Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Usuwanie danych – istotny element zarządzania danymi

02-06-2020 Autor: Jan Anisimowicz

Usuwanie danych dostępnych w organizacji wymaga od każdej instytucji poświęcenia temu zagadnieniu wiele uwagi. Jest to proces, który w przypadku niewłaściwej realizacji może spowodować duże problemy zarówno natury technicznej, biznesowej, jak i prawnej. Bez dołożenia należytej staranności oraz zapewnienia mechanizmów kontroli procesu może być tożsame z utratą danych.

 

Część organizacji wybiera tzw. podejście wyspowe. Swoje działanie skupiają jedynie na rozwiązaniu problemu usuwania informacji, traktując inne zagadnienia (jak anonimizacja, retencja, archiwizacja) jako osobne tematy, którymi można się zająć w przyszłości. Niestety powoduje to powstawanie istotnych luk w procesie zarządzania danymi osobowymi w organizacji. Jeszcze przed wejściem w życie rodo większość firm miała znaczne problemy z efektywnym zarządzaniem danymi, które dotyczyły m.in. zarządzania przyrostem danych, mechanizmami usuwania danych, organizacją techniczną, ustalaniem właściciela biznesowego, sposobami retencji). Wraz z rozpoczęciem stosowania rodo temat ten dodatkowo się skomplikował. Oczywiście w mobilizacji do działania w tym kierunku pomaga „imperatyw zewnętrzny” w postaci administracyjnych kar pieniężnych lub odpowiedzialności cywilnej. Bez tego „mobilizatora” na pewno większość organizacji nie traktowałaby efektywnego procesu zarządzania danymi z taką uwagą.

 

W niniejszym artykule omówimy przykład holistycznego podejścia do zarządzania danymi, ze szczególnym uwzględnieniem procesu usuwania danych (art. 17 ust. 2). Opisana w artykule koncepcja składa się z dwóch obszarów:

  • organizacji procesu przetwarzania danych (czyli jak organizacja powinna zorganizować proces, aby był on efektywny);
  • przedstawienia technicznej koncepcji architektury zarządzania danymi, która pozwoli organizacji efektywnie spełniać nakładane na nią wymogi regulacyjne oraz systematycznie podnosić swój poziom dojrzałości w zakresie zarządzania danymi osobowymi.
     

Organizacja przetwarzania danych

Niezależnie jednak od tego, czy grożą nam kary czy nie, proces zarządzania danymi charakteryzuje się kilkoma cechami, które warto wziąć pod uwagę, aby zbudować efektywny proces zarządzania danymi w organizacji. Wspomniane kluczowe cechy obejmują:

1. Wiedzę o tym, w jakich systemach są dane osobowe oraz jakie kategorie danych osobowych są przetwarzane.

  • Powinniśmy wiedzieć, w jakich systemach przetwarzamy dane osobowe, jaka jest struktura danych oraz wzajemne powiązanie między nimi. Posiadanie tej wiedzy pozwoli organizacji na zastosowanie odpowiednich mechanizmów bezpieczeństwa dopasowanych do charakteru przetwarzanych danych. Pomoże także zarządzać przepływem informacji w ramach procesów biznesowych.
  • Częste pytania na tym etapie:

a) Jak uzyskać wspólny widok na klienta (Single version of the truth)?
b) W jaki sposób zapewnić cykliczną weryfikację zgodności w naszych systemach (DPIA, testy penetracyjne)?
c) W których systemach znajdują się dane osobowe oraz jakie są kategorie przetwarzanych danych?
d) Jakie dane osobowe wymieniane są poprzez interfejsy między systemami?

2. Wiedzę o tym, w jaki sposób dane osobowe są przetwarzane w procesach biznesowych.

  • Ta wiedza jest kluczowa, gdyż to procesy biznesowe zmieniają i wytwarzają dane. Niestety bardzo często organizacje mają luki w mapie procesów biznesowych, które mogą stwarzać ryzyka związane z przetwarzaniem informacji.
  • Częste pytania na tym etapie:

a) W jaki sposób efektywnie komunikować się z klientami (w tym zbierać i odwoływać zgody)?
b) W jaki sposób zrealizować prawa osób, których dane dotyczą (w tym prawo do bycia zapomnianym czy anonimizację przetwarzania)?
c) Kto jest właścicielem procesu oraz przepływów danych w ramach procesu?

 

3. Wiedza o operacjach wykonywanych na danych (czyli rejestracja, aktualizacja, usuwanie, dostęp, porządkowanie, odzyskiwanie, ujawnianie, transmisja, blokowanie).

  • Jeżeli wiemy już, gdzie znajdują się dane osobowe oraz przy jakich procesach biznesowych są wykorzystywane, należy ustalić, jakie konkretnie operacje są wykonywane na danych w każdym procesie. Ta wiedza jest bardzo przydatna w czasie ustalania procesów przepływu informacyjnego w organizacji.
  • Częste pytania na tym etapie:

a) Jak zapewnię możliwość usunięcia danych, która będzie wynikać z przepisów rodo (art. 17 ust. 2)?
b) W jaki sposób udostępnię swoim klientom informacje o tym, jakie dane o nich są przetwarzane?
c) Jak zapewnię ciągłość biznesową w przypadku awarii serwera?

 

[...]

 

 

 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.