Jednym z obowiązków administratora bezpieczeństwa informacji – powołanego i zgłoszonego do GIODO – jest prowadzenie jawnego rejestru zbiorów danych osobowych przetwarzanych przez administratora danych. Dowiedz się, czy zgodnie z ogólnym rozporządzeniem o ochronie danych osobowych również trzeba będzie go prowadzić.
Ogólne rozporządzenie o ochronie danych wskazuje, że aby spełnić wymogi, które z niego wynikają, konieczne jest wdrożenie przez administratorów danych odpowiednich środków służących ochronie danych. Rozporządzenie wymaga zatem aktywnej postawy administratorów danych i zobowiązuje ich do:
1) uwzględniania ochrony danych w fazie projektowania (privacy by design),
2) domyślnej ochrony danych (privacy by default),
3) oceny skutków przetwarzania dla ochrony danych osobowych,
4) prowadzenia konsultacji z organem nadzorczym,
5) rejestrowania czynności przetwarzania.
Administrator danych musi projektować swoje usługi bądź produkty w taki sposób, aby potrzeba wykorzystania danych osobowych była jak najmniejsza (zasada privacy by default). Musi także uwzględniać ochronę danych już na etapie projektowania swoich usług bądź produktów (zasada privacy by design).
Jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia ochrony danych osobowych, ADO powinien jeszcze przed rozpoczęciem przetwarzania przeprowadzić ocenę skutków przetwarzania dla ochrony danych osobowych. Może być również zobowiązany do skonsultowania się z organem nadzorczym, jeśli w wyniku przeprowadzonej oceny ustali, że planowane przetwarzanie danych wiąże się z wysokim ryzykiem.
Administrator danych może być też zobowiązany do prowadzenia rejestru czynności przetwarzania danych, w którym muszą znaleźć się informacje m.in. o kategorii danych osobowych i celach przetwarzania.
Ogólne rozporządzenie znosi obowiązek rejestracji zbiorów danych osobowych, a zatem rezygnuje z administracyjnego trybu kontroli przetwarzania danych osobowych. Procedurę tę zastępują nowe obowiązki administratorów danych, w szczególności te związane z oceną skutków przetwarzania dla ochrony danych osobowych oraz prowadzeniem rejestru czynności przetwarzania.
Gdy planowane przetwarzanie danych będzie się wiązać z dużym ryzykiem i koniecznością podjęcia środków w celu jego zminimalizowania, ADO będzie musiał przeprowadzić konsultacje z krajowym organem nadzorczym. Konsultacje te będą prowadzone przed rozpoczęciem przetwarzania danych.
Jeżeli organ nadzorczy uzna, że planowane operacje przetwarzania danych stanowiłyby naruszenie postanowień rozporządzenia, wówczas udzieli administratorowi w terminie do ośmiu tygodni pisemnego zalecenia. Może także skorzystać z dowolnego ze swych uprawnień określonych w rozporządzeniu, np. wydać ostrzeżenie dotyczące możliwości naruszenia przepisów rozporządzenia poprzez planowane operacje przetwarzania. Zatem, zamiast rejestrować zbiory danych osobowych, administrator będzie musiał stworzyć dokumentację obrazującą przeprowadzenie oceny ryzyka przetwarzania danych i potrzebną dla ewentualnego prowadzenia konsultacji z krajowym organem nadzorczym.
Administrator nie będzie musiał samodzielnie wykonywać obowiązków, które nakłada na niego unijne rozporządzenie. Będzie mógł powołać inspektora ochrony danych osobowych, a w przypadkach określonych w rozporządzeniu będzie miał wręcz taki obowiązek. Inspektor ochrony danych będzie służył administratorowi wsparciem m.in. w przygotowaniu dokumentacji związanej z oceną ryzyka planowanych operacji przetwarzania danych osobowych oraz w prowadzeniu rejestru czynności przetwarzania danych.
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych nie dotyczy każdego administratora danych osobowych. Obowiązek ten nie obejmuje bowiem przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego te podmioty dokonują:
Z chwilą, gdy ogólne rozporządzenie zacznie obowiązywać, administrator będzie zwolniony z obowiązku rejestrowania zbiorów danych osobowych u GIODO niezależnie od tego, jakie dane te zbiory mają zawierać. Nie będzie także musiał prowadzić wewnętrznego rejestru zbiorów danych osobowych w takim kształcie, jaki wymagają tego obecnie obowiązujące polskie przepisy. Zamiast tego będzie zobowiązany do prowadzenia rejestru czynności przetwarzania danych (jeśli zatrudnia 250 osób lub więcej albo zatrudnia mniej niż 250 osób, jednak przetwarza dane o określonym charakterze i w określony sposób).
Ogólne rozporządzenie wymaga, aby rejestr czynności przetwarzania danych osobowych zawierał określone informacje. Ustala przy tym sposób prowadzenia rejestru, wskazując, że ma on mieć formę pisemną. Jako formę pisemną rozporządzenie nakazuje traktować także formę elektroniczną. Na żądanie organu nadzorczego administrator danych powinien udostępnić mu prowadzony przez siebie rejestr.
Rejestr czynności przetwarzania danych powinien zawierać następujące elementy:
Analizując wykaz elementów, które musi zawierać rejestr czynności przetwarzania danych osobowych, można stwierdzić, że jest on w swojej strukturze podobny do rejestru zbioru danych osobowych, do którego prowadzenia zobowiązani są obecnie ABI. Do rejestru zbiorów wprowadza się i wykreśla zbiory danych, a w odniesieniu do każdego zbioru danych umieszcza się określone informacje dotyczące tego zbioru i przetwarzanych w nim danych osobowych.
Rejestr czynności przetwarzania powinien z kolei zawierać opis kategorii osób, których dane dotyczą, a następnie przypisany danej kategorii opis kategorii danych osobowych, cele przetwarzania, czy planowane terminy usunięcia poszczególnych kategorii danych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl