Tworząc system zarządzania bezpieczeństwem przetwarzania danych osobowych, należy przeprowadzić inwentaryzację wszystkich aktywów, jakimi dysponuje jednostka, rozumianych jako: informacje i związane z nimi procesy, systemy i sieci teleinformatyczne. Dla bezpieczeństwa danych osobowych – w tym dla zapewnienia, że dane osobowe udostępniane będą wyłącznie osobom do tego uprawnionym– inwentaryzacja taka powinna uwzględniać przyjęte zasady klasyfi kacji przetwarzanych informacji. Przepisem rodo zobowiązującym administratorów danych i podmioty przetwarzające do wprowadzenia takiej inwentaryzacji jest art. 30 rodo dotyczący rejestrowania czynności przetwarzania. Przepis ten, podobnie jak obecnie obowiązująca uodo, w szczególnych przypadkach wymaga prowadzenia rejestru czynności przetwarzania danych osobowych. Jego zawartość przypomina rejestr zbiorów danych osobowych, do prowadzenia którego zobowiązani są obecnie ABI. Wprowadzony w rodo tzw. rejestr czynności przetwarzania należy rozumieć jako wykaz przetwarzanych zbiorów danych, na które dzieli się wszystkie przetwarzane u danego administratora danych informacje ze względu na: zakres przetwarzanych danych, cele przetwarzania oraz kategorie odbiorców, którym dane zostają udostępnione. Za takim rozumieniem pojęcia „czynności przetwarzania” przemawia, wymagany w art. 30 ust. 1 pkt a – pkt g oraz art. 30 ust. 2 pkt a do pkt d rodo opis tych czynności. Z wykazu tego jasno wynika, że przez pojęcie „czynności przetwarzania” nie należy rozumieć poszczególnych etapów przetwarzania danych w ramach danego zbioru – takich jak pozyskiwanie danych, wysyłanie do podmiotów danych określonego rodzaju informacji, usuwanie danych oraz wykonywanie na zgromadzonych danych określonego rodzaju operacji (jak np.naliczenie zobowiązania podatkowego itp.), lecz wszystkie operacje globalnie na określonym zbiorze danych. Granice takiego zbioru mają być wyznaczane nie przez poszczególne cząstkowe operacje przetwarzania, lecz przez wskaźniki wymienione odpowiednio w art. 30 ust. 1 pkt. a–g i w art. 30 ust. 2 pkt. a–d (takie jak: zakres danych, cel przetwarzania, kategorie ich odbiorców itp.), które pozwalają pogrupować wszystkie przetwarzane przez danego administratora dane w jeden lub kilka zbiorów.
Prowadzenie wspomnianego rejestru czynności przetwarzania nie jest jednak obowiązkiem powszechnym. Zgodnie z art. 30 ust. 5 rodo, do prowadzenia ww. rejestrów zobowiązani są administratorzy i podmioty przetwarzające, którzy zatrudniają 250 lub więcej osób oraz gdy:
• dokonują systematycznego przetwarzania mogącego powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, lub
• dokonują przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub
• przetwarzają dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 rodo.
W rejestrze prowadzonym przez podmioty przetwarzające nie podaje się celu przetwarzania i kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione, oraz planowanych terminów usunięcia poszczególnych kategorii danych.
Artykuł 30 rodo – ze względu na wskazane tam ograniczenia dotyczące obowiązku prowadzenia rejestracji czynności przetwarzania tylko do podmiotów zatrudniających więcej niż 250 osób lub przypadków przetwarzania szczególnych kategorii danych oraz gdy przetwarzanie danych może spowodować duże ryzyko naruszenia praw i wolności – należy traktować jako wymaganie minimalne w tym zakresie. Prowadzenie ww. rejestru nie zwalnia z prowadzenia innych ewidencji przetwarzanych aktywów, jeśli wynika to z analizy zagrożeń lub z zastosowanej metodyki budowy systemu zarządzania bezpieczeństwem informacji.
RODO: Inwentaryzacja danych osobowych(lokalny rejestr zbiorów, rejestr czynności i operacji)
- Szczegóły
- Odsłony: 5442