Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



21.02.2019

Wdrażanie projektów AI

Infrastruktura OVH
21.02.2019

Certyfikacja kluczy

HEUTHES-CAK
21.02.2019

Kopie zapasowe

Veeam Availability for AWS
21.02.2019

Dysk SSD Samsung 970 EVO Plus

Dysk SSD Samsung 970 EVO Plus
21.02.2019

Szyfrowane USB

Kingston IronKey D300 Serialized
21.02.2019

Bezpieczeństwo sieci

Check Point Maestro i seria 6000
21.02.2019

Ochrona danych

Commvault IntelliSnap i ScaleProtect
21.02.2019

Ułatwienie telekonferencji

Plantronics Calisto 3200 i 5200
21.02.2019

Transformacja centrów danych

Fujitsu PRIMEFLEX for VMware vSAN

Rejestr czynności przetwarzania

Data publikacji: 25-01-2018 Autor: Tomasz Cygan

Wbrew licznym opiniom o odformalizowanym charakterze ochrony danych osobowych pod rządami rodo jego przepisy zawierają całkiem liczną grupę regulacji nakładających na administratora, a także na podmiot przetwarzający oraz przedstawiciela obowiązek posiadania określonej dokumentacji.

W skazać tu można choćby art.  24 ust. 2 przewidujący możliwość wdrożenia odpowiednich polityk ochrony danych czy też art. 33 ust. 5 nakładający obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych. Natomiast jednym z najważniejszych sformalizowanych obowiązków związanych z ochroną danych osobowych jest prowadzenie rejestru czynności przetwarzania przez administratora (art. 30 ust. 1 rodo) oraz rejestru kategorii czynności przetwarzania przez podmiot przetwarzający (art. 30 ust. 2 rodo).

> ZAKRESY INFORMACJI, NIEZBĘDNE MINIMUM

Na pierwszy rzut oka może wydawać się, że rejestry te – zwłaszcza rejestr czynności przetwarzania – jest zbliżony do wykazu zbiorów danych oraz określenia środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych stanowiących elementy polityki bezpieczeństwa (por. § 4 punkt 2 i punkt 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – Dz. U. z 2004 r., nr 100, poz. 1024) lub jawnego rejestru zbiorów danych (por. § 3 ust. 1 rozporządzenia Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych – Dz. U. z 2015, poz. 719). Wynika to z faktu, że wskazany wykaz i rejestr mają charakter informacyjny, a także – w zależności od decyzji administratora – może zawierać szereg informacji na temat procesów przetwarzania danych. Wynikające z przepisów prawa zakresy informacji zawartych w wykazie i rejestrze stanowią bowiem wyłącznie niezbędne minimum, które może być rozbudowane przez administratora w zależności od jego potrzeb oraz roli, jaką dokumentacja ma pełnić.

Zbieżność rejestru czynności przetwarzania (i odpowiednio rejestru kategorii czynności przetwarzania) z wykazem zbiorów danych i jawnego rejestru zbiorów danych jest jednak pozorna, i to mimo zbliżonej zawartości merytorycznej tej dokumentacji. Inny jest bowiem charakter tych dokumentów. Dotychczas obowiązujące – wykaz zbiorów danych oraz jawny rejestr zbiorów danych – nakazują, aby system ochrony danych osobowych konstruować przez pryzmat zbiorów danych. Z kolei rodo odrywa się od konstrukcji zbioru danych i w art. 30 kładzie nacisk na czynności przetwarzania danych. Nie są to jednak elementy opisane w definicji przewarzania danych (art. 4 punkt 2 rodo – „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie), a de facto cele przetwarzania danych. Jako przykład wskazać można cel przetwarzania danych – zatrudnianie pracowników, który jednocześnie stanowi czynność przetwarzania danych. W związku z tym rodo nakazuje ocenę pod kątem konkretnych potrzeb administratora związanych z przetwarzaniem danych i odwrót od kryterium zbioru danych jako elementu porządkującego ochronę danych osobowych na rzecz kryterium czynności (celu) operacji na danych osobowych.

Pewne podobieństwa rejestr czynności przetwarzania wykazuje w zestawieniu z obowiązkiem zgłaszania zbiorów do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. Obowiązek wynikający z rodo niejako zastępuje ten dotychczasowy. Rodo nie przewiduje bowiem żadnego mechanizmu notyfikowania ex lege rodzaju danych przetwarzanych przez administratora, ale także ich zakresu, celu, podstawy prawnej itp., czego wymagało zgłoszenie zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Niemniej zestaw informacji zgłaszanych do GIODO może być przydatny przy realizacji obowiązku prowadzenia rejestru czynności przetwarzania. Zwłaszcza że zakres informacji zawartych w zgłoszeniu zbioru do rejestracji (por. art. 41 ustawy o ochronie danych osobowych)1 jest bardzo zbliżony do tego, który jest niezbędny do zrealizowania obowiązku prowadzenia rejestru czynności przetwarzania2 oraz rejestru kategorii czynności przetwarzania danych3.

> OPIS TECHNICZNYCH I ORGANIZACYJNYCH ŚRODKÓW BEZPIECZEŃSTWA

Spośród wskazanych w art. 30 obligatoryjnych elementów obydwóch rejestrów pewne problemy może wywoływać obowiązek umieszczenia informacji ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rodo. Wynika to po pierwsze z faktu, że zarówno art. 30 ust. 1 lit. g i art. 30 ust. 2 lit. d posługują się sformułowaniem „o ile jest to możliwe”. Nie jest to więc element każdorazowo niezbędny w rejestrze czynności przetwarzania oraz rejestrze kategorii czynności przetwarzania. Po drugie, ma to być opis ogólny środków organizacyjnych i technicznych. Po trzecie, regulacja dotycząca rejestru czynności przetwarzania danych w zakresie ogólnego opisu odsyła do innego przepisu rodo, a konkretnie do przepisu poświęconego bezpieczeństwu przetwarzania.

[...]

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"