4180441116

Inwentaryzacja danych osób fizycznych

Wdrożenie systemu ochrony danych osobowych w przedsiębiorstwie powinno zostać poprzedzone inwentaryzacją danych osób fizycznych, prawidłowym wyodrębnieniem zbiorów takich danych oraz ustaleniem wymagań, jakie powinien spełniać system, aby w pełni zabezpieczyć procesy związane z przetwarzaniem danych osobowych. Inwentaryzacja powinna opierać się na analizie problemu w trzech płaszczyznach: prawnej, technicznej oraz organizacyjnej. W obszarach tych należy prawidłowo sformułować odpowiedź na wiele pytań, takich między innymi jak:

Aspekty prawne:

■    Jakie dane osobowe w rozumieniu ustawy o ochronie danych osobowych są przetwarzane przez przedsiębiorstwo?

■    Czy są wśród nich dane o charakterze sensytywnym?

■    Jakie można wyróżnić zbiory danych?

■    Czy zbiory podlegają rejestracji?

■    Jaka jest podstawa prawna przetwarzania danych i czy właściwie określono podstawy prawne przetwarzania danych?

■    Jaki jest zakres danych w poszczególnych zbiorach?

■    Czy wypełniono właściwie obowiązek informacyjny?

■    Czy nie naruszono zakazu rozstrzygania spraw dotyczących osób wyłącznie poprzez operacje na danych osobowych?

■    Czy przetwarzanie danych odbywa się zgodnie z celem i zakresem?

■    Czy zbiory danych są powierzane innym podmiotom?

■    Czy zawarto właściwe umowy powierzenia przetwarzania danych?

■    Czy powierzenie danych jest zgodne z celem i zakresem ich przetwarzania?

- Itd.

Aspekty organizacyjne:

•    Kto w ramach przedsiębiorstwa i danego departamentu odpowiada za ochronę danych osobowych?

•    Czy osoby przetwarzające dane posiadają ważne upoważnienia do przetwarzania danych osobowych w ramach poszczególnych zbiorów?

•    Czy są realizowane szczegółowe procedury przetwarzania danych osobowych?

•    Czy wdrożono procedury udostępniania danych oraz odmowy udostępniania?

•    Czy właściwie przeszkolono w w/w zakresie pracowników?

•    Czy udostępnianie jest rejestrowane?

•    Czy ustalono szczegółowe procedury związane z realizacją umów powierzenia?

•    W jaki sposób weryfikuje się powierzeniobiorców pod względem zapewnienia właściwej ochrony zbiorów powierzonych?

•    Czy wdrożono procedury bezpieczeństwa fizycznego danych?

•    Czy realizowane są procedury niszczenia i utylizacji dokumentów i nośników zawierających dane osobowe?

•    Czy jest prowadzona właściwie ewidencja osób upoważnionych?

•    Czy wprowadzono mechanizmy rozliczalności danych?

•    Czy pracownicy podpisali oświadczenia o zachowaniu poufności?

•    (-)