Struktura zbioru danych osobowych
2011-10-25 12:14
Przeczytaj także: Zakres przedmiotowy i obszar przetwarzania danych osobowych
Dotychczas przedstawiliśmy Czytelnikom niezbędne definicje dotyczące polityki bezpieczeństwa ochrony danych osobowych oraz zakres przedmiotowy tworzonego dokumentu dotyczącego polityki bezpieczeństwa ochrony danych osobowych. Zajmijmy się w niniejszej, trzeciej części poradnika strukturą zbioru danych.Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
Jeżeli identyfikacja zbiorów stanowiła wyzwanie, to przygotowanie opisu struktury zbiorów danych może okazać się naprawdę trudnym zadaniem. Szczerze powiedziawszy, ta część polityki bezpieczeństwa wydaje się być najbardziej skomplikowana i nawet osoby mające pewne pojęcie w zakresie ochrony danych osobowych mają z tym problem.
Pierwszą rzeczą jaką musimy zrobić jest wskazanie kategorii danych, które znajdują się w poszczególnych polach informacyjnych programu (programów), które służą do przetwarzania danych. Jak podkreśla GIODO, jeżeli możliwa jest niejednoznaczna interpretacja zawartości pola informacyjnego, jego opis powinien wskazywać nie tylko kategorię danych, ale również format ich zapisu i/lub określone w danym kontekście znaczenie. Należy również pamiętać, że na katalog danych osobowych zawartych w poszczególnych polach mogą zawierać się informacje znajdujące się w różnych bazach danych.
Na szczęście nie jest wymagane przez GIODO przedstawienie pełnej dokumentacji struktury bazy danych z wyszczególnieniem oryginalnych nazw, natomiast ważne jest, by opis struktury zbiorów był przedstawiony w sposób czytelny i zrozumiały nie tylko dla informatyka, ale przede wszystkim dla zwykłego użytkownika.
Opis struktury zbiorów może być przedstawiony na różne sposoby:
- w formie graficznej,
- w formie tabel pokazujących powiązania,
- w formie opisu słownego.
Sposób przepływu danych pomiędzy poszczególnymi systemami
W tej części polityki bezpieczeństwa opisujemy sposób współpracy pomiędzy różnymi systemami informatycznymi oraz relacje jakie istnieją pomiędzy danymi osobowymi przetwarzanymi w tych systemach. Dla wygody możemy tworzyć schematy pokazujące relacje między nimi, przy czym w moim odczuciu to najlepsza metoda na ich dokładne przedstawienie. Oczywiście możemy zrobić to także poprzez zwykły opis, pod tym względem mamy pełną swobodę.
Bez względu na to, czy zdecydujemy się na schematy czy na opis, wskazujemy jakie dane osobowe przenoszone są pomiędzy poszczególnymi systemami informatycznymi. Pokazujemy również sposób w jaki przenoszone są dane osobowe np. manualnie, automatycznie, półautomatycznie np. poprzez teletransmisję danych, przy czym nie jest wymagane szczegółowe omawianie rozwiązań technologicznych. Tym co musi być jednak pokazane będzie wskazanie ogólnych sposobów przesyłania danych np. internet, mail. Ponadto trzeba wskazać podmioty (lub krąg podmiotów), które uczestniczą w przekazywaniu danych np. ZUS przy aplikacji Płatnik.
oprac. : Michał Sztąberek / iSecure