13 Lis

Tworzenie i prowadzenie rejestru czynności przetwarzania według RODO

Zapewnienie poufności informacji chronionych (nie tylko danych osobowych) wymaga kontroli nad procesami ich przetwarzania, w szczególności komu zostały udostępnione lub powierzone. Jednakże punktem wyjścia jest identyfikacja zasobów chronionych (w szczególności inwentaryzacja zbiorów, o której pisałam tutaj). Jest to proces bardzo trudny dla osoby nie mającej wiedzy w zakresie przepisów o ochronie danych osobowych i/lub tworzenia systemów zarządzania bezpieczeństwem informacji. Nadzór nad procesami przetwarzania informacji chronionych wymaga identyfikacji rodzajów zasobów chronionych (zbiory danych, informacje chronione umownie, dane powierzone, informacje poufne wewnątrz organizacji, informacje biznesowe), procesów przetwarzania (gdzie i jak są gromadzone, jak są przesyłane, jakie czynności są na nich wykonywane, czy są udostępniane), osób dokonujących przetwarzania (nadawanie upoważnień i uprawnień do konkretnych zasobów i procesów), miejsc przetwarzania (pomieszczeń lub części pomieszczeń). W tym momencie wiele osób uświadamia sobie, jak wiele pracy ma do wykonania ABI/IOD i jak specjalistyczną wiedzę musi posiadać. Osoby, które tworzyły polityki bezpieczeństwa oraz instrukcje zarządzania systemami informatycznymi, zidentyfikowały opisane przeze mnie czynności i są w stanie wykazać, że wiedzą, w jaki sposób te procesy funkcjonują w organizacji. To naprawdę ma sens. Wykazy zbiorów w polityce, przepływy danych, służą kontroli nad procesami przetwarzania. Nie jest to sztuka dla sztuki.

Czy będzie rejestr GIODO?

Dotychczas istniał dodatkowy obowiązek polegający na informowaniu organu nadzorującego (GIODO) o procesach przetwarzania, które mają miejsce w organizacji. Wyjątek stanowiły procesy zwolnione na podstawie art. 43 ust. 1 i 1a. GIODO na podstawie otrzymanych zgłoszeń prowadził jawny rejestr przetwarzania danych osobowych. Liczba zgłoszeń przerosła najśmielsze oczekiwania, a po wielu latach dokonywania zgłoszeń, można dojść do wniosku, że właściwie nie wiadomo czemu służy rejestr zbiorów. Read More