Procedura ochrony danych osobowych w fazie projektowania i domyślnej ochrony danych

PROCEDURA OCHRONY DANYCH OSOBOWYCH W FAZIE PROJEKTOWANIA I DOMYSLNEJ OCHRONY DANYCH (PRIVACY BY DESIGN/BY DEFAULT) „PROCEDURA”

Założenia Procedury i podstawa prawna:

▪ Poniższa procedura ma charakter przykładowy – rodo nie przesądza elementów tego typu procedury a także tego czy powinna być realizowana w oparciu o odrębny dokument, czy np. jako część ogólnej polityki ochrony danych (jeżeli została przyjęta);

▪ Kluczowe znaczenie - z punktu widzenia prezentowanej procedury – ma artykuł 25 rodo:

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

2. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, 5 lat ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

▪ Problem domyślnej ochrony danych został ujęty w art. 25 ust. 2 rodo tj. odrębnie od problemu uwzględniania ochrony danych osobowych w fazie projektowania. Nie mniej można traktować oba wymogi na tej samej płaszczyźnie – należy je uwzględnić zanim dojdzie do przetwarzania danych a także w toku realizacji projektu.

▪ Obowiązek uwzględnienia ochrony danych w fazie projektowania spoczywa na administratorze danych. Nie mniej w przypadku, gdy do przetwarzania wykorzystywane będą narzędzia dostarczane administratorowi danych przez zewnętrznego dostawcę (np. IT) realizacja procedury wymagać będzie zaangażowania tego podmiotu. W przypadku dostawcy będącego procesorem (podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 rodo) opierać się będzie na art. 28 rodo.

▪ Kluczową funkcją wymogu ochrony danych osobowych w fazie projektowania (i domyślnej ochrony danych) jest niedopuszczenie do przetwarzania danych w sposób, który naruszałby poszczególne wymogi rodo. W praktyce wymaga to:

— zebrania informacji o celach biznesowych danego projektu oraz planowanych środkach realizacji tych celów;

— określenia adekwatnych - dla danego projektu - środków technicznych i organizacyjnych służących realizacji wymogów rodo;

— oceny czy z projektem łączą się ryzyka dla praw lub wolności i przyjęcia określonego mechanizmu postepowania z tym ryzykiem (ocena ryzyka może doprowadzić do konieczności przeprowadzenia pełnej oceny skutków a nawet uprzednich konsultacji z Prezesem Urzędu Ochrony Danych Osobowych);

— przypisania ról w organizacji w zakresie dokonywania w/w ocen;

— przeszkolenia pracowników aby przed rozpoczęciem przetwarzania (nowego projektu) zweryfikowali czy został on już poddany ocenie;

▪ wymóg ochrony danych osobowych w fazie projektowania wymaga nie tylko oceny danego procesu przetwarzania danych przed jego rozpoczęciem ale także monitorowania zgodności w czasie przetwarzania.

▪ Z punktu widzenia mechanizmu oceny nowych projektów i zarządzania projektami istotne znaczenie ma rejestr czynności przetwarzania danych (art. 30 ust. 1 rodo). Chociaż nie jest to dokument w każdym przypadku obligatoryjny (zob. art. 30 rodo) to (jako zalecany) został uwzględniony w poniższej procedurze.

W jaki sposób poniższa procedura wykorzystuje rejestr czynności w ramach mechanizmu ochrony w fazie projektowania?

— nie można rozpocząć przetwarzania danych przed wpisaniem danego procesu przetwarzania do rejestru czynności; jednocześnie nie można wpisać danego procesu do rejestru przed dokonaniem jego oceny pod kątem zgodności planowanych operacji z rodo;

— rejestr czynności służy dokumentowaniu elementów istotnych (parametrów procesu) poddawanych ocenie (w tym zakresie można odwołać się np. do wytycznych Europejskiej Rady Ochrony Danych odnośnie przykładowych elementów rejestru czynności https://edpb.europa.eu/ lub np. Urzędu Ochrony Danych Osobowych https://uodo.gov.pl/).

▪ Inspektor Ochrony Danych (jeżeli zostanie powołany) także odgrywa istotną rolę w ramach mechanizmu ochrony danych osobowych w fazie projektowania. Co jednak istotne, IOD pełni rolę konsultacyjną i nie podejmuje ostatecznych decyzji np. co do akceptacji ryzyka. Zgodnie z art. 38 ust. 1 rodo: Inspektor ochrony danych ma następujące zadania:

a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

▪ Artykuł 25 ust. 1-2 rodo nie przesądza sposobu dokonywania oceny w ramach zasady uwzględnienia ochrony danych w fazie projektowania i domyślnej ochrony danych. Nie mniej wyraźnie podkreśla, że ocena ta powinna opierać się na metodzie analizy ryzyka związanego z danymi operacjami przetwarzania danych.

▪ Artykuł 25 ust. 1-2 rodo wymaga dokonywania oceny ryzyka ale nie ogranicza jej – wyłącznie – do aspektu bezpieczeństwa (i atrybutów poufności, integralności i dostępności danych). Dlatego istotne mogą być inne elementy np. czy projektowany mechanizm profilowania nie rodzi ryzyk dla praw lub wolności osób fizycznych (np. wykluczenie z rynku określonych segmentów konsumentów).

▪ Oprócz art. 25 rodo, szereg innych przepisów odwołuje się do analizy ryzyka (np. art. 32 rodo). Autor niniejszego wzoru stoi na stanowisku, że administrator danych może przyjmować jednolity standard oceny ryzyka (kryteria/metoda) dla różnych przypadków analizy ryzyka. Oczywiście uwzględniając jej specyfikę zwłaszcza przy ocenie incydentów. Poniższa procedura odwołuje się do oceny ryzyka, jednak nie przesądza jej metodologii (w tym zakresie zob. np. https://enisa.europa.eu/publications/reference-publications/risk-management-implementation-guide), wskazuje tylko na te elementy, które trzeba uwzględnić.

▪ Przyjęte role mają charakter przykładowy, z dwoma zastrzeżeniami:

▪ określone czynności (np. w ramach uprzednich konsultacji) powinien podejmować administrator danych (lub upoważniony przez niego pracownik). Oczywiście jeżeli administrator jest jednostką organizacyjną to będzie działać przez swoje organy;

▪ w przypadku powołania Inspektora Ochrony Danych (IOD) – zadania innych pracowników nie mogą naruszać jego roli wynikającej z rodo.

PROCEDURA OCHRONY DANYCH OSOBOWYCH W FAZIE PROJEKTOWANIA I DOMYSLNEJ OCHRONY DANYCH (PRIVACY BY DESIGN/BY DEFAULT)

1. Cel procedury: realizacja zasady wyrażonej w art. 25 rodo tj. ochrony danych w fazie projektowania i domyślnej ochrony danych w Firma Przykładowa Sp. z o.o. („Administrator/ADO”).

2. Zakres przedmiotowy: wszelkie procesy przetwarzania danych (planowane/obecne) u ADO.

3. Procedury powiązane: metodologia oceny ryzyka.

4. Załączniki:

a) karta oceny procesu;

b) ocen ryzyka;

c) ocena skutków.

5. Osoby odpowiedzialne:

5.1. Kierownictwo

5.2. Właściciel procesu

5.3. Pracownicy

5.4. Inspektor Ochrony Danych/IOD (jeżeli został powołany)

6. Definicje Procedury:

Pojęcie Wyjaśnienie

administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który danych (ADO) samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie Rzeczypospolitej Polskiej, to również w prawie Unii lub w prawie Rzeczypospolitej Polskiej może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Kierownictwo osoby działające w imieniu ADO (np. zarząd lub w przypadku jednoosobowego przedsiębiorcy – osoba prowadząca działalność).

Właściciel Osoba odpowiedzialna w Organizacji za decydowanie o celach i środkach przetwarzania procesu danych (Właścicielem procesu może być także Kierownictwo).

pracownik osoba działająca z upoważnienia w ramach organizacji ADO (członek personelu, pracownik, osoba zatrudniona na podstawie umowy o pracę lub samozatrudniona jednak świadcząca usługi osobiście bez możliwości korzystania z podwykonawców, w obrębie struktury organizacji).

Inspektor Inspektor Ochrony Danych w rozumieniu rodo.

Ochrony Danych (IOD)

powierzenie sytuacja, w której administrator danych nie wykonuje sam operacji na danych osobowych, do przetwarzania których jest uprawniony, lecz zleca ich wykonanie - w całości lub w części - innemu danych podmiotowi (procesorowi). Podmiot, któremu zostało powierzone przetwarzanie danych musi przetwarzać te dane w zakresie i celu określonym przez administratora danych. Powierzenie przetwarzania danych może następować np. w przypadku zlecania innym podmiotom hosting usług lub administracji infrastruktury IT.

podmiot osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza przetwarzający dane osobowe w imieniu administratora danych. (procesor)

dane osobowe informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator online lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

dane osobowe dane osobowe osób poniżej 16 lat życia.

dzieci

dane zwykłe dane osobowe niebędące:

- danymi osobowymi ujawniającymi pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby;

- danymi osobowymi dotyczącymi wyroków skazujących i naruszeń prawa.

szczególne dane osobowe będące:

kategorie - danymi osobowymi ujawniającymi pochodzenie rasowe lub etniczne, poglądy polityczne, dane (dane przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz wrażliwe) przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

dane osobowe dane osobowe o których mowa w art. 10 rodo.

dotyczące wyr oków skazujących i naruszeń prawa

weryfikacja proces sprawdzania tożsamości (sprawdzenia czy deklarowana tożsamość jest zgodna ze tożsamości stanem faktycznym) podmiotu danych, który może obejmować cyfrową identyfikację osoby, której dane dotyczą, na przykład poprzez mechanizm uwierzytelniania (motyw 57 rodo). Weryfikacja tożsamości powinna odpowiadać sposobowi identyfikacji danych i nie może naruszać zasad przetwarzania danych w tym bezpieczeństwa informacji oraz minimalizacji danych. Do celu weryfikacji tożsamości można wykorzystać metodę pytań bezpośrednich (istotne aby były to pytania na które odpowiedź z dużym prawdopodobieństwem zna tylko wnioskujący) w których wnioskodawca udzieli poprawnych informacji w co najmniej 3 zapytaniach.

prawa prawa wskazane w rozdziale III rodo.

podmiotu

zgoda dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

rejestr rejestr, o którym mowa w art. 30 ust. 1 rodo.

czynności (RCPD)

rejestr rejestr, o którym mowa w art. 30 ust. 2 rodo.

kategorii (RKCP)

GDPR/rodo Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

podmiot osoba fizyczna, której dane dotyczą.

danych

przetwarzanie operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, osobowych utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

aktywa wszystko, co ma wartość dla organizacji (administratora danych lub podmiotu przetwarzającego), np. dane osobowe.

operacja każda czynność wykonywana na danych osobowych lub przetwarzania zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka danych jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub osobowych modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

proces zespół operacji (czynności) wykonywanych na danych osobowych lub zestawach danych przetwarzania osobowych w określonym celu. Istotny z punktu widzenia identyfikacji procesów danych przetwarzania danych jest także zakres danych, kontekst, podstawa prawna, sposób osobowych zbierania danych.

podatność słabość, która może być wykorzystana przez zagrożenie, powodując niekorzystne skutki, np. brak szyfrowania.

zabezpieczenie środek, którego celem jest zmniejszenie ryzyka poprzez obniżenie prawdopodobieństwa zrealizowania zagrożenia (czyli wykorzystania istniejącej podatności) lub też minimalizację potencjalnych strat związanych ze zrealizowanym zagrożeniem, np. szyfrowanie, kontrola dostępu, stosowanie procedury bezpieczeństwa. Należy pamiętać, iż ocena adekwatności danego środka technicznego lub organizacyjnego powinna uwzględniać nie tylko wysokość ryzyka, lecz także inne kryteria wskazane w art. 24-25 oraz 32 rodo.

zagrożenie zidentyfikowane (np. brak kontroli dostępu do danych) lub potencjalne zdarzenie, kwalifikowane jako naruszenia zidentyfikowanego - w ramach obowiązujących przepisów o ochronie danych osobowych – wymogu zarówno w obszarze bezpieczeństwa danych osobowych oraz innych wymogów wskazanych w art. 5 rodo, którego wystąpienie może prowadzić z określonym stopniem prawdopodobieństwa do naruszenia praw lub wolności osób (tj. strat majątkowych lub niemajątkowych przykładowo wskazanych w motywie 75 rodo).

ryzyko (też możliwość wystąpienia strat majątkowych lub niemajątkowych jako „ryzyko (przykładowo wskazanych w motywie 75 rodo). Źródłem ryzyka są zagrożenia. Ryzyko naruszenia należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z praw i operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko. Np. jeżeli wolności”) przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem, stratami finansowymi, naruszeniem reputacji, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub orientacji seksualnej i naruszeń prawa lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące výkonności w pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobych; lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

szacowanie Całościowy proces identyfikacji ryzyka, analizy ryzyka oraz oceny ryzyka (definicja przyjęta ryzyka zgodnie z normą ISO 31000:2018)

kryteria oceny kryteria, które określają poziomy odniesienia, względem których określa się ważność ryzyka.

ryzyka

poziom ryzyka miara potencjalnego straty majątkowej lub niemajątkowej (naruszenia (przykładowo wskazanych w motywie 75 rodo), będąca kombinacją wagi zagrożenia oraz praw lub prawdopodobieństwa -> zgodnie z matrycą przedstawioną w załączeniu. wolności osób) Można powiedzieć, że poziom ryzyka jest kwantyfikacją zagrożenia przez pryzmat wagi i prawdopodobieństwa (tak np. https://enisa.europa.eu/publications/reference-publications/risk-management-implementation-guide) Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

kryteria kryteria, które określają dopuszczalność danego ryzyka. Zwykle definiuje się je poprzez akceptacji wartość progową, np. przy przedziałach ryzyka niskie, średnie oraz wysokie, akceptowalną wartością jest ryzyka ryzyko tylko w zakresie niskie.

sprawdzenie weryfikacja zgodności z przepisami o ochronie danych osobowych.

7. Nie można rozpocząć przetwarzania danych przed wpisaniem danego procesu (zespołu czynności) do rejestru czynności. Do rejestru można wpisać wyłącznie procesy ocenione jako zgodne z rodo. W przypadku zmiany parametrów ocenionego już procesu, jeżeli zmiana ma charakter istotny, należy ponowić ocenę i ujawnić zmianę w rejestrze czynności. O odrębności procesu przetwarzania danych (o tym, że jest to „nowy” proces) może świadczyć zmiana: celu przetwarzania danych, podstawy prawna przetwarzania, kategorii podmiotów oraz kategorie przetwarzanych (planowych) danych osobowych.

8. Przed rozpoczęciem przetwarzania właściciel procesu wypełnia kartę procesu (załącznik nr 1 do niniejszej Procedury). IOD udziela zaleceń co do metodologicznej poprawności przeprowadzonej oceny i jej rezultatów (w tym skutków dla ochrony danych oraz monitoruje jej wykonanie zgodnie z art. 35 rodo);

9. W przypadku zidentyfikowania w ramach karty procesu zagrożeń i ryzyk wymagających oceny, Właściciel procesu dokonuje oceny w oparciu o kartę oceny ryzyka stanowiącej (załącznik nr 2 do niniejszej procedury) oraz kartę oceny skutków (załącznik nr 3) do niniejszej procedury. Zidentyfikowane ryzyka należy monitorować w ramach ewidencji zidentyfikowanych ryzyk. Metodologię oceny ryzyka określa odrębny dokument (Polityka Bezpieczeństwa Informacji).

10. Kierownictwo (lub upoważniony przez Kierownictwo pracownik) podejmuje decyzje co do ostatecznego wdrożenia projektu oraz ewentualnie co do konieczności uprzednich konsultacji, jeżeli ocena ryzyka i ocena skutków ujawni konieczność prowadzenia uprzednich konsultacji. W przypadku pozytywnej decyzji proces ujawnia się w rejestrze czynności. Rejestr prowadzi Jan Kowalski (np. IOD).

11. Właściciel procesu zobowiązany jest:

a) przetwarzać dane osobowe wpisane do rejestru w ramach tego ujawnienia (w ramach parametrów tego ujawnienia), weryfikując na bieżąco zgodność faktycznego przetwarzania z opisem procesu m.in. :

• cele przetwarzania danych;

• podstawę prawną przetwarzania danych;

• zakres przetwarzanych danych;

• spełnienie obowiązku informacyjnego;

• zebranie zgód – jeżeli niezbędne.

b) nie przetwarzać danych osobowych w ramach procesów nie wpisanych do rejestru czynności;

c) zarządzać zgodami na przetwarzanie danych osobowych jeżeli zgoda jest podstawą przetwarzania danych w oparciu o zapis w rejestrze czynności;

d) Poinformować IOD o zamiarze rozpoczęcia realizacji nowych procesów przetwarzania danych osobowych w celu ich wpisania do rejestru na jego 123456789 na co najmniej 2 tygodnie przed rozpoczęciem procesu.

e) Informować IOD konieczności wykreślenia danego procesu .

12. Procesy wpisane do rejestru czynności należy poddawać ocenie w ramach sprawdzeń: planowych oraz doraźnych (np. w razie incydentu). W ramach tych sprawdzeń weryfikuje się m.in. czy:

▪ czy parametry procesów wpisanych do rejestru czynności są zgodne ze stanem faktycznym;

▪ czy nie realizowane są procesy niewpisane do rejestru czynności;

▪ czy rejestr nie zawiera procesów nierealizowanych (np. gdy organizacja nie realizuje już danego projektu);

▪ czy zidentyfikowano wszystkie ryzyka dotyczące danego procesu;

▪ czy parametry (waga/prawdopodobieństwo) ryzyka są aktualne.

Szczegóły w zakresie częstotliwości i sposobu prowadzenia sprawdzeń określa odrębna procedura (Procedura zarządzania incydentami).

Załącznik 1

Karta procesu PR-001

Miejsce przechowywania wersji elektronicznej/papierowej: Dysk sieciowy/Szafa nr 5 Dokumenty powiązane: rejestr czynności; ewidencja ryzyk Dokumenty załączone: Umowa powierzenia przetwarzania danych 01.01.2024 sporządzenia: 24.10.2024 Osoba sporządzająca: Anna Nowak

Opis stanu faktycznego

Nr Zagadnienie Opowiedź Wyjaśnienia / rekomendacje uwagi/kwestie do uzupełnienia

1. Nazwa czynności przetwarzania (procesu) Przetwarzanie danych kandydatów do pracy 2. zwięzły opis procesu Proces rekrutacji na stanowisko programisty 3. czy jest to nowy proces czy zmiana poprzedniego procesu? Nowy proces (oceniając czy jest to nowy proces należy wziąć pod uwagę m.in. cel / zakres / kontekst / podstawa / zagrożenia / techniczny sposób pozyskiwania danych etc. 4. właściciel procesu Dział HR 5. cele przetwarzania danych Realizacja procesu rekrutacji 6. Kategorie osób objętych procesem Kandydaci do pracy (potencjalni, obecni, byli); Czy proces będzie obejmował przetwarzanie danych osobowych Nie dzieci? 7. kategori danych > np. dane kontaktowe; dane identyfikacyjne; dane dotyczące wykształcenia; dane dotyczące doświadczenia zawodowego; -> czy dane zwykłe lub wrażliwe ze wskazaniem zakresu danych (np. imię, nazwisko, PESEL) 8. źródło danych Dane pozyskane bezpośrednio od kandydatów 9. techniczny sposób pozyskiwania danych Formularz aplikacyjny online, email 10. planowany sposób realizacji obowiązku informacyjnego Klauzula informacyjna w formularzu aplikacyjnym