Temat: Wykaz zbiorów danych osobowych

Witam,

W "Wytycznych w zakresie opracowania i wdrożenia polityki bezpieczeństwa" można przeczytać, że powinna ona zawierać w szczególności "wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych".

Załóżmy, że działalność firmy X polega na wysyłaniu emaili zawierających dane osobowe (np. o treści "Witaj Janie Kowalski mieszkający w Płocku przy ulicy Kościuszki 17/34"). Dane te dostaje od swoich klientów, firm Y1, Y2, Y3..., z którymi podpisuje umowy powierzenia przetwarzania danych osobowych.

Czy za każdym razem, gdy klient przekazuje bazę, X powinien umieścić informacje o niej w polityce bezpieczeństwa w "wykazie zbiorów danych osobowych"?

Pozdrawiam

Temat: Wykaz zbiorów danych osobowych

Niestety TAK!

Temat: Wykaz zbiorów danych osobowych

Gdyby przedmówca jeszcze uzasadnił swoje stanowisko to byłoby super.

Ponieważ zbiory danych o które padło pytanie są już zarejestrowane przez ADO i są przetwarzane na podstawie umowy o powierzeniu przetwarzaniu danych to stosuje się do nich artykuł 31.1 ustawy. Nie ma w nim mowy o konieczności rejestracji zbiorów przez firmę której powierzono dane. Chyba że sama chce koniecznie być ADO, tylko po co?

Cytując:
„Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy
zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu
przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania
danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz
spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie
przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów
niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności
podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z
przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19”

Odpowiadając zatem na twój pytanie, nie ma przesłanek do rejestracji zbioru. Nie zwalnia Cię to jednak z obowiązku ochrony danych.

W przypadku gdybyś z jakiś powodów chciał zostać jednak ADO, to i w tym wypadku w moim odczuciu byłby to jeden zbiór danych, pozyskiwany co prawda z różnych źródeł ale przetwarzany przy użyciu tych samych środków i tej samej strukturze.

Pozdr.

Temat: Wykaz zbiorów danych osobowych

Adamie, pytanie Tomasza dotyczyło aktualizacji Polityki Bezpieczeństwa Informacji, a nie rejestracji zbioru...

Odpowiedź Łukasza (choć lakoniczna ;-)) jest poprawna. Wyjście ułatwiające trochę życie Tomasza, które ja widzę to opis w PBI zbioru "dane powierzone przez klientów do przetwarzania". Jeżeli za każdym razem są to dane tego samego typu, to można je - z pewnym przybliżeniem - traktować jako podzbiory jednego zbioru (do zadania A używamy danych 1-100, do zadania B danych 101-200 etc.)

Ale najbardziej poprawnie było by aktualizować PBI za każdym razem.

Temat: Wykaz zbiorów danych osobowych

Jakubie,
Dzięki za odpowiedź, rzeczywiście trochę się zagalopowałem z rejestracją zbioru.Za daleko idące skojarzenie z mojej strony.

Patrząc na treść rozporządzenie, nie można jednoznacznie stwierdzić, że konieczna jest aktualizacja PBI za każdym razem, gdy podpisujemy nową umowę z klientem na świadczenie usług czy wtedy kiedy przekaże nam nową „bazę” klientów. Uważam, że będzie to zależało od tego jak określimy zbiór, jaka jest jego struktura, jakimi programami go przetwarzamy.

Jeżeli nowe dane załadujemy do już istniejącego zbioru danych, nie wpłynie on na strukturę danych ani narzędzia używane do przetwarzania danych to nie ma sensu komplikowania sobie życia i tworzyć kwitów na siłę, czyli aktualizować PBI. Dodanie nowych danych do zbioru nie implikuje konieczności aktualizacji polityki bezpieczeństwa informacji.

Po prostu czyńmy swoje życie prostszym, a nie tworzymy sztuczne byty.

Nie zgodzę się z tezą, że w tym wypadku trzeba koniecznie aktualizować PBI, to zależy od zakresu obecnie używanych narzędzi i zabezpieczeń oraz wpływu nowej porcji danych na obecne środowisko i zakres przetwarzania danych.

Więc, jest trochę za mało danych żeby jednoznacznie stwierdzić ze trzeba i już. Ja bym powiedział, że należy rozważyć wszelkie za i przeciw, obecne wskazanie w moim odczuciu, że nie ma takiej potrzeby w tym konkretnym przypadku.
Ale jeśli autor pytania dostarczy dodatkowych informacji to chętnie przeanalizuję przypadek ponownie.

Pozdr.