Przygotowujesz politykę bezpieczeństwa? Sprawdź, jak prawidłowo opisać strukturę zbiorów danych

W swoich wytycznych, które dotyczą opracowania i wdrożenia polityki bezpieczeństwa (Zakładka porady i wskazówki na stronie organu), GIODO wskazuje, że bardzo częstym błędem popełnianym przez administratorów danych jest utożsamianie wykazu zbiorów danych oraz opisu struktury tych zbiorów, które są częścią polityki bezpieczeństwa, z rejestrem zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 uodo.

Taki rejestr prowadzi się jedynie, jeśli administrator danych powoła administratora bezpieczeństwa informacji. Należy pamiętać, że jego zakres jest inny niż wykaz zbiorów danych i opis ich struktury. Prowadzenie takiego rejestru nie wyklucza również obowiązku wskazania zbiorów danych oraz opisu ich struktury w polityce bezpieczeństwa.

Zgodnie z uodo administrator danych musi zastosować środki, które zapewnią ochronę przetwarzanych danych osobowych. W szczególności musi zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Musi też zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. To właśnie, aby zrealizować te obowiązki, należy wykazać strukturę zbioru danych.

To, do jakiego zakresu danych ma dostęp pracownik, ADO kontroluje poprzez udzielane mu upoważnienia. W praktyce zakres danych, do których osoba upoważniona ma dostęp, wskazuje się najczęściej w odniesieniu do zbiorów danych osobowych, których administratorem jest podmiot nadający upoważnienie. Upoważnienie takie odnosi się zatem wprost do wykazu zbiorów danych, które wchodzą w skład polityki bezpieczeństwa.

Zgodnie z rozporządzeniem MAiC w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji, jeżeli ABI się dowie o naruszeniu ochrony danych osobowych lub będzie miał uzasadnione podejrzenie, że do takiego naruszenia mogło dojść, przeprowadza sprawdzenie doraźne.

Jeżeli zatem incydent polega np. na zgubieniu przez pracownika nośnika z danymi osobowymi, to weryfikując zakres upoważnienia takiego pracownika i odnosząc go do opisu struktury zbiorów danych, ABI dowie się, do jakich konkretnie danych pracownik ma dostęp, a więc przetwarzanie, jakich danych jest objęte naruszeniem.

Opis struktury zbiorów danych sprowadza się w praktyce do wskazania zakresu danych, które są przetwarzane w poszczególnych zbiorach. Można to zrobić, wymieniając kategorie przetwarzanych w zbiorze danych osobowych. Jak wskazuje GIODO w swoich wytycznych, taki zakres może być określony również relacyjnie. W takim przypadku zakres danych będzie zależny od relacji ustalonych pomiędzy poszczególnymi elementami w zbiorze. Jeśli ADO zdecyduje się na tę formę, musi wskazać zarówno zakresy danych, jak i istniejące między nimi relacje. Dzięki temu określi pełny zakres danych osobowych przetwarzanych w zbiorze.

Jak precyzuje w swoich wytycznych GIODO, wskazując powiązania pól informacyjnych w strukturze zbiorów danych, należy podać wszystkie dane, które poprzez relacje można przypisać określonej osobie.

Umiejętność właściwego opisu struktury zbioru danych i określenia zakresu przetwarzanych danych będzie również przydatna na gruncie ogólnego rozporządzenia o ochronie danych (tj. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE), które będzie stosowane od 25 maja 2018 r.

Zgodnie z art. 30 ogólnego rozporządzenia administrator będzie musiał prowadzić rejestr czynności przetwarzania, który również powinien zawierać opis kategorii danych. W przypadku niektórych naruszeń ochrony danych będzie musiał także poinformować o nich podmioty danych (art. 34 ogólnego rozporządzenia).

Opis kategorii danych pozwoli ADO zidentyfikować, jakie dane są objęte naruszeniem, a zatem dopełnić obowiązku poinformowania osób, których dane dotyczą o naruszeniu. Właściwy opis tego, co w obecnym stanie prawnym nazywa się „opisem struktury zbioru danych”, będzie nawet bardziej istotne pod rządami europejskiego rozporządzenia ogólnego o ochronie danych.