Tym razem opiszemy w jaki sposób opisać dodatkowe zabezpieczenia, które stosujemy, aby chronić przetwarzane dane osobowe. Jeżeli Administrator Danych stosuje inne, dodatkowe środki zabezpieczania danych osobowych niż te wymienione w poprzednich podpunktach (patrz – poprzednia część poradnika https://blog-daneosobowe.pl/poradnik-jak-zarejestrowac-zbior-danych-cz-4/), powinniśmy się nimi pochwalić przed inspektorami GIODO.
Niestety nie wystarczy samo oświadczenie, że stosujemy inne środki zabezpieczania danych, musimy wskazać konkretnie, jakie zabezpieczenia zostały zastosowane. Ale bez obaw, autorzy wniosku wyszli Administratorom Danych naprzeciw i stworzyli cztery dodatkowo rozwijane (jeśli wypełniamy wniosek w wersji elektronicznej na stronie GIODO), listy wartości, które stanowią zbiór najczęściej spotykanych metod i zabezpieczeń, wymienianych przez podmioty przetwarzające dane osobowe.
Znajdziemy tam wiele technicznych i informatycznych terminów, które nie zostały nigdzie precyzyjnie zdefiniowane. Pojawiają się liczne głosy, że ta część wniosku jest już mało aktualna i niepotrzebnie aż tak dokładna. W związku z tym możemy mieć nadzieję na zmiany. Oby na lepsze.
Nie można jednak poddawać się tuż przed metą, w związku z tym w prosty sposób opiszemy metodologię wypełniania sekcji.
Zacznijmy od tego, że zabezpieczenia podzielono na kilka rodzajów – od typowo fizycznych (np.: monitoring, ochrona, zamykane szafy), poprzez środki sprzętowe (np.: niszczarki), narzędzia służące do ochrony baz danych (np.: stosowanie różnych poziomów uprawnień, kwestie związane z uwierzytelnianiem), a skończywszy na opisie środków organizacyjnych (np. przeszkolony personel, obowiązek zachowania danych osobowych w tajemnicy).
Pierwszy etap: Środki ochrony fizycznej danych
Część zawiera aż 18 możliwych do zaznaczenia pól. W poradniku, jak wypełniać wniosek na stronie http://edugiodo.giodo.gov.pl niestety nie poświęcono zbyt dużo miejsca na udzielenie prostych wskazówek dla osób rejestrujących zbiory. Stwierdzono tylko, że administrator danych może podać informację dotyczącą „fizycznego zabezpieczenia pomieszczeń, w których są przetwarzane dane osobowe oraz przechowywane są archiwa i kopie awaryjne zawierające dane osobowe”. Chodzi tutaj o poziom zabezpieczenia pomieszczeń, w których znajduje się zbiór danych osobowych. Pogrupujmy punkty tematycznie, by było łatwiej wypełnić wniosek. Pierwsze 4 podpunkty dotyczą drzwi do pomieszczeń, w których przechowywane są zbiory danych osobowych. Autorzy wniosku każą nam zaznaczyć, czy pomieszczenia te zabezpieczone są drzwiami zwykłymi, o podwyższonej odporności ogniowej, czy może o podwyższonej odporności na włamanie. Poza drzwiami należy zwrócić też uwagę na okna.
Czy są w nich kraty, rolety czy może folia antywłamaniowa? Co bardziej wrażliwe osoby, może teraz rozboleć głowa. Przecież przetwarzanie danych osobowych, jest pojęciem niezwykle szerokim i teoretycznie powinniśmy przyjrzeć się każdemu pojedynczemu pomieszczeniu z osobna. A co jeśli sala x posiada rolety antywłamaniowe ale już sala y ich nie posiada? Czy powinniśmy w takiej sytuacji dołączyć dokładny plan budynku i zaznaczyć kompletny i szczegółowy wykaz rodzajów drzwi czy sposobów zabezpieczenia okien? Gdybyśmy chcieli dogłębnie analizować każdy z podpunktów, wypełnianie tej części wniosku zajęłoby dłużej niż wypełnienie wcześniejszych punktów razem wziętych.
Na szczęście z pomocą przyjść może stara rzymska paremia: de minimis non curat praetor. W wolnym tłumaczeniu odnoszącym się do naszego stanu faktycznego – inspektora GIODO nie interesują detale. I rzeczywiście – inspektorzy GIODO analizując przedmiotową część wniosku, podchodzą do niej na szczęście z pewnym dystansem. Wystarczy więc, że wskażemy czy posiadamy chociaż w jednym z pomieszczeń, gdzie przetwarzamy dane osobowe, którykolwiek z wymienionych środków zabezpieczeń. Analogicznie postępujemy z kolejnymi grupami tematycznymi – np. szafami w których przechowywane są dane osobowe.
Inne artykuły związane z rejestracją zbiorów danych osobowych do GIODO
Zapraszamy do zapoznania się ze wszystkimi częściami cyklu artykułów poświęconych rejestracji zbiorów danych osobowych do GIODO:
– Które zbiory danych osobowych zwolnione są z obowiązku rejestracji:
– Jakie zbiory danych osobowych powinno się zarejestrować do GIODO
– Poradnik jak zarejestrować zbiór danych osobowych krok po kroku:
Część 1. – definiowanie administratora danych i nazwy zbioru danych, przedstawiciel Wnioskodawcy (państwo trzecie), powierzenie przetwarzania danych osobowych
Część 2. – wskazanie przesłanki legalności, celu i zakresu przetwarzania danych oraz kategorii osób, których dane są przetwarzane
Część 3. – osoby od których zbierane są dane osobowe, przekazywanie danych do państwa trzeciego
Część 4. – centralne/rozproszone przetwarzanie danych, jaką formę przetwarzania danych wybrać, które z podstawowych zabezpieczeń zaznaczyć
Część 5. – w jaki sposób opisać dodatkowe zabezpieczenia, które stosujemy, aby chronić przetwarzane dane osobowe
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101 poz. 926 ze zm.).
- Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (t.j. Dz. U. z dnia 1 maja 2004 r.)
Bibliografia:
- www.giodo.gov.pl
- https://egiodo.giodo.gov.pl
Niniejszy artykuł stanowi część artykułu, który ukazał się nakładem Miesięcznika Dyrektora Przedszkola.
Autor: Łukasz Zegarek
2 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Czy te wszystkie zabezpieczenia mają dotyczyć miejsca mojej działalności (prowadzę 1os.działalność gosp.) w miejscu zamieszkania, czy też np.firmy której powierzyłam przetwarzanie danych osobowych (hosting, serwer)?
We wniosku rejestracyjnym należy wskazać zabezpieczenia organizacyjne, fizyczne i techniczne danych osobowych, które stosowane są przez administratora danych osobowych (osobę fizyczną prowadzącą własną działalność gospodarczą). Spośród zabezpieczeń wskazanych w części E wniosku rejestracyjnego, należy wskazać zatem te, które są przez Panią faktycznie wykorzystywane. W przypadku powierzenia danych ze zbioru, fakt ten wskazujemy jedynie w części B w pkt 3 wniosku.