Zbiory danych osobowych
Rejestr czynności przetwarzania i konieczna do jego sporządzenia inwentaryzacja zbiorów to pierwsze kroki podejmowane podczas wdrażania przepisów RODO. Trudno jest bowiem weryfikować i ustanawiać zabezpieczenia oraz zasady przetwarzania danych osobowych, jeżeli nie wiemy jakie tak na prawdę dane posiadamy w organizacji. Przy okazji dowiemy się też skąd pochodzą nasze dane, czy zebraliśmy je w sposób dozwolony i czy posiadamy podstawę prawną do ich przetwarzania.
Inwentaryzacja zbiorów jest procesem żmudnym i wymagającym dobrej znajomości organizacji i procesów biznesowych. Konieczne jest bowiem spotkanie z przedstawicielami każdej komórki organizacyjnej i zebranie od nich danych na temat systemów informatycznych i aplikacji, a także dokumentów i miejsc, w których przetwarzane są przez nich zbiory danych osobowych. Przy okazji zbierania tych informacji warto zapoznać osoby ankietowane z definicją danych osobowych oraz zbioru danych aby uniknąć niepożądanych nieporozumień. Często potoczne rozumienie danych osobowych lub zbioru różni się od definicji prawnej.
Istotne definicje
Dla przypomnienia warto zatem przytoczyć najistotniejsze definicje zawarte w artykule 4. RODO:
„Dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
„Przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
„Zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
„Szczególne kategorie danych osobowych” (tzw. dane wrażliwe) – ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej.
Rejestr czynności przetwarzania
Jednym z obowiązków administratorów danych osobowych (na podstawie Art. 30. RODO) jest prowadzenie rejestru czynności przetwarzania. Zwolnieni są z niego jedynie przedsiębiorcy zatrudniający mniej niż 250 osób, o ile nie zachodzi jeden z wyjątków:
- przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
- nie ma charakteru sporadycznego
- obejmuje szczególne kategorie danych osobowych
Jednakże, jak sprecyzowano w interpretacji Grupy Roboczej Art. 29, o sporadycznym przetwarzaniu nie można mówić w sytuacji, w której pracodawca przetwarza dane osobowe swoich pracowników. W praktyce zatem przynajmniej te kategorie danych, które dotyczą własnych pracowników powinny się znaleźć w rejestrze czynności przetwarzania.
Osobiście sugeruję jednak prowadzenie rejestru dla wszystkich zbiorów danych osobowych, niezależnie od okoliczności. Jego sporządzenie może stanowić część procesu inwentaryzacji i klasyfikacji informacji oraz procesów w systemie zarządzania bezpieczeństwem informacji. Znacznie ułatwia to utrzymanie porządku i zapewnienie bezpieczeństwa. Ze względu na zdefiniowane w artykule 30. RODO wymogi rejestr powinien zawierać następujące informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Zakres informacji w rejestrze jest na tyle szeroki, że jego sporządzenie daje nam możliwość dokładnego poznania zakresu przetwarzanych danych oraz ich dalszych udostępnień, powierzeń czy też stosowanych zabezpieczeń. W bardziej rozbudowanych organizacjach lub dla skomplikowanych procesów pomocne może być na tym etapie rozrysowanie diagramów obrazujących przepływy danych pomiędzy poszczególnymi procesami biznesowymi lub jednostkami.
Przykładowy rejestr
W uzupełnieniu tego artykułu przygotowałem dla Was arkusz kalkulacyjny zawierający rejestr czynności przetwarzania z przykładowymi danymi dla działu kadr i księgowości. Aby go otrzymać wystarczy podać e-mail w formularzu pod artykułem i potwierdzić chęć zapisu do newslettera.
Ten artykuł jest częścią cyklu poświęconego wdrażaniu przepisów RODO w organizacji. Poniżej znajdziesz wszystkie jego części:
- RODO – oswajamy potwora
- Darmowe szkolenie RODO dla pracowników
- Inwentaryzacja zbiorów i rejestr czynności przetwarzania
- Wymogi dla systemów informatycznych w RODO
- Analiza ryzyka – wspólny mianownik RODO, KRI i ISO 27001
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.