Od maja 2018 r. zacznie obowiązywać RODO – unijne rozporządzenie dotyczące ochrony danych osobowych. Rozporządzenie to znacznie poszerza obowiązki podmiotów przetwarzających dane osobowe, na ewentualne naruszenia natomiast wprowadza kary finansowe. Aby ułatwić przedsiębiorcom tę niełatwą drogę przygotowań do wdrożenia RODO Fundacja Bezpieczna Cyberprzestrzeń rozpoczęła projekt #ROADtoRODO.
Zapraszamy w naszą podróż #ROADtoRODO choć droga nie jest prosta (INFOGRAFIKA). Dziś zatrzymujemy się przy na przystanku nr 2. Zachęcamy do śledzenia kolejnych odcinków.
INWENTARYZACJA ZASOBÓW
Przystanek nr 2 – Inwentaryzacja zasobów
Skoro skutecznie przebrnęliśmy przez pierwszy z naszych znaków drogowych i utworzyliśmy zespół projektowy, który będzie odpowiedzialny za wdrożenie RODO w organizacji, możemy przejść do drugiego, dużo bardziej wyboistego fragmentu drogi i znaku jakim jest inwentaryzacja zasobów.
Niemożliwe jest wdrożenie w naszej organizacji RODO, jeśli nie posiadamy dokładnie określonych zasobów organizacyjnych mających związek z przetwarzaniem danych osobowych. To właśnie ten element jest podstawą byśmy mogli skutecznie określić obszary naszego przetwarzania i istniejących dla niego zagrożeń. Pozwoli nam to na opracowanie odpowiednich rozwiązań proceduralnych i technicznych, uszytych dokładnie na miarę naszej organizacji. Samo rozporządzenie RODO nie wskazuje jak należy przeprowadzić inwentaryzację zasobów, konieczne więc jest opracowanie własnych zasad i rozwiązań.
Na początku musimy odpowiedzieć sobie na pytanie co należy zinwentaryzować, tu odpowiedź jest prosta, choć bardzo ogólna – należy zinwentaryzować wszelkie zasoby w tym procesy i systemy, służące przetwarzaniu danych osobowych. Inwentaryzacja procesów przetwarzania danych osobowych polega na zebraniu pełnej i jednolitej informacji o realizowanych procesach i innych czynnościach związanych z przetwarzaniem danych, zgromadzonych ze wszystkich komórkach naszej organizacji oraz ich wzajemnych relacjach. W skład zbioru zasobów inwentaryzowanych wchodzą między innymi (nie jest to lista w postaci katalogu zamkniętego i w zależności od specyfiki organizacji może się różnić):
- Sprzęt – czyli wszystkie serwery, komputery (zarówno stacjonarne jak i przenośne), drukarki i inne urządzenia takie jak nośniki danych (dyski przenośne, pendrive’y itp.)
- Oprogramowanie – w tę grupę wliczamy systemy operacyjne (np. Windows, Linux), jak również programy wspomagające (antywirusy, firewalle, programy pozwalające zarządzać kontami użytkowników, jak również wszelkie oprogramowanie monitorujące) oraz programy i aplikacje użytkowe (edytory tekstowe, arkusze kalkulacyjne, komunikatory, przeglądarki internetowe, klienty pocztowe, programy księgowe, itp.).
- Sieć teleinformatyczna – pod hasłem tym kryje się pełna architektura sieci wraz z urządzeniami pośredniczącymi.
- Obszar przetwarzania – są to pomieszczenia, w których przetwarzane są dane osobowe z uwzględnieniem ich lokalizacji i zabezpieczeń, należy pamiętać, że jeśli w jakimś pomieszczeniu znajduje się tylko i wyłącznie niszczarka lub drukarka, to także jest to obszar przetwarzania danych osobowych. Inwentaryzacja danych osobowych musi objąć absolutnie wszystkie miejsca, gdzie one się znajdują.
- Personel przetwarzający dane – są to zarówno pracownicy, jak również osoby działające na podstawie umów cywilnych a przetwarzające dane osobowe.
- Wszelkie inne nośniki danych – umowy, akta osobowe, książki i bazy adresowe, notatniki zawierające dane osobowe, służbowe notatki pracownicze zawierające dane osobowe itp. By podlegać inwentaryzacji nośniki takie, wcale nie muszą tworzyć spójnej bazy danych.
Skoro zidentyfikowaliśmy co należy zinwentaryzować, należy przejść do wykonania inwentaryzacji na potrzeby wdrożenia RODO. Wykonując inwentaryzację w naszej organizacji należy:
- udokumentować wszystkie rodzaje danych osobowych, jakie przetwarzamy (istotne jest by jednocześnie określić, kategorię tych danych np. pracownicy, klienci, dostawcy, czy są to dane sensytywne/wrażliwe, czy przetwarzamy dane osób małoletnich),
- odpowiedzieć sobie na pytanie jaki jest obecny cel ich przetwarzania (może się okazać, że przetrzymujemy dane, które nie są nam już do niczego potrzebne, ani nie mamy wymogów prawnych do ich przechowywania),
- dowiedzieć się skąd przetwarzane przez nas dane pochodzą (czy zebraliśmy je sami, czy może jesteśmy procesorem),
- określić jaką mamy podstawę prawną do ich przetwarzania (czy posługujemy się zgodą a może przepisy szczegółowe nakładają na nas obowiązek przetwarzania danych),
- zidentyfikować czy przekazaliśmy komuś dane do przetwarzania i jeśli tak, to na jakiej podstawie je przekazaliśmy (należy wskazać podstawę prawną przekazania procesorowi),
- określić, czy są zabezpieczone i jeśli są to w jaki sposób (szyfrowanie, anonimizacja, dostępność),
- zidentyfikować w jakich zasobach informatycznych się znajdują (zwrócić uwagę na ich położenie – czy jest to państwo trzecie i czy w ogóle wiemy gdzie się znajdują jeśli trzymamy dane w chmurze),
- określić, jak długo zgodnie z obowiązującym prawem powinny być przetwarzane.
By łatwiej zrozumieć proces inwentaryzacji, jeśli weźmiemy jako przykład jeden zbiór danych, to jego opis inwentaryzacyjny, powinien zawierać co najmniej następujące informacje:
- nazwa zbioru,
- kategorie osób, których dane są przetwarzane,
- nazwa i dane kontaktowe administratora danych,
- nazwa i dane kontaktowe podmiotu przetwarzającego oraz identyfikator umowy powierzenia (dla zbiorów powierzonych),
- właściciel/dysponent danych,
- źródło danych,
- podstawa prawna przetwarzania danych,
- cel przetwarzania danych,
- zakres danych,
- wymagany czas przetwarzania danych (wraz z podaniem źródła, z którego wynika),
- miejsce przetwarzania,
- procesy, w ramach których dane są przetwarzane,
- systemy IT wykorzystywane do przetwarzania,
- punkty styku z innymi procesami.
Zebrane podczas inwentaryzacji zasobów dane pomogą nam w późniejszym okresie stworzyć wymagany przez rozporządzenie RODO „rejestr czynności przetwarzania” i zweryfikować legalność przetwarzanych przez nas danych.
Prawidłowo przeprowadzona inwentaryzacja zasobów i procesów przetwarzania danych osobowych oraz wskazanie występujących między tymi procesami powiązań pozwoli minimalizować ryzyko związane z ich przetwarzaniem.
Wynikiem jaki otrzymamy po inwentaryzacji procesów przetwarzania danych osobowych powinien być kompleksowy opis wszystkich procesów związanych z przetwarzaniem danych osobowych dotyczących naszej organizacji, który posłuży nam jako niezbędna pomoc do przebycia jeszcze długiej drogi, której celem jest skuteczne wdrożenie RODO. Warto więc poświęcić na ten etap naprawdę sporo wysiłku.
PRZYSTANEK NR 1 Przystanek nr 3
Jesteście zainteresowani szkoleniami podczas których m.in. dokładnie omawiamy każdy z punktów naszej mapy drogowej #ROADtoRODO?
SZCZEGÓŁOWE INFORMACJE – Szkolenie „Niuanse RODO”