Zakres przedmiotowy i obszar przetwarzania danych osobowych

Przeczytaj także: Struktura zbioru danych osobowych

Zakres przedmiotowy

Próżno szukać szczegółowego zakresu przedmiotowego dla polityki bezpieczeństwa w UODO. Jedyny przepis, który wspomina o dokumentacji to art. 36 ust. 1 i 2, natomiast art. 39a odsyła w tym zakresie do wspomnianego wcześniej Rozporządzenia.

Rzeczywiście, § 4 Rozporządzenia zawiera przepis definiujący zakres przedmiotowy dla interesującego nas dokumentu. Zgodnie z nim polityka bezpieczeństwa powinna w szczególności zawierać:

• wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
• wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
• opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
• sposób przepływu danych pomiędzy poszczególnymi systemami,
• określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Zanim przejdę do omawiania poszczególnych części składowych polityki, chciałbym zwrócić uwagę na jeden istotny drobiazg, a mianowicie posłużenie się przez ustawodawcę zwrotem „w szczególności”. W nauce prawa przyjęło się używać tego zwrotu, by zakomunikować tzw. katalog otwarty, a więc zbiór jakiś przykładowych np. zasad, warunków etc. Krótko mówiąc, wspomniany wyżej § 4 Rozporządzenia zawiera coś w rodzaju niezbędnego minimum, natomiast mając na względzie choćby przyjętą w art. 36 ust. 1 UODO zasadę adekwatności stosowanych środków technicznych i organizacyjnych do zagrożeń i kategorii przetwarzanych danych, spokojnie można sobie wyobrazić jeszcze inne, ważne do odnotowania w polityce bezpieczeństwa zasady czy wytyczne, które służą do ochrony danych osobowych.

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

Określając obszar przetwarzania danych osobowych należy mieć na względzie definicję pojęcia przetwarzania danych. Chodzi zatem o to, by uwzględnić w naszym opisie zarówno miejsca, w których wykonuje się operacje na danych osobowych (np. wpisuje, modyfikuje, kopiuje), jak również miejsca, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z kartotekami papierowymi, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe, jak np. macierze dyskowe, na których dane osobowe są przetwarzane na bieżąco). Nie wolno również zapominać o miejscach, do których trafia sprzęt przeznaczony np. do utylizacji lub zniszczenia (np. dyski twarde, dyski serwerowe), a także pomieszczenia, w których przechowywane są kopie zapasowe. Te ostatnie przechowywane są czasami, zwłaszcza przez duże firmy, w skrytkach bankowych, a to oznacza że w naszej polityce bezpieczeństwa muszą pojawić się w opisie również te miejsca.

Na koniec należy również bezwzględnie pamiętać o podmiotach, którym powierzyliśmy dane do przetwarzania np. firma, w której hostujemy bazę danych osobowych. W takim przypadku musimy uzyskać stosowne informacje od takiego podmiotu.

Przygotowując rozdział polityki bezpieczeństwa poświęcony obszarowi przetwarzania danych warto sięgnąć po tabelę, w której w łatwy i przejrzysty sposób możemy zaprezentować poszczególne budynki i pomieszczenia. To dobra i wielokrotnie stosowana przeze mnie metoda, którą jak najbardziej polecam.