Procedura ochrony danych osobowych w fazie projektowania i domyślnej ochrony danych

Prawo

dane

Kategoria

instrukcja

Instrukcja

Na początku dokumentu należy uzupełnić nazwę dokumentu, np. "Procedura ochrony danych osobowych w fazie projektowania i domyślnej ochrony danych". Następnie należy uzupełnić treść dokumentu, która powinna zawierać szczegółowy opis procedury, uwzględniając specyfikę organizacji. W sekcji "Założenia Procedury i podstawa prawna" należy wskazać odpowiednie regulacje prawne, np. RODO lub inną ustawę o ochronie danych osobowych. Należy również uzupełnić numer artykułu, treść artykułu z regulacji, numer ustępu oraz numer punktu, odnoszące się do konkretnych przepisów. W przypadku odwołań do instytucji, takich jak organ nadzorczy, należy podać ich nazwę. Należy również uzupełnić adresy internetowe do wytycznych lub innych dokumentów. W sekcji "Cel procedury" należy precyzyjnie określić cel procedury, np. realizacja zasady ochrony danych w fazie projektowania. W sekcji "Zakres przedmiotowy" należy określić zakres stosowania procedury, np. wszystkie procesy przetwarzania danych. W sekcji "Procedury powiązane" należy wskazać powiązane procedury, np. metodologię oceny ryzyka. W sekcji "Załączniki" należy wymienić załączniki do procedury, takie jak karta oceny procesu, ocena ryzyka i ocena skutków. W sekcji "Osoby odpowiedzialne" należy wskazać osoby odpowiedzialne za realizację procedury, np. kierownictwo, właściciel procesu, pracownicy i inspektor ochrony danych. W sekcji "Definicje Procedury" należy zdefiniować kluczowe pojęcia użyte w procedurze. W tabeli należy uzupełnić pojęcia i ich wyjaśnienia. Należy również uzupełnić brakującą część tekstu po słowie "planowan".

Dane

adres internetowy, instytucja, nazwa dokumentu, numer artykułu, numer punktu, numer ustępu, organizacja, pojęcie, regulacje, treść artykułu z regulacji, treść dokumentu, wyjaśnienie

Procedura ochrony danych osobowych w fazie projektowania i domyślnej ochrony danych to dokument, który określa kluczowe kwestie związane z uwzględnianiem bezpieczeństwa danych od samego początku procesu. Zapewnia kompleksowe wytyczne dotyczące oceny ryzyka, rejestracji czynności oraz określa odpowiedzialności w organizacji. Dokument ten ma na celu zapewnienie zgodności z regulacjami oraz ochronę danych osobowych na każdym etapie przetwarzania.

[NAZWA DOKUMENTU]

[TREŚĆ DOKUMENTU]

Założenia Procedury i podstawa prawna:

   ▪ Niniejsza procedura ma charakter przykładowy – [REGULACJE] nie przesądza elementów tego typu procedury, a także tego, czy powinna być realizowana w oparciu o odrębny dokument, czy np. jako część ogólnej polityki ochrony danych (jeżeli została przyjęta);

   ▪ Kluczowe znaczenie - z punktu widzenia prezentowanej procedury – ma artykuł [NUMER ARTYKUŁU] [REGULACJE]:

      [TREŚĆ ARTYKUŁU Z REGULACJI]

   ▪ Problem domyślnej ochrony danych został ujęty w art. [NUMER ARTYKUŁU] ust. [NUMER USTĘPU] [REGULACJE] tj. odrębnie od problemu uwzględniania ochrony danych osobowych w fazie projektowania. Nie mniej można traktować oba wymogi na tej samej płaszczyźnie – należy je uwzględnić zanim dojdzie do przetwarzania danych, a także w toku realizacji projektu.

   ▪ Obowiązek uwzględnienia ochrony danych w fazie projektowania spoczywa na administratorze danych. Nie mniej w przypadku, gdy do przetwarzania wykorzystywane będą narzędzia dostarczane administratorowi danych przez zewnętrznego dostawcę (np. IT) realizacja procedury wymagać będzie zaangażowania tego podmiotu. W przypadku dostawcy będącego procesorem (podmiotem przetwarzającym w rozumieniu art. [NUMER ARTYKUŁU] pkt [NUMER PUNKTU] [REGULACJE]) opierać się będzie na art. [NUMER ARTYKUŁU] [REGULACJE].

   ▪ Kluczową funkcją wymogu ochrony danych osobowych w fazie projektowania (i domyślnej ochrony danych) jest niedopuszczenie do przetwarzania danych w sposób, który naruszałby poszczególne wymogi [REGULACJE]. W praktyce wymaga to:

      — zebrania informacji o celach biznesowych danego projektu oraz planowanych środkach realizacji tych celów;

      — określenia adekwatnych - dla danego projektu - środków technicznych i organizacyjnych służących realizacji wymogów [REGULACJE];

      — oceny, czy z projektem łączą się ryzyka dla praw lub wolności i przyjęcia określonego mechanizmu postępowania z tym ryzykiem (ocena ryzyka może doprowadzić do konieczności przeprowadzenia pełnej oceny skutków, a nawet uprzednich konsultacji z [INSTYTUCJA]);

      — przypisania ról w organizacji w zakresie dokonywania w/w ocen;

      — przeszkolenia pracowników, aby przed rozpoczęciem przetwarzania (nowego projektu) zweryfikowali, czy został on już poddany ocenie;

   ▪ wymóg ochrony danych osobowych w fazie projektowania wymaga nie tylko oceny danego procesu przetwarzania danych przed jego rozpoczęciem, ale także monitorowania zgodności w czasie przetwarzania.

   ▪ Z punktu widzenia mechanizmu oceny nowych projektów i zarządzania projektami istotne znaczenie ma rejestr czynności przetwarzania danych (art. [NUMER ARTYKUŁU] ust. [NUMER USTĘPU] [REGULACJE]). Chociaż nie jest to dokument w każdym przypadku obligatoryjny (zob. art. [NUMER ARTYKUŁU] [REGULACJE]), to (jako zalecany) został uwzględniony w poniższej procedurze.

    W jaki sposób poniższa procedura wykorzystuje rejestr czynności w ramach mechanizmu ochrony w fazie projektowania?

      — nie można rozpocząć przetwarzania danych przed wpisaniem danego procesu przetwarzania do rejestru czynności; jednocześnie nie można wpisać danego procesu do rejestru przed dokonaniem jego oceny pod kątem zgodności planowanych operacji z [REGULACJE];

      — rejestr czynności służy dokumentowaniu elementów istotnych (parametrów procesu) poddawanych ocenie (w tym zakresie można odwołać się np. do wytycznych [INSTYTUCJA] odnośnie przykładowych elementów rejestru czynności [ADRES INTERNETOWY] lub np. [INSTYTUCJA] [ADRES INTERNETOWY]).

▪ Inspektor Ochrony Danych (jeżeli zostanie powołany) także odgrywa istotną rolę w ramach mechanizmu ochrony danych osobowych w fazie projektowania. Co jednak istotne, IOD pełni rolę konsultacyjną i nie podejmuje ostatecznych decyzji np. co do akceptacji ryzyka. Zgodnie z art. [NUMER ARTYKUŁU] ust. [NUMER USTĘPU] [REGULACJE]: Inspektor ochrony danych ma następujące zadania:

    [ZADANIA INSPEKTORA]

▪ Artykuł [NUMER ARTYKUŁU] ust. [NUMER USTĘPU]-[NUMER USTĘPU] [REGULACJE] nie przesądza sposobu dokonywania oceny w ramach zasady uwzględnienia ochrony danych w fazie projektowania i domyślnej ochrony danych. Nie mniej wyraźnie podkreśla, że ocena ta powinna opierać się na metodzie analizy ryzyka związanego z danymi operacjami przetwarzania danych.

▪ Artykuł [NUMER ARTYKUŁU] ust. [NUMER USTĘPU]-[NUMER USTĘPU] [REGULACJE] wymaga dokonywania oceny ryzyka, ale nie ogranicza jej – wyłącznie – do aspektu bezpieczeństwa (i atrybutów poufności, integralności i dostępności danych). Dlatego istotne mogą być inne elementy np. czy projektowany mechanizm profilowania nie rodzi ryzyk dla praw lub wolności osób fizycznych (np. wykluczenie z rynku określonych segmentów konsumentów).

▪ Oprócz art. [NUMER ARTYKUŁU] [REGULACJE], szereg innych przepisów odwołuje się do analizy ryzyka (np. art. [NUMER ARTYKUŁU] [REGULACJE]). Autor niniejszego wzoru stoi na stanowisku, że administrator danych może przyjmować jednolity standard oceny ryzyka (kryteria/metoda) dla różnych przypadków analizy ryzyka. Oczywiście uwzględniając jej specyfikę, zwłaszcza przy ocenie incydentów. Poniższa procedura odwołuje się do oceny ryzyka, jednak nie przesądza jej metodologii (w tym zakresie zob. np. [ADRES INTERNETOWY]), wskazuje tylko na te elementy, które trzeba uwzględnić.

▪ Przyjęte role mają charakter przykładowy, z dwoma zastrzeżeniami:

   ▪ określone czynności (np. w ramach uprzednich konsultacji) powinien podejmować administrator danych (lub upoważniony przez niego pracownik). Oczywiście, jeżeli administrator jest jednostką organizacyjną, to będzie działać przez swoje organy;

   ▪ w przypadku powołania Inspektora Ochrony Danych (IOD) – zadania innych pracowników nie mogą naruszać jego roli wynikającej z [REGULACJE].

[NAZWA DOKUMENTU]

   1. Cel procedury: realizacja zasady wyrażonej w art. [NUMER ARTYKUŁU] [REGULACJE] tj. ochrony danych w fazie projektowania i domyślnej ochrony danych w [ORGANIZACJA] („Administrator/ADO”).

   2. Zakres przedmiotowy: wszelkie procesy przetwarzania danych (planowane/obecne) u ADO.

   3. Procedury powiązane: metodologia oceny ryzyka.

   4. Załączniki:

      a) karta oceny procesu;

      b) ocena ryzyka;

      c) ocena skutków.

   5. Osoby odpowiedzialne:

     5.1. Kierownictwo

     5.2. Właściciel procesu

     5.3. Pracownicy

     5.4. Inspektor Ochrony Danych/IOD (jeżeli został powołany)

   6. Definicje Procedury:

Pojęcie            Wyjaśnienie

[DEFINICJE]

   7. Nie można rozpocząć przetwarzania danych przed wpisaniem danego procesu (zespołu czynności) do rejestru czynności. Do rejestru można wpisać wyłącznie procesy ocenione jako zgodne z [REGULACJE]. W przypadku zmiany parametrów ocenionego już procesu, jeżeli zmiana ma charakter istotny, należy ponowić ocenę i ujawnić zmianę w rejestrze czynności. O odrębności procesu przetwarzania danych (o tym, że jest to „nowy” proces) może świadczyć zmiana: celu przetwarzania danych, podstawy prawnej przetwarzania, kategorii podmiotów oraz kategorii przetwarzanych (planowan

Procedura ochrony danych osobowych w fazie projektowania i domyślnej ochrony danych precyzyjnie określa cele dokumentu, zakres przedmiotowy, procedury powiązane oraz osoby odpowiedzialne. Dzięki jednoznacznym wytycznym, dokument ten pozwala skutecznie monitorować procesy przetwarzania danych i zapewniać odpowiedni poziom ochrony.