Zakres przedmiotowy i obszar przetwarzania danych osobowych
2011-10-21 11:14
Przeczytaj także: Struktura zbioru danych osobowych
Zakres przedmiotowyPróżno szukać szczegółowego zakresu przedmiotowego dla polityki bezpieczeństwa w UODO. Jedyny przepis, który wspomina o dokumentacji to art. 36 ust. 1 i 2, natomiast art. 39a odsyła w tym zakresie do wspomnianego wcześniej Rozporządzenia.
Rzeczywiście, § 4 Rozporządzenia zawiera przepis definiujący zakres przedmiotowy dla interesującego nas dokumentu. Zgodnie z nim polityka bezpieczeństwa powinna w szczególności zawierać:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Zanim przejdę do omawiania poszczególnych części składowych polityki, chciałbym zwrócić uwagę na jeden istotny drobiazg, a mianowicie posłużenie się przez ustawodawcę zwrotem „w szczególności”. W nauce prawa przyjęło się używać tego zwrotu, by zakomunikować tzw. katalog otwarty, a więc zbiór jakiś przykładowych np. zasad, warunków etc. Krótko mówiąc, wspomniany wyżej § 4 Rozporządzenia zawiera coś w rodzaju niezbędnego minimum, natomiast mając na względzie choćby przyjętą w art. 36 ust. 1 UODO zasadę adekwatności stosowanych środków technicznych i organizacyjnych do zagrożeń i kategorii przetwarzanych danych, spokojnie można sobie wyobrazić jeszcze inne, ważne do odnotowania w polityce bezpieczeństwa zasady czy wytyczne, które służą do ochrony danych osobowych.
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
Określając obszar przetwarzania danych osobowych należy mieć na względzie definicję pojęcia przetwarzania danych. Chodzi zatem o to, by uwzględnić w naszym opisie zarówno miejsca, w których wykonuje się operacje na danych osobowych (np. wpisuje, modyfikuje, kopiuje), jak również miejsca, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z kartotekami papierowymi, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe, jak np. macierze dyskowe, na których dane osobowe są przetwarzane na bieżąco). Nie wolno również zapominać o miejscach, do których trafia sprzęt przeznaczony np. do utylizacji lub zniszczenia (np. dyski twarde, dyski serwerowe), a także pomieszczenia, w których przechowywane są kopie zapasowe. Te ostatnie przechowywane są czasami, zwłaszcza przez duże firmy, w skrytkach bankowych, a to oznacza że w naszej polityce bezpieczeństwa muszą pojawić się w opisie również te miejsca.
Na koniec należy również bezwzględnie pamiętać o podmiotach, którym powierzyliśmy dane do przetwarzania np. firma, w której hostujemy bazę danych osobowych. W takim przypadku musimy uzyskać stosowne informacje od takiego podmiotu.
Przygotowując rozdział polityki bezpieczeństwa poświęcony obszarowi przetwarzania danych warto sięgnąć po tabelę, w której w łatwy i przejrzysty sposób możemy zaprezentować poszczególne budynki i pomieszczenia. To dobra i wielokrotnie stosowana przeze mnie metoda, którą jak najbardziej polecam.
oprac. : Michał Sztąberek / iSecure
Przeczytaj także
-
Rosną obawy o bezpieczeństwo danych osobowych
-
UODO: kary za brak zgłoszenia naruszenia ochrony danych osobowych
-
Retencja danych osobowych pracowników - jak ją prowadzić?
-
Wrażliwe dane osobowe abonentów muszą być przekazywane do GUS. W jakim celu?
-
Kary za naruszanie przepisów RODO są wysokie
-
Facebook ukarany grzywną w wysokości 1,2 miliarda euro
-
Sharenting, czyli jak narażasz swoje dziecko na kradzież tożsamości
-
Wysyłka firmowych kartek świątecznych. Co na to RODO?
-
Powierzenie przetwarzania danych osobowych a ich udostępnienie - jakie różnice?