Przygotowujesz politykę bezpieczeństwa? Sprawdź, jak prawidłowo opisać strukturę zbiorów danych

Monika Brzozowska-Pasieka

Autor: Jan Tyski

Dodano: 27 lutego 2017
Dokument archiwalny
Przygotowujesz politykę bezpieczeństwa? Sprawdź, jak prawidłowo opisać strukturę zbiorów danych

Administrator danych ma obowiązek prowadzić dokumentację opisującą m.in. sposób przetwarzania danych. To, w jaki sposób należy prowadzić dokumentację i jaki powinna mieć zakres, określa rozporządzenie w sprawie dokumentacji przetwarzania danych. Na dokumentację ochrony danych składa się m.in. polityka bezpieczeństwa. Musi ona zawierać m.in. opis struktury zbiorów danych. Sprawdź, jak go przygotować.

W swoich wytycznych, które dotyczą opracowania i wdrożenia polityki bezpieczeństwa (Zakładka porady i wskazówki na stronie organu), GIODO wskazuje, że bardzo częstym błędem popełnianym przez administratorów danych jest utożsamianie wykazu zbiorów danych oraz opisu struktury tych zbiorów, które są częścią polityki bezpieczeństwa, z rejestrem zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 uodo.

Taki rejestr prowadzi się jedynie, jeśli administrator danych powoła administratora bezpieczeństwa informacji. Należy pamiętać, że jego zakres jest inny niż wykaz zbiorów danych i opis ich struktury. Prowadzenie takiego rejestru nie wyklucza również obowiązku wskazania zbiorów danych oraz opisu ich struktury w polityce bezpieczeństwa.

Do czego przydaje się opis struktury zbiorów

Zgodnie z uodo administrator danych musi zastosować środki, które zapewnią ochronę przetwarzanych danych osobowych. W szczególności musi zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Musi też zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. To właśnie, aby zrealizować te obowiązki, należy wykazać strukturę zbioru danych.

To, do jakiego zakresu danych ma dostęp pracownik, ADO kontroluje poprzez udzielane mu upoważnienia. W praktyce zakres danych, do których osoba upoważniona ma dostęp, wskazuje się najczęściej w odniesieniu do zbiorów danych osobowych, których administratorem jest podmiot nadający upoważnienie. Upoważnienie takie odnosi się zatem wprost do wykazu zbiorów danych, które wchodzą w skład polityki bezpieczeństwa.

Zgodnie z rozporządzeniem MAiC w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji, jeżeli ABI się dowie o naruszeniu ochrony danych osobowych lub będzie miał uzasadnione podejrzenie, że do takiego naruszenia mogło dojść, przeprowadza sprawdzenie doraźne.

Jeżeli zatem incydent polega np. na zgubieniu przez pracownika nośnika z danymi osobowymi, to weryfikując zakres upoważnienia takiego pracownika i odnosząc go do opisu struktury zbiorów danych, ABI dowie się, do jakich konkretnie danych pracownik ma dostęp, a więc przetwarzanie, jakich danych jest objęte naruszeniem.

W jaki sposób musisz opisać strukturę zbiorów

Opis struktury zbiorów danych sprowadza się w praktyce do wskazania zakresu danych, które są przetwarzane w poszczególnych zbiorach. Można to zrobić, wymieniając kategorie przetwarzanych w zbiorze danych osobowych. Jak wskazuje GIODO w swoich wytycznych, taki zakres może być określony również relacyjnie. W takim przypadku zakres danych będzie zależny od relacji ustalonych pomiędzy poszczególnymi elementami w zbiorze. Jeśli ADO zdecyduje się na tę formę, musi wskazać zarówno zakresy danych, jak i istniejące między nimi relacje. Dzięki temu określi pełny zakres danych osobowych przetwarzanych w zbiorze.

Jak precyzuje w swoich wytycznych GIODO, wskazując powiązania pól informacyjnych w strukturze zbiorów danych, należy podać wszystkie dane, które poprzez relacje można przypisać określonej osobie.

Jakie zmiany wprowadzi unijne rozporządzenie o ochronie danych

Umiejętność właściwego opisu struktury zbioru danych i określenia zakresu przetwarzanych danych będzie również przydatna na gruncie ogólnego rozporządzenia o ochronie danych (tj. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE), które będzie stosowane od 25 maja 2018 r.

Zgodnie z art. 30 ogólnego rozporządzenia administrator będzie musiał prowadzić rejestr czynności przetwarzania, który również powinien zawierać opis kategorii danych. W przypadku niektórych naruszeń ochrony danych będzie musiał także poinformować o nich podmioty danych (art. 34 ogólnego rozporządzenia).

Opis kategorii danych pozwoli ADO zidentyfikować, jakie dane są objęte naruszeniem, a zatem dopełnić obowiązku poinformowania osób, których dane dotyczą o naruszeniu. Właściwy opis tego, co w obecnym stanie prawnym nazywa się „opisem struktury zbioru danych”, będzie nawet bardziej istotne pod rządami europejskiego rozporządzenia ogólnego o ochronie danych.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922 ze zm.),
  • rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024),
  • rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745).
Monika Brzozowska-Pasieka

Autor: Jan Tyski

specjalista ds. ochrony danych osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel