Inwentaryzacja danych osób fizycznych
Wdrożenie systemu ochrony danych osobowych w przedsiębiorstwie powinno zostać poprzedzone inwentaryzacją danych osób fizycznych, prawidłowym wyodrębnieniem zbiorów takich danych oraz ustaleniem wymagań, jakie powinien spełniać system, aby w pełni zabezpieczyć procesy związane z przetwarzaniem danych osobowych. Inwentaryzacja powinna opierać się na analizie problemu w trzech płaszczyznach: prawnej, technicznej oraz organizacyjnej. W obszarach tych należy prawidłowo sformułować odpowiedź na wiele pytań, takich między innymi jak:
Aspekty prawne:
■ Jakie dane osobowe w rozumieniu ustawy o ochronie danych osobowych są przetwarzane przez przedsiębiorstwo?
■ Czy są wśród nich dane o charakterze sensytywnym?
■ Jakie można wyróżnić zbiory danych?
■ Czy zbiory podlegają rejestracji?
■ Jaka jest podstawa prawna przetwarzania danych i czy właściwie określono podstawy prawne przetwarzania danych?
■ Jaki jest zakres danych w poszczególnych zbiorach?
■ Czy wypełniono właściwie obowiązek informacyjny?
■ Czy nie naruszono zakazu rozstrzygania spraw dotyczących osób wyłącznie poprzez operacje na danych osobowych?
■ Czy przetwarzanie danych odbywa się zgodnie z celem i zakresem?
■ Czy zbiory danych są powierzane innym podmiotom?
■ Czy zawarto właściwe umowy powierzenia przetwarzania danych?
■ Czy powierzenie danych jest zgodne z celem i zakresem ich przetwarzania?
- Itd.
Aspekty organizacyjne:
• Kto w ramach przedsiębiorstwa i danego departamentu odpowiada za ochronę danych osobowych?
• Czy osoby przetwarzające dane posiadają ważne upoważnienia do przetwarzania danych osobowych w ramach poszczególnych zbiorów?
• Czy są realizowane szczegółowe procedury przetwarzania danych osobowych?
• Czy wdrożono procedury udostępniania danych oraz odmowy udostępniania?
• Czy właściwie przeszkolono w w/w zakresie pracowników?
• Czy udostępnianie jest rejestrowane?
• Czy ustalono szczegółowe procedury związane z realizacją umów powierzenia?
• W jaki sposób weryfikuje się powierzeniobiorców pod względem zapewnienia właściwej ochrony zbiorów powierzonych?
• Czy wdrożono procedury bezpieczeństwa fizycznego danych?
• Czy realizowane są procedury niszczenia i utylizacji dokumentów i nośników zawierających dane osobowe?
• Czy jest prowadzona właściwie ewidencja osób upoważnionych?
• Czy wprowadzono mechanizmy rozliczalności danych?
• Czy pracownicy podpisali oświadczenia o zachowaniu poufności?
• (-)