wdrożenia w Polsce unijnej dyrektywy, która unifikowała przepisy o ochronie danych osobowych na terenie UE, czyli tzw. RODO. To uszczegółowienie odnosi się wyłącznie do danych osobowych, ale dla jasności warto je przytoczyć, aby znać pełną listę operacji wymienianych w zakresie przetwarzanie danych. Ogólne rozporządzenie wskazuje (zob. art. 4 pkt 2), że przetwarzanie danych obejmuje następujące czynności:
- zbieranie (gromadzenie danych),
- utrwalanie,
- organizowanie,
- porządkowanie,
- przechowywanie,
- adaptowanie i/lub modyfikowanie,
- pobieranie,
- przeglądanie,
- wykorzystywanie,
- ujawnianie poprzez przesłanie, rozpowszechnianie lub udostępnianie w inny sposób,
- dopasowywanie lub łączenie,
- ograniczanie,
- usuwanie,
- niszczenie danych.
W rozporządzeniu zaznaczono też, że w procesie przetwarzania wyróżnić można czynności zautomatyzowane, ale i niezautomatyzowane. Oznacza to, że nie jest istotnym, czy operacje, których dane dotyczą, odbywają się przy wykorzystywaniu systemu informatycznego, czy też za pomocą nośników i narzędzi analogowych. Warto też zauważyć, że za przetwarzanie danych uznaje się również procesy przechowywania danych osobowych (istotny jest tutaj np. okres przechowywania danych). W myśl przepisów ustawy już samo przechowywanie danych (np. w ewidencji systemów informatycznych) jest uznawane za ich przetwarzanie. W takim przypadku działania niezgodne z prawem również mogą stanowić podstawę do wniesienia skargi.
Inwentaryzacja zasobów służących do przetwarzania danych osobowych
Inwentaryzacja zasobów jest pierwszym krokiem w procesie przygotowywania organizacji do wprowadzenia polityki RODO, natomiast zinwentaryzowane zasoby stanowią podstawę do przeprowadzenia analizy ryzyka. Jest więc zagadnieniem, które angażuje wiele podmiotów, w tym administratora danych i inspektora ochrony danych. W razie potrzeby pomocą w tym zakresie służy także Urząd Ochrony Danych Osobowych.
Co w zasadzie należy inwentaryzować? Poddawać inwentaryzacji należy wszelkie zasoby, w tym procesy i systemy, które służą przetwarzaniu danych osobowych. W takim przypadku inwentaryzacja polega na zebraniu pełnej i jednolitej informacji o realizowanych procesach oraz innych czynnościach, związanych z przetwarzaniem danych. Dotyczy to danych zgromadzonych ze wszystkich komórek naszej organizacji, a także ich wzajemnych relacji. Wynik, jaki otrzymuje się po inwentaryzacji procesów przetwarzania danych osobowych, powinien posłużyć organizacji jako niezbędna pomoc do przebycia drogi do skutecznego wdrożenia RODO.
W podmiotach, których główna działalność nie jest oparta na przetwarzaniu danych osobowych, zaleca się dokonanie faktycznego spisu z natury oraz podparcie się dokumentami źródłowymi, jak umowy, faktury itp. Może to wykonać np. inspektor ochrony danych. Zastosowanie tej metody będzie także konieczne w podmiotach, które nie są zobowiązane do prowadzenia pełnej rachunkowości. W organizacjach, które prowadzą pełną księgowość, pomocne może okazać się wykorzystanie ewidencji środków trwałych, wartości niematerialnych i prawnych, jak również wszelkich ewidencji ilościowych.
Rekomendowane jest, aby czynności inwentaryzacyjne dokonywane były przez specjalistów w danym zakresie, przy współudziale użytkowników, kierownictwa organizacji i administratora danych. Faktem jest jednak to, że przetwarzane dane osobowe mogą być kontrolowane również przy współudziale kierownictwa i osób odpowiedzialnych za księgowość. Można ten proces skonsultować także z inspektorem ochrony danych.
Wykonując w organizacji inwentaryzację swoich danych osobowych należy:
- udokumentować wszystkie rodzaje przetwarzanych danych osobowych (z jednoczesnym określeniem kategorii tych danych i określeniem czy dane dotyczą szczególnej kategorii, czy przetwarzane są dane osób małoletnich – słowem, czy narażamy się np. na łamanie prawa osób fizycznych czy wolności osób fizycznych),
- zastanowić się, jaki jest obecny cel przetwarzania danych (przy uwzględnieniu tego, czy przetwarzanie danych niesie ze sobą wysokie ryzyko),
- dowiedzieć się skąd pochodzą przetwarzane przez nas dane (czy na podstawie umowy zawartej z odpowiednim podmiotem zostały przez nas zebrane, czy może występujemy jedynie jako podmiot przetwarzający),
- określić podstawę prawną do przetwarzania danych (czy udostępnienie danych do przetwarzania przez konkretną osobę było dobrowolne, czy nastąpiło na podstawie zgody osoby, której dane dotyczą, czy przepisy szczegółowe nakładają na nas obowiązek przetwarzania danych),
- zidentyfikować, czy dane do przetwarzania zostały komuś przekazane i jeśli tak, to na jakiej podstawie (należy wskazać podstawę prawną),
- określić, czy dane są zabezpieczone i w jaki sposób (szyfrowanie, anonimizacja, dostępność),
- zidentyfikować, w jakich zasobach informatycznych znajdują się przechowywane dane (np. czy dane dotyczą państw trzecich),
- określić, jak długo (zgodnie z obowiązującym prawem) dane powinny być przetwarzane.
Jakie zasoby podlegają inwentaryzacji przez podmiot przetwarzający?
Inwentaryzacja danych jest obowiązkiem wszystkich organizacji przetwarzających dane, które zobowiązane są do zabezpieczenia danych osobowych, jakimi dysponują. Zgodnie z przepisami o ochronie danych osobowych, powinny podlegać jej wszystkie zasoby, jakie dotyczą przetwarzania danych osobowych w organizacji, do których zalicza się:
- obszary przetwarzania: pomieszczenia, w których następuje przetwarzanie danych osobowych z uwzględnieniem lokalizacji, zasilania w energię elektryczną i sposobu rozprowadzania, a także dostępu do usług telekomunikacyjnych, stref o zróżnicowanych poziomach dostępu lub istotności przetwarzanych danych;
- sieć teleinformatyczną: architektura sieci wraz z uwzględnieniem sposobu jej rozprowadzenia, użyte urządzenia pośredniczące oraz zastosowane inne urządzenia i rozwiązania;
- sprzęt: serwery, nośniki danych, komputery stacjonarne i przenośne, inne urządzenia przenośne, drukarki;
- oprogramowanie: systemy operacyjne, programy wspomagające zarządzanie, programy użytkowe i aplikacje;
- pracowników (zasoby ludzkie), których dane dotyczą: z uwzględnieniem funkcji, podmiotów i osób współpracujących na zasadach umów cywilnoprawnych, przetwarzających lub mających wpływ na przetwarzanie danych osobowych w przedsiębiorstwie;
- inne nośniki danych: umowy, książki adresowe, skorowidze zawierające dane osobowe, akta spraw, akta osobowe itp.
Zasoby można klasyfikować w ramach różnych grup, takich jak przykładowo:
- infrastruktura serwerowni i sieciowa (WAN i LAN),
- sprzęt biurowy (osobisty i ogólnodostępny),
- systemy operacyjne i aplikacje,
- strony internetowe przetwarzające dane osobowe,
- formaty plików (dane nieustrukturyzowane),
- dokumenty w formie papierowej,
- personel własny, zewnętrzny i goście (w tym informacje na temat osoby, której dane dotyczą),
- główne lokalizacje i obszary krytyczne,
- umowy krytyczne.
W jakim celu identyfikuje się zasoby dotyczące przetwarzania danych osobowych?
Inwentaryzacja zasobów wykonywana jest po to, by wprowadzić zasady ochrony danych osobowych, które spełniają wymagania RODO. Może być ona czynnością powtarzaną okresowo lub też procesem ciągłym.
Zebrane podczas inwentaryzacji zasobów dane będą także pomocne w późniejszym okresie do stworzenia wymaganego przez rozporządzenie RODO „rejestru czynności przetwarzania” i weryfikacji legalności przetwarzanych w tym zakresie danych.
Ponadto prawidłowo przeprowadzona inwentaryzacja zasobów i procesów przetwarzania danych osobowych znajduje zastosowanie zarówno we wskazaniu występujących pomiędzy tymi procesami powiązań, jak również pozwala na zminimalizowanie ryzyka związanego z ich przetwarzaniem.
Wynikiem, jaki otrzymamy po inwentaryzacji procesów przetwarzania danych osobowych, powinien być kompleksowy opis wszystkich procesów związanych z przetwarzaniem danych osobowych dotyczących naszej organizacji. Posłuży on do skutecznego wdrożenia polityki RODO w organizacji.
Zinwentaryzowane zasoby w celu dokumentacji warto ująć w czytelnej formie i opisać możliwie prostym językiem. W praktyce stosowane są dwa rozwiązania:
- arkusze, na których opisane zostają szczegółowe informacje dotyczące danego zasobu,
- zestawienia tabelaryczne, które zawierają szczegółowe informacje w kolejnych kolumnach.
The post Zasoby związane z przetwarzaniem danych osobowych – co musisz wiedzieć? appeared first on RODOprotektor – Program do RODO.