Uwarunkowania dotyczące zgodności z prawem przetwarzania danych osobowych w naszym kraju regulują dwa zasadnicze akty prawne. Unijne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. U. E. L 119/1 z 4 maja 2016 r.) oraz Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Tj. Dz. U. z 2019 r., poz. 1781 z późn. zm.). Każde ze wspomnianych uregulowań nie zawiera jednej i spójnej wykładni, jak w praktyce wdrożyć zasady, które oba akty regulują. Od czego zatem warto zacząć wdrażać te przepisy w prowadzonej działalności i jak zatem zapewnić zgodność z RODO? Podstawą dążenia do tytułowej zgodności jest właściwa inwentaryzacja zasobów, w jakich są przetwarzane dane, w tym dane osobowe.
Podstawą działań, również audytów jakie prowadzimy na zlecenie lub jakie wykonujemy w każdej instytucji z jaką rozpoczynamy współpracę jest inwentaryzacja zasobów dotyczących przetwarzania danych. Co ważne działania te dotyczą, nie tylko obszarów dotyczących danych osobowych, ale przetwarzanych danych w pełnym zakresie prowadzonych działań. Dobrze przeprowadzona inwentaryzacja powinna obejmować wszystkie możliwe zakresy w jakich są przetwarzane dane, obejmując zarówno ich formę fizyczną (papierową) jak i wersję elektroniczną. Nie sposób także pominąć, choć w zupełnie innym kontekście, danych przetwarzanych “organicznie”, czyli będących posiadaniu osób mających dostęp do poszczególnych zakresów informacji. Formalnie, uwzględniając dość specyficzne podejście do zasad poufności w naszym społeczeństwie, zasób ten jest także najbardziej podatnym na “naruszenie”.
Inwentaryzacja zasobów powinna także uwzględniać trzy podstawowe zasady dotyczące bezpieczeństwa danych, poufność, integralność oraz dostępność informacji. Każda z tych wytycznych w uwzględnieniu jej zależności z prawdopodobieństwem zaistnienia danego zdarzenia, to także podstawa wykładni do oceny ryzyka jakie powinien uwzględnić każdy administrator, zgodnie z art. 32 RODO. Przeprowadzenie inwentaryzacji to także świetny moment, aby ocenić obecne już lub koniczne do wdrożenia środki techniczne i organizacyjne, zapewniające właściwy dla przetwarzanych danych stopień bezpieczeństwa.
Prowadząc nasze działania, szczególnie w zupełnie nowych instytucjach, lub tych jakie zwróciły się do na o wsparcie, napotykamy niestety szereg nieprawidłowości w tym zakresie, który niekiedy nawet nie przypomina ogólnie pojętej inwentaryzacji. Skąd taki wniosek i co może być przyczyną takiego stanu rzeczy ? Powodów może być klika:
1. Całkowicie zdalna praca firmy lub powołanego inspektora.
2. Nieznajomość lub błędna interpretacja wymagań rozporządzenia oraz ustawy.
3. Brak uwzględniania wymagań norm w zakresie technik informatycznych, bezpieczeństwa, zasad zabezpieczania informacji oraz funkcjonowania systemów zarządzania bezpieczeństwem informacji.
Dobrze przeprowadzona inwentaryzacja, to klucz do sprawnego systemu i jeden z elementów układanki pod tytułem jak zapewnić zgodność z RODO. Jeśli jesteś zainteresowany(na) zleceniem nam usług w zakresie ochrony danych osobowych oraz pełnienia funkcji inspektora ochrony danych, zapraszamy do kontaktu.
Zapraszamy Cię również do naszego bezpłatnego newslettera – Poradnika Pracodawcy – w którym omawiamy zagadnienia z zakresu bezpieczeństwa i higieny pracy, ochrony przeciwpożarowej, pierwszej pomocy, ochrony danych osobowych i kadr. Zapisać się do newslettera możesz TUTAJ. Jeżeli sam planujesz dystrybucję własnego newslettera, polecamy polskiego dostawcę, z którego usług sami korzystamy – Getresponse – zapewniającego nie tylko świetne narzędzie ale także perfekcyjną obsługę klienta.
Opracowanie / Marek Mróz
Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych
Niniejszy wpis nie jest sponsorowany. Poniżej zamieszczamy ciekawe linki afiliacyjne do wartościowych książek o ochronie danych osobowych oraz usług hostingowych jakie polecamy. Dokonując z nich zakupu, wesprzesz rozwój naszego poradnika. Dziękujemy.
Usługi Data Center – IQ PL Sp. z o.o. – zamówisz tutaj,
Ochrona Danych Medycznych i Osobowych Pacjentów – kupisz tutaj,
Ochrona Danych Osobowych – Poradnik dla Przedsiębiorców – kupisz tutaj,
Bezpieczeństwo aplikacji mobilnych – kupisz tutaj,
Informatyka Śledcza – kupisz tutaj,
Profesjonalne testy penetracyjne – kupisz tutaj.
