Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Rejestr czynności przetwarzania

Data publikacji: 25-01-2018 Autor: Tomasz Cygan

Wbrew licznym opiniom o odformalizowanym charakterze ochrony danych osobowych pod rządami rodo jego przepisy zawierają całkiem liczną grupę regulacji nakładających na administratora, a także na podmiot przetwarzający oraz przedstawiciela obowiązek posiadania określonej dokumentacji.

W skazać tu można choćby art.  24 ust. 2 przewidujący możliwość wdrożenia odpowiednich polityk ochrony danych czy też art. 33 ust. 5 nakładający obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych. Natomiast jednym z najważniejszych sformalizowanych obowiązków związanych z ochroną danych osobowych jest prowadzenie rejestru czynności przetwarzania przez administratora (art. 30 ust. 1 rodo) oraz rejestru kategorii czynności przetwarzania przez podmiot przetwarzający (art. 30 ust. 2 rodo).

> ZAKRESY INFORMACJI, NIEZBĘDNE MINIMUM

Na pierwszy rzut oka może wydawać się, że rejestry te – zwłaszcza rejestr czynności przetwarzania – jest zbliżony do wykazu zbiorów danych oraz określenia środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych stanowiących elementy polityki bezpieczeństwa (por. § 4 punkt 2 i punkt 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – Dz. U. z 2004 r., nr 100, poz. 1024) lub jawnego rejestru zbiorów danych (por. § 3 ust. 1 rozporządzenia Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych – Dz. U. z 2015, poz. 719). Wynika to z faktu, że wskazany wykaz i rejestr mają charakter informacyjny, a także – w zależności od decyzji administratora – może zawierać szereg informacji na temat procesów przetwarzania danych. Wynikające z przepisów prawa zakresy informacji zawartych w wykazie i rejestrze stanowią bowiem wyłącznie niezbędne minimum, które może być rozbudowane przez administratora w zależności od jego potrzeb oraz roli, jaką dokumentacja ma pełnić.

Zbieżność rejestru czynności przetwarzania (i odpowiednio rejestru kategorii czynności przetwarzania) z wykazem zbiorów danych i jawnego rejestru zbiorów danych jest jednak pozorna, i to mimo zbliżonej zawartości merytorycznej tej dokumentacji. Inny jest bowiem charakter tych dokumentów. Dotychczas obowiązujące – wykaz zbiorów danych oraz jawny rejestr zbiorów danych – nakazują, aby system ochrony danych osobowych konstruować przez pryzmat zbiorów danych. Z kolei rodo odrywa się od konstrukcji zbioru danych i w art. 30 kładzie nacisk na czynności przetwarzania danych. Nie są to jednak elementy opisane w definicji przewarzania danych (art. 4 punkt 2 rodo – „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie), a de facto cele przetwarzania danych. Jako przykład wskazać można cel przetwarzania danych – zatrudnianie pracowników, który jednocześnie stanowi czynność przetwarzania danych. W związku z tym rodo nakazuje ocenę pod kątem konkretnych potrzeb administratora związanych z przetwarzaniem danych i odwrót od kryterium zbioru danych jako elementu porządkującego ochronę danych osobowych na rzecz kryterium czynności (celu) operacji na danych osobowych.

Pewne podobieństwa rejestr czynności przetwarzania wykazuje w zestawieniu z obowiązkiem zgłaszania zbiorów do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. Obowiązek wynikający z rodo niejako zastępuje ten dotychczasowy. Rodo nie przewiduje bowiem żadnego mechanizmu notyfikowania ex lege rodzaju danych przetwarzanych przez administratora, ale także ich zakresu, celu, podstawy prawnej itp., czego wymagało zgłoszenie zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Niemniej zestaw informacji zgłaszanych do GIODO może być przydatny przy realizacji obowiązku prowadzenia rejestru czynności przetwarzania. Zwłaszcza że zakres informacji zawartych w zgłoszeniu zbioru do rejestracji (por. art. 41 ustawy o ochronie danych osobowych)1 jest bardzo zbliżony do tego, który jest niezbędny do zrealizowania obowiązku prowadzenia rejestru czynności przetwarzania2 oraz rejestru kategorii czynności przetwarzania danych3.

> OPIS TECHNICZNYCH I ORGANIZACYJNYCH ŚRODKÓW BEZPIECZEŃSTWA

Spośród wskazanych w art. 30 obligatoryjnych elementów obydwóch rejestrów pewne problemy może wywoływać obowiązek umieszczenia informacji ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rodo. Wynika to po pierwsze z faktu, że zarówno art. 30 ust. 1 lit. g i art. 30 ust. 2 lit. d posługują się sformułowaniem „o ile jest to możliwe”. Nie jest to więc element każdorazowo niezbędny w rejestrze czynności przetwarzania oraz rejestrze kategorii czynności przetwarzania. Po drugie, ma to być opis ogólny środków organizacyjnych i technicznych. Po trzecie, regulacja dotycząca rejestru czynności przetwarzania danych w zakresie ogólnego opisu odsyła do innego przepisu rodo, a konkretnie do przepisu poświęconego bezpieczeństwu przetwarzania.

[...]

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"