Procedura oceny wpływu podejmowanych działań na bezpieczeństwo danych osobowych

Procedura jest jedynie propozycją zapisów. Przedstawione wytyczne powinny być dostosowane do struktury firmy i wykonywanych operacji przetwarzania danych.

Administrator danych osobowych jest zobowiązany do stosowania przepisów RODO i decyduje o celach i sposobach przetwarzania danych. Powierzone dane osobowe są w firmie wykorzystywane w celu: świadczenia obowiązków pracowniczych, wypłaty świadczeń i należności wynikających z przepisów prawa, świadczenia usług najmu lokali. Dla realizacji celów przetwarzania danych osobowych administrator wykonuje niżej wymienione czynności:

  • zbiera dane,
  • przechowuje dane,
  • usuwa dane,
  • opracowuje dane,
  • udostępnia dane,
  • przesyła dane,
  • archiwizuje dokumenty,
  • niszczy i anonimizuje dokumenty i nośniki danych,
  • prowadzi księgowość i rachunkowość,
  • prowadzi sklep internetowy,
  • zarządza nieruchomościami itp.

Administrator uwzględnił ochronę danych osobowych, które posiada w swoich zasobach i które są obecnie przetwarzane w systemach IT oraz manualnie. Rozpoczęcie przetwarzania nowych kategorii danych osobowych wymaga zaprojektowania nowego procesu przetwarzania danych na podstawie posiadanych narzędzi i zasobów. W procesie projektowania należy uwzględnić takie rozwiązania, jak:

  • proaktywne podejście do ochrony danych osobowych,
  • konieczność włączania ochrony prywatności w projekty od początku ich realizacji,
  • poszanowanie dla prywatności użytkowników.

Zasada prywatności w fazie projektowania powinna prowadzić do uczynienia prywatności domyślnym sposobem działania w firmie przy jednoczesnym utrzymaniu pełnej funkcjonalności systemu.
Rozpoczęcie procesu przetwarzania danych osobowych jest związane z oceną wpływu podejmowanych działań na bezpieczeństwo przetwarzanych danych osobowych. Ocena ta jest realizowana przez:

  • inspektora ochrony danych osobowych (IOD); zadania określa RODO (art. 39 RODO);
  • administratora systemów informatycznych; zakres kompetencji określony zgodnie z regulacjami wewnętrznymi;
  • kierownika działu/komórki organizacyjnej; zakres kompetencji określony zgodnie z regulacjami wewnętrznymi;
  • zespół pracowników powołany przez administratora, zgodnie z zakresem określonym w decyzji powołania zespołu;
  • zewnętrznego usługodawcę; zakres kompetencji okreś­lony w umowie powierzenia.

Ocena wpływu podejmowanych działań na bezpieczeństwo przetwarzanych danych osobowych jest prowadzona na następujących podstawach:

  • zgoda osoby, której dane dotyczą,
  • przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby,
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
  • W przypadku szczególnych kategorii danych podstawą przetwarzania danych są:
  • wyraźna zgoda osoby, której dane dotyczą,
  • przetwarzanie danych jest niezbędne do wykonania zadań związanych z zatrudnieniem, ubezpieczeniem społecznym pracowników,
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy,
  • przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.

Administrator danych wskazał, że dysponuje odpowiednią podstawą przetwarzania danych; jest to prawny obowiązek administratora danych wynikający z tzw. zasady rozliczalności.
Wprowadzono zasadę minimalizacji danych osobowych, zgodnie z którą można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych. Przetwarzanie danych powinno więc zostać ograniczone do takich danych, bez których nie można osiągnąć celu przetwarzania danych.
Ocena zabezpieczenia danych osobowych oraz zastosowania odpowiednich środków technicznych, budowlanych, organizacyjnych jest oparta na analizie ryzyka dla przetwarzanych danych osobowych oraz czynności wykonywanych na podstawie danych osobowych. Administrator samodzielnie określił, jakie środki zabezpieczenia danych należy wdrożyć. Dobór środków zabezpieczenia danych nastąpił na podstawie:

  • charakteru, zakresu, kontekstu i celu przetwarzania,
  • ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze,
  • zagrożeń,
  • stanu wiedzy technicznej,
  • kosztu wdrażania.
  • W związku z prowadzoną analizą administrator ustalił:
  • jakie dane osobowe, w jakim charakterze, po co i w jakim środowisku są przetwarzane,
  • ryzyko naruszenia praw lub wolności osób fizycznych związane z takim przetwarzaniem,
  • odpowiednie środki zabezpieczenia danych, z uwzględnieniem istniejących możliwości technicznych i włas­nych możliwości finansowych.

Środki techniczne i organizacyjne:

  • pseudonimizacja,
  • szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Podejście oparte na ryzyku zakłada świadome podejmowanie decyzji o stosowanych środkach zabezpieczenia i ponoszeniu odpowiedzialności w przypadku naruszenia bezpieczeństwa danych osobowych.

Przetwarzanie danych osobowych przez podmiot przetwarzający odbywa się po zawarciu umowy przetwarzania danych (powierzenia), a fakt zawarcia takiej umowy odnotowuje się w rejestrze czynności przetwarzania danych osobowych. Podmiot przetwarzający powierzone dane (procesor) jest zobowiązany umową do spełnienia wszystkich kryteriów i warunków określonych w przepisach RODO do ochrony i zabezpieczenia danych na każdym etapie ich przetwarzania.