RODO nie narzuca jak przeprowadzić inwentaryzację, konieczne jest zatem opracowanie własnych zasad.

Nie można skutecznie wprowadzić zgodnej z wymogami RODO ochrony danych osobowych, jeżeli jednostka lub firma nie ma precyzyjnie określonych zasobów służących ich przetwarzaniu. Element ten jest podstawą do określenia obszarów przetwarzania danych osobowych, punktów największych i najmniejszych zagrożeń dla przetwarzania i skutków ich materializacji – czyli bazą dla stworzenia procedur i zastosowania rozwiązań technicznych najefektywniejszych i najbardziej uzasadnionych. Należy też pamiętać, że możliwość uzasadnienia dobranych rozwiązań technicznych i organizacyjnych jest także konieczne z punktu widzenia wypełnienia zasady rozliczalności zawartej w RODO.

Inwentaryzacji podlegają wszystkie zasoby związane z przetwarzaniem danych osobowych:

  • obszary przetwarzania (siedziba) – pomieszczenia, w których przetwarzane są dane osobowe z uwzględnieniem lokalizacji, zasilania w energię elektryczną i sposobu jej rozprowadzenia, dostępu do usług telekomunikacyjnych, stref o różnych poziomach dostępu, lub istotności przetwarzanych danych
  • sieć teleinformatyczna – architektura sieci z uwzględnieniem sposobu jej rozprowadzenia , użyte urządzenia pośredniczących , a także inne urządzeń i rozwiązań zastosowane
  • sprzęt – serwery, komputery stacjonarne, komputery i inne urządzenia przenośne, nośniki danych, drukarki
  • oprogramowanie – począwszy od systemów operacyjnych , poprzez programy wspomagające zarządzanie  oraz programy użytkowe i aplikacje
  • pracownicy z podziałem na funkcje, podmioty i osoby współpracujące na zasadach umów cywilnoprawnych, które przetwarzają lub mają wpływ na przetwarzanie danych osobowych w organizacji
  • inne nośniki danych – akta spraw, umowy, akta osobowe, książki adresowe, skorowidze zawierające dane osobowe itp.

Zinwentaryzowane zasoby będą stanowiły podstawę do przeprowadzenia analizy ryzyka. Tak więc inwentaryzacja zasobów wykonywana jest po to, aby móc wprowadzić zasady ochrony danych osobowych spełniające wymagania RODO.

Dodaj komentarz