Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Rejestr Czynności Przetwarzania – mapowanie procesów

Do czego jest mi potrzebne mapowanie procesów?

Do tej pory większość administratorów danych osobowych, tworząc fundamenty systemu ochrony danych osobowych bazowała na zbiorach danych. Zbiory danych osobowych należało zgłaszać do Regulatora bądź ujawniać w tzw. Jawnym Rejestrze.

RODO wprowadza w przedmiotowej materii daleko idącą modyfikacje. Nie musimy już zgłaszać zbiorów danych do Regulatora. Nie musimy też jako ABI prowadzić Jawnego Rejestru.

Za to w wielu przypadkach naszym obowiązkiem jest prowadzenie tzw. Rejestru Czynności Przetwarzania (RCP). Aby przygotować Rejestr, konieczne jest jednak mapowanie procesów i powiązanie przetwarzanych danych osobowych w zbiory.

Nawet jeśli nasza organizacja nie musi prowadzić RCP, to musimy być w stanie wykazać się tzw. Przesłanką legalności na dany proces przetwarzania danych osobowych. Żeby sprawdzić czy nasze procesy przetwarzania danych są legalne, musimy w ogóle wiedzieć o jakich procesach mowa.

W ten sposób wracamy do punktu wyjścia – bez mapowania procesów, jakiekolwiek dalsze kroki dostosowawcze do RODO, nie mają większego sensu.

Dobrze przygotowana mapa procesów przetwarzania danych, będzie stanowiła fundament przetwarzania danych osobowych w naszej organizacji przez wiele lat.

Wyodrębnienie zbiorów danych

Aby zebrać pełną i jednolitą informację o wszelkich czynnościach i procesach realizowanych na danych, pomocne okaże się przeprowadzenie krótkiego audytu.

Polecam zacząć od analizy schematu organizacyjnego instytucji czy przedsiębiorstwa. Usystematyzowanie wewnętrznej struktury pomoże na wstępie dokonać podziału na bloki danych gromadzonych we wszystkich komórkach organizacyjnych.

Zabieg ten ma na celu wyodrębnienie konkretnych zbiorów danych jako bazy, na którą nałożone będą odpowiednie procesy przetwarzania. W świetle Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. na przedsiębiorcy ciążył obowiązek prowadzenia i zgłaszania zbiorów danych osobowych do organu nadzorczego (GIODO).

Ogólne rozporządzenie o ochronie danych całkowicie znosi wymóg zgłaszania zbiorów danych do Regulatora.

Jednak samo wyodrębnienie zbiorów danych w organizacji pozostaje niezbędną praktyką, gdyż dokładnie porządkuje, przygotowuje i systematyzuje wszelkie dalsze czynności.

Jest także podstawą do przygotowania wymaganego przez RODO w wielu przypadkach Rejestru Czynności Przetwarzania (RCP).

Chcesz uzyskać gotowe rozwiązanie dla swojej firmy / urzędu? Zapraszamy do zakupu gotowego szablonu Rejestru Czynności Przetwarzania razem z instrukcją wypełniania.

Sprawdź

Czym jest zbiór danych i jak go wyodrębnić?

Zbiór danych osobowych w każdym systemie ochrony danych osobowych to punkt wyjścia i klucz do skutecznego stosowania wymogów prawa. Zgodnie z art. 7 pkt 1 Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r.  zbiór danych to: „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

Ujmując tę kwestię bardziej praktycznie, sposobem do najprostszego wyodrębnienia zbiorów danych jest uwzględnienie pewnych kryteriów, w oparciu o które należy je rozróżniać, takich jak: dostęp do zbioru, cel i zakres przetwarzania danych, podstawa prawna czy kategorie osób których dane dotyczą.

Najlepiej jednak zrozumieć pojęcie zbioru danych, analizując poniższe przykłady.

Jak nazwać zbiory danych?

Nazewnictwo zbioru danych ma charakter czysto umowny, zbiorom możemy więc nadawać nazwy według własnego uznania. Jednak z praktycznego punktu widzenia przyjmuje się, że nazwa powinna być prosta i czytelna, aby wyszczególnienie struktury zbiorów było logiczne i zrozumiałe. Przykładowe zbiory danych wyodrębniane w organizacjach to:

Przykładowe zbiory danych osobowych

  • pracownicy i współpracownicy
  • rekrutacja
  • kontrahenci
  • klienci
  • potencjalni klienci (zbiór marketingowy)
  • rejestr korespondencji
  • monitoring
  • reklamacje
  • postępowania sądowe
  • księga gości czy rejestr osób wchodzących i wychodzących do budynków
  • serwisy internetowe
  • dane powierzone

Ile zbiorów danych wyodrębnić?

Kolejnym problemem, przed którym możemy stanąć wyodrębniając zbiory danych jest ich liczba. W tym miejscu należy zastanowić się co może podlegać ochronie w naszej organizacji?

Naturalnie katalog danych będzie adekwatny do jej wielkości, struktury czy zakresu działalności, ponieważ każda instytucja czy przedsiębiorstwo ma swoją specyfikę.

W związku z tym występują w nich różnice w posiadanych zbiorach danych. Za każdym razem musi przyświecać nam jednak myśl czy w przypadku mojej organizacji wyodrębnienie danej liczby zbiorów będzie uzasadnione, praktyczne i co najważniejsze – funkcjonalne?

Zdecydowanie sugerujemy nie wyróżnianie zbyt dużej ilości zbiorów danych osobowych. W praktyce średnie ilości wyróżnianych zbiorów danych to 8 – 20 w organizacji.

Nałożenie procesów przetwarzania na zbiory danych osobowych

Po wyodrębnieniu zbiorów danych, czas na przyporządkowanie do nich procesów funkcjonujących w organizacji. To właśnie na tym polega tzw. Podejście procesowe, które jest mocno promowane przez RODO.

Aby lepiej zrozumieć zależność pomiędzy zbiorami danych, a procesami przetwarzania danych w ramach zbioru, poniżej przedstawiam przykładowe propozycje, odpowiednie dla dokumentacji ochrony danych średniej wielkości instytucji czy przedsiębiorstwa:

Nazwa zbioru Procesy

Pracownicy i współpracownicy

•          realizacja praw i obowiązków pracowniczych w ramach zatrudnienia

•          przetwarzanie danych w ramach Zakładowego Funduszu Świadczeń Socjalnych

•          korzystanie przez pracowników z dodatkowych benefitów (kart sportowych, ubezpieczenia, opieki medycznej)

•          konkursy pracownicze

•          wykorzystywanie wizerunku pracowników

•          monitorowanie aktywności pracowników w sieci teleinformatycznej

•          podnoszenie kwalifikacji i szkolenia pracowników

•          prowadzenie floty samochodów

Rekrutacja •          prowadzenie bieżących rekrutacji

•          wykorzystywanie dokumentów aplikacyjnych kandydatów do pracy w przyszłych rekrutacjach

Kontrahenci

•          nawiązywanie współpracy

•          czynności związane z realizacją zawartych umów

•          procedura zatwierdzania i monitorowania dostawców

•          księgowanie i archiwizowanie dokumentów księgowych

Klienci

•          nawiązywanie współpracy

•          realizacja zawartych umów/zamówień

•          informowanie klientów na temat nowych produktów

Rejestr korespondencji •          ewidencja korespondencji oraz odbiór i wysyłanie korespondencji
Reklamacje •          rozpatrywanie reklamacji klientów w zakresie oferowanych produktów
Postępowania sądowe •          dochodzenie roszczeń, podejmowanie działań o charakterze windykacyjnym
Serwisy internetowe

 •          świadczenie usługi Newsletter

•          autorzy komentarzy

•          użytkownicy posiadający konto

Najczęstsze błędy spotykane przy mapowaniu procesów

 W toku mapowania procesów wystrzegajmy się podstawowych błędów.

Błąd nr 1 - zbyt szczegółowo

Zmapowane przez nas procesy staną się w przyszłości kluczowym elementem RCP. Jeśli mapując procesy, zrobimy to zbyt szczegółowo, doprowadzimy do tego, że system ochrony danych osobowych nie będzie skuteczny.

Zarządzanie np. trzystoma procesami przetwarzania danych osobowych w średniej wielkości organizacji nie będzie możliwe w praktyce. Pamiętajmy o tym, że każdy zmapowany proces musimy powiązać z przesłanką legalności, przeanalizować pod kątem powierzenia etc.

W audycie finansowym istnieją specjalne procedury, mówiące o tym, że jeśli wykryte nieścisłości są odpowiednio mało istotne – to nie zajmujemy się nimi w ogóle. Takie zdroworozsądkowe podejście jest wskazane również w audycie RODO.

Błąd nr 2 - zbyt ogólnikowo

Jeśli podejdziemy do tematu na zbyt ogólnym poziomie, może okazać się, że pominęliśmy jakiś istotny proces. Nie zostanie on sprawdzony pod kątem przesłanki legalności, nie zostanie podpisana umowa powierzenia etc.

Proces będzie funkcjonował całkowicie obok budowanego przez nas systemu. To potencjalnie niebezpieczna sytuacja.

Z perspektywy naszego doświadczenia, procesy szczególnie warte zmapowania i uwzględnienia w RCP to:

  • procesy powtarzalne, realizowane na masową skalę
  • procesy w ramach których przetwarzana jest duża ilość danych osobowych
  • procesy budzące duże ryzyka prawne, a więc działania powiązane z działalnością marketingową czy te które dotyczą danych wrażliwych
  • procesy w ramach których już wystąpiły jakieś trudności, skargi czy zastrzeżenia osób, których dane dotyczą

Przygotowanie rejestru czynności przetwarzania (RCP)

Jeśli udało Ci się wyodrębnić zbiory danych i nanieść na nie procesy przetwarzania – brawo!

Na tym właśnie polega mapowanie procesów o którym tak dużo się teraz mówi. Dzięki odpowiednio zmapowanym procesom, masz teraz świadomość tego co dokładnie dzieje się z danymi osobowymi w Twojej organizacji.

Jednak to dopiero początek góry RODOwej…Teraz zebrane dane posłużą do stworzenia rejestru czynności przetwarzania, do którego prowadzenia większość przedsiębiorców zobowiązuje art. 30 ust. 5 RODO.

Rejestr Czynności Przetwarzania jest czymś znacznie więcej niż sama mapa zbiorów i procesów. Jednak to właśnie zmapowane przez Ciebie zbiory i procesy staną się fundamentem RCP.

 Poradnik dotyczący tworzenia i prowadzenia samego RCP – już wkrótce.

Najlepsze na rynku szkolenia e-learningowe. Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną widzę z zakresu RODO zamiast nużących regułek? Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Prowadzisz MŚP lub nadzorujesz prace niewielkiego urzędu państwowego? Zapraszamy do zapoznania się z pakietem RODO Optymalnie.

Sprawdź

Powiązane artykuły

Obowiązek informacyjny w RODO
Recenzujemy najnowszy projekt ustawy o ochronie danych osobowych!
Audyt RODO – czym jest w istocie?

Zostaw odpowiedź