30 Mar

Mity wokół RODO: nie będzie już zbiorów danych

Tyle razy już słyszałam “od maja nie będzie już zbiorów danych”, że postanowiłam napisać. Nie wiem jak powstała ta miejska legenda, jednakże chciałabym ją rozwiać. Najszybciej jak się da.  Sam tekst Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli RODO odnosi się do przetwarzania danych osobowych w ramach zbiorów w wielu miejscach:

(Motyw 15) Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik. Ochrona osób fizycznych powinna mieć zastosowanie do zautomatyzowanego przetwarzania danych osobowych oraz do przetwarzania ręcznego, jeżeli dane osobowe znajdują się lub mają się znaleźć w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są uporządkowane według określonych kryteriów nie powinny być objęte zakresem niniejszego rozporządzenia. Read More

13 Lis

Tworzenie i prowadzenie rejestru czynności przetwarzania według RODO

Zapewnienie poufności informacji chronionych (nie tylko danych osobowych) wymaga kontroli nad procesami ich przetwarzania, w szczególności komu zostały udostępnione lub powierzone. Jednakże punktem wyjścia jest identyfikacja zasobów chronionych (w szczególności inwentaryzacja zbiorów, o której pisałam tutaj). Jest to proces bardzo trudny dla osoby nie mającej wiedzy w zakresie przepisów o ochronie danych osobowych i/lub tworzenia systemów zarządzania bezpieczeństwem informacji. Nadzór nad procesami przetwarzania informacji chronionych wymaga identyfikacji rodzajów zasobów chronionych (zbiory danych, informacje chronione umownie, dane powierzone, informacje poufne wewnątrz organizacji, informacje biznesowe), procesów przetwarzania (gdzie i jak są gromadzone, jak są przesyłane, jakie czynności są na nich wykonywane, czy są udostępniane), osób dokonujących przetwarzania (nadawanie upoważnień i uprawnień do konkretnych zasobów i procesów), miejsc przetwarzania (pomieszczeń lub części pomieszczeń). W tym momencie wiele osób uświadamia sobie, jak wiele pracy ma do wykonania ABI/IOD i jak specjalistyczną wiedzę musi posiadać. Osoby, które tworzyły polityki bezpieczeństwa oraz instrukcje zarządzania systemami informatycznymi, zidentyfikowały opisane przeze mnie czynności i są w stanie wykazać, że wiedzą, w jaki sposób te procesy funkcjonują w organizacji. To naprawdę ma sens. Wykazy zbiorów w polityce, przepływy danych, służą kontroli nad procesami przetwarzania. Nie jest to sztuka dla sztuki.

Czy będzie rejestr GIODO?

Dotychczas istniał dodatkowy obowiązek polegający na informowaniu organu nadzorującego (GIODO) o procesach przetwarzania, które mają miejsce w organizacji. Wyjątek stanowiły procesy zwolnione na podstawie art. 43 ust. 1 i 1a. GIODO na podstawie otrzymanych zgłoszeń prowadził jawny rejestr przetwarzania danych osobowych. Liczba zgłoszeń przerosła najśmielsze oczekiwania, a po wielu latach dokonywania zgłoszeń, można dojść do wniosku, że właściwie nie wiadomo czemu służy rejestr zbiorów. Read More