Zakres przedmiotowy i obszar przetwarzania danych osobowych
2011-10-21 11:14
W drugiej części poradnika poznają Państwo zakres przedmiotowy oraz obszar przetwarzania danych osobowych w dokumencie, który należy stworzyć w oparciu o przepisy ustawy o ochronie danych osobowych (dalej UODO) oraz rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej Rozporządzenie).
Przeczytaj także: Struktura zbioru danych osobowych
Zakres przedmiotowyPróżno szukać szczegółowego zakresu przedmiotowego dla polityki bezpieczeństwa w UODO. Jedyny przepis, który wspomina o dokumentacji to art. 36 ust. 1 i 2, natomiast art. 39a odsyła w tym zakresie do wspomnianego wcześniej Rozporządzenia.
Rzeczywiście, § 4 Rozporządzenia zawiera przepis definiujący zakres przedmiotowy dla interesującego nas dokumentu. Zgodnie z nim polityka bezpieczeństwa powinna w szczególności zawierać:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Zanim przejdę do omawiania poszczególnych części składowych polityki, chciałbym zwrócić uwagę na jeden istotny drobiazg, a mianowicie posłużenie się przez ustawodawcę zwrotem „w szczególności”. W nauce prawa przyjęło się używać tego zwrotu, by zakomunikować tzw. katalog otwarty, a więc zbiór jakiś przykładowych np. zasad, warunków etc. Krótko mówiąc, wspomniany wyżej § 4 Rozporządzenia zawiera coś w rodzaju niezbędnego minimum, natomiast mając na względzie choćby przyjętą w art. 36 ust. 1 UODO zasadę adekwatności stosowanych środków technicznych i organizacyjnych do zagrożeń i kategorii przetwarzanych danych, spokojnie można sobie wyobrazić jeszcze inne, ważne do odnotowania w polityce bezpieczeństwa zasady czy wytyczne, które służą do ochrony danych osobowych.
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
Określając obszar przetwarzania danych osobowych należy mieć na względzie definicję pojęcia przetwarzania danych. Chodzi zatem o to, by uwzględnić w naszym opisie zarówno miejsca, w których wykonuje się operacje na danych osobowych (np. wpisuje, modyfikuje, kopiuje), jak również miejsca, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z kartotekami papierowymi, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe, jak np. macierze dyskowe, na których dane osobowe są przetwarzane na bieżąco). Nie wolno również zapominać o miejscach, do których trafia sprzęt przeznaczony np. do utylizacji lub zniszczenia (np. dyski twarde, dyski serwerowe), a także pomieszczenia, w których przechowywane są kopie zapasowe. Te ostatnie przechowywane są czasami, zwłaszcza przez duże firmy, w skrytkach bankowych, a to oznacza że w naszej polityce bezpieczeństwa muszą pojawić się w opisie również te miejsca.
Na koniec należy również bezwzględnie pamiętać o podmiotach, którym powierzyliśmy dane do przetwarzania np. firma, w której hostujemy bazę danych osobowych. W takim przypadku musimy uzyskać stosowne informacje od takiego podmiotu.
Przygotowując rozdział polityki bezpieczeństwa poświęcony obszarowi przetwarzania danych warto sięgnąć po tabelę, w której w łatwy i przejrzysty sposób możemy zaprezentować poszczególne budynki i pomieszczenia. To dobra i wielokrotnie stosowana przeze mnie metoda, którą jak najbardziej polecam.
Przeczytaj także:
Polityka bezpieczeństwa ochrony danych osobowych
oprac. : Michał Sztąberek / iSecure
Więcej na ten temat:
przetwarzanie danych osobowych, dane osobowe, ochrona danych osobowych, UODO, zbiory danych osobowych