Uwarunkowania dotyczące zgodności z prawem przetwarzania danych osobowych w naszym kraju regulują dwa zasadnicze akty prawne. Unijne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. U. E. L 119/1 z 4 maja 2016 r.) oraz Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 z późn. zm.). Każde ze wspomnianych uregulowań nie zawiera jednej i spójnej wykładni, jak w praktyce wdrożyć zasady, które oba akty regulują. Od czego zatem warto zacząć wdrażać te przepisy w prowadzonej działalności i jak zatem zapewnić zgodność z RODO? Podstawą dążenia do tytułowej zgodności jest właściwa inwentaryzacja zasobów, w jakich są przetwarzane dane, w tym dane osobowe.

Podstawą działań, również audytów jakie prowadzimy na zlecenie lub jakie wykonujemy w każdej instytucji z jaką rozpoczynamy współpracę jest inwentaryzacja zasobów dotyczących przetwarzania danych. Co ważne działania te dotyczą, nie tylko obszarów dotyczących danych osobowych, ale przetwarzanych danych w pełnym zakresie prowadzonych działań. Dobrze przeprowadzona inwentaryzacja powinna obejmować wszystkie możliwe zakresy w jakich są przetwarzane dane, obejmując zarówno ich formę fizyczną (papierową) jak i wersję elektroniczną. Nie sposób także pominąć, choć w zupełnie innym kontekście, danych przetwarzanych “organicznie”, czyli będących posiadaniu osób mających dostęp do poszczególnych zakresów informacji. Formalnie, uwzględniając dość specyficzne podejście do zasad poufności w naszym społeczeństwie, zasób ten jest także najbardziej podatnym na “naruszenie”.

Inwentaryzacja zasobów powinna także uwzględniać trzy podstawowe zasady dotyczące bezpieczeństwa danych, poufność, integralność oraz dostępność informacji. Każda z tych wytycznych w uwzględnieniu jej zależności z prawdopodobieństwem zaistnienia danego zdarzenia, to także podstawa wykładni do oceny ryzyka jakie powinien uwzględnić każdy administrator, zgodnie z art. 32 RODO. Przeprowadzenie inwentaryzacji to także świetny moment, aby ocenić obecne już lub koniczne do wdrożenia środki techniczne i organizacyjne, zapewniające właściwy dla przetwarzanych danych stopień bezpieczeństwa.

Prowadząc nasze działania, szczególnie w zupełnie nowych instytucjach, lub tych jakie zwróciły się do na o wsparcie, napotykamy niestety szereg nieprawidłowości w tym zakresie, który niekiedy nawet nie przypomina ogólnie pojętej inwentaryzacji. Skąd taki wniosek i co może być przyczyną takiego stanu rzeczy ? Powodów może być klika:

1. Całkowicie zdalna praca firmy lub powołanego inspektora.

2. Nieznajomość lub błędna interpretacja wymagań rozporządzenia oraz ustawy.

3. Brak uwzględniania wymagań norm w zakresie technik informatycznych, bezpieczeństwa, zasad zabezpieczania informacji oraz funkcjonowania systemów zarządzania bezpieczeństwem informacji.

Dobrze przeprowadzona inwentaryzacja, to klucz do sprawnego systemu i jeden z elementów układanki pod tytułem jak zapewnić zgodność z RODO. Jeśli jesteś zainteresowany(na) zleceniem nam usług w zakresie ochrony danych osobowych oraz pełnienia funkcji inspektora ochrony danych, zapraszamy do kontaktu.

Opracowanie / Marek Mróz

Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych

Niniejszy wpis nie jest sponsorowany. Poniżej zamieszczamy ciekawe linki afiliacyjne do wartościowych książek o ochronie danych osobowych oraz usług hostingowych jakie polecamy. Dokonując z nich zakupu, wesprzesz rozwój naszego poradnika. Dziękujemy.

Usługi Data Center – IQ PL Sp. z o.o. – zamówisz tutaj,

Ochrona Danych Medycznych i Osobowych Pacjentów – kupisz tutaj,

Ochrona Danych Osobowych – Poradnik dla Przedsiębiorców – kupisz tutaj,

Bezpieczeństwo aplikacji mobilnych – kupisz tutaj,

Informatyka Śledcza – kupisz tutaj,

Profesjonalne testy penetracyjne – kupisz tutaj.