10 Wrz

Czym są czynności przetwarzania w rejestrze czynności?

Rejestr czynności przetwarzania jest tematem pojawiającym się właściwie na każdym moim szkoleniu i w większości dyskusji. O zasadach tworzenia i prowadzenia rejestru pisałam tutaj. Jednakże już na pierwszy rzut oka, można zauważyć, że przyjęłam inną zasadę tworzenia rejestru, niż podany na stronach urzędu ochrony danych osobowych wzór: wyjaśnienia Prezesa UODO jak prowadzić rejestr czynności

Na stronie zostały zamieszczone Wskazówki i wyjaśnienia dotyczące obowiązku z art. 30 ust. 1 i 2 RODO, przygotowane przez pracowników UODO, Panią Monikę Młotkiewicz oraz dr inż Andrzeja Kaczmarka. W podanym przykładzie autorzy posługują się “czynnościami na danych” bardzo szczegółowo rozbijając je dla poszczególnych zbiorów. Wynika to z interpretacji “czynności przetwarzania”, jako zespołu powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.

W 2016 roku, pod patronatem GIODO, ukazał się bardzo dobry i prosty poradnik Wykonywanie obowiązków ABI, przyszłego inspektora ochrony danych, w świetle ogólnego rozporządzenia o ochronie danych osobowych, pod redakcją “autorytetów RODO”, m.in. dr Edyty Bielak-Jomaa, Piotra Drobka, dr Macieja Kaweckiego. W poradniku jeden z rozdziałów został poświęcony zagadnieniu prowadzenia rejestru czynności przetwarzania, w którym dr inż. Andrzej Kaczmarek wyjaśnia: Read More

30 Mar

Mity wokół RODO: nie będzie już zbiorów danych

Tyle razy już słyszałam “od maja nie będzie już zbiorów danych”, że postanowiłam napisać. Nie wiem jak powstała ta miejska legenda, jednakże chciałabym ją rozwiać. Najszybciej jak się da.  Sam tekst Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli RODO odnosi się do przetwarzania danych osobowych w ramach zbiorów w wielu miejscach:

(Motyw 15) Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik. Ochrona osób fizycznych powinna mieć zastosowanie do zautomatyzowanego przetwarzania danych osobowych oraz do przetwarzania ręcznego, jeżeli dane osobowe znajdują się lub mają się znaleźć w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są uporządkowane według określonych kryteriów nie powinny być objęte zakresem niniejszego rozporządzenia. Read More

13 Lis

Tworzenie i prowadzenie rejestru czynności przetwarzania według RODO

Zapewnienie poufności informacji chronionych (nie tylko danych osobowych) wymaga kontroli nad procesami ich przetwarzania, w szczególności komu zostały udostępnione lub powierzone. Jednakże punktem wyjścia jest identyfikacja zasobów chronionych (w szczególności inwentaryzacja zbiorów, o której pisałam tutaj). Jest to proces bardzo trudny dla osoby nie mającej wiedzy w zakresie przepisów o ochronie danych osobowych i/lub tworzenia systemów zarządzania bezpieczeństwem informacji. Nadzór nad procesami przetwarzania informacji chronionych wymaga identyfikacji rodzajów zasobów chronionych (zbiory danych, informacje chronione umownie, dane powierzone, informacje poufne wewnątrz organizacji, informacje biznesowe), procesów przetwarzania (gdzie i jak są gromadzone, jak są przesyłane, jakie czynności są na nich wykonywane, czy są udostępniane), osób dokonujących przetwarzania (nadawanie upoważnień i uprawnień do konkretnych zasobów i procesów), miejsc przetwarzania (pomieszczeń lub części pomieszczeń). W tym momencie wiele osób uświadamia sobie, jak wiele pracy ma do wykonania ABI/IOD i jak specjalistyczną wiedzę musi posiadać. Osoby, które tworzyły polityki bezpieczeństwa oraz instrukcje zarządzania systemami informatycznymi, zidentyfikowały opisane przeze mnie czynności i są w stanie wykazać, że wiedzą, w jaki sposób te procesy funkcjonują w organizacji. To naprawdę ma sens. Wykazy zbiorów w polityce, przepływy danych, służą kontroli nad procesami przetwarzania. Nie jest to sztuka dla sztuki.

Czy będzie rejestr GIODO?

Dotychczas istniał dodatkowy obowiązek polegający na informowaniu organu nadzorującego (GIODO) o procesach przetwarzania, które mają miejsce w organizacji. Wyjątek stanowiły procesy zwolnione na podstawie art. 43 ust. 1 i 1a. GIODO na podstawie otrzymanych zgłoszeń prowadził jawny rejestr przetwarzania danych osobowych. Liczba zgłoszeń przerosła najśmielsze oczekiwania, a po wielu latach dokonywania zgłoszeń, można dojść do wniosku, że właściwie nie wiadomo czemu służy rejestr zbiorów. Read More