RODO nie narzuca jak przeprowadzić inwentaryzację, konieczne jest zatem opracowanie własnych zasad.
Nie można skutecznie wprowadzić zgodnej z wymogami RODO ochrony danych osobowych, jeżeli jednostka lub firma nie ma precyzyjnie określonych zasobów służących ich przetwarzaniu. Element ten jest podstawą do określenia obszarów przetwarzania danych osobowych, punktów największych i najmniejszych zagrożeń dla przetwarzania i skutków ich materializacji – czyli bazą dla stworzenia procedur i zastosowania rozwiązań technicznych najefektywniejszych i najbardziej uzasadnionych. Należy też pamiętać, że możliwość uzasadnienia dobranych rozwiązań technicznych i organizacyjnych jest także konieczne z punktu widzenia wypełnienia zasady rozliczalności zawartej w RODO.
Inwentaryzacji podlegają wszystkie zasoby związane z przetwarzaniem danych osobowych:
- obszary przetwarzania (siedziba) – pomieszczenia, w których przetwarzane są dane osobowe z uwzględnieniem lokalizacji, zasilania w energię elektryczną i sposobu jej rozprowadzenia, dostępu do usług telekomunikacyjnych, stref o różnych poziomach dostępu, lub istotności przetwarzanych danych
- sieć teleinformatyczna – architektura sieci z uwzględnieniem sposobu jej rozprowadzenia , użyte urządzenia pośredniczących , a także inne urządzeń i rozwiązań zastosowane
- sprzęt – serwery, komputery stacjonarne, komputery i inne urządzenia przenośne, nośniki danych, drukarki
- oprogramowanie – począwszy od systemów operacyjnych , poprzez programy wspomagające zarządzanie oraz programy użytkowe i aplikacje
- pracownicy z podziałem na funkcje, podmioty i osoby współpracujące na zasadach umów cywilnoprawnych, które przetwarzają lub mają wpływ na przetwarzanie danych osobowych w organizacji
- inne nośniki danych – akta spraw, umowy, akta osobowe, książki adresowe, skorowidze zawierające dane osobowe itp.