RODO – Rejestr czynności w e-QSM czyli jak ułatwić pracę IODO cz. 2

W poprzedniej części omówiliśmy czym jest Rejestr Czynności i co powinien zwierać. Dzisiaj kontynuujemy temat, opisując jak poprawnie zbudować wymaganą prawem dokumentacje RODO.

Aby zrozumieć zasadę budowania czytelnego Rejestru Czynności warto pochylić się nad zasadą rozliczalności, którą w tym przypadku można porównać do ścieżki: po nitce do kłębka. Dlaczego? A dlatego, że poza prowadzeniem Rejestru Czynności, Administrator Danych musi umieć wskazać gdzie, przez kogo i jakie dane były przetwarzane oraz czy były odpowiednio chronione. 

Dlatego też, we wzorcu prezentowanym przez PUODO co do tego jak ma wyglądać lub co powinien zawierać Rejestr Czynności, poza w/w danymi znajdziemy także wskazanie kto dane przetwarza, z użyciem jakich systemów oraz skąd dane pochodzą. A wszystko po to aby móc w transparentny sposób przedstawić zasady ochrony danych.

Przykładem może tu być oprogramowanie, czy wskazanie lokalizacji przetwarzania. Same w sobie, tak oprogramowanie jak i adres, nie opisują warunków technicznych
i organizacyjnych bezpieczeństwa danych ale znając te parametry możemy
w dokumentacji odszukać co i w jaki sposób funkcjonuje i jak jest chronione.

W przypadku oprogramowania, powinniśmy znaleźć informację jaka jest jego kategoria, jaki rodzaj danych i w jakim zakresie przetwarza, jakie są zasady budowania haseł, jak wygląda strategia wykonywania i odtwarzania kopii oraz jakie obowiązują zasady w obszarze aktualizacji.

W przypadku pomieszczeń powinniśmy znaleźć odpowiedź na dwa w sumie proste pytania: jak dane pomieszczenie (w którym dana czynności jest wykonywana) jest chronione oraz jak powinno być chronione.

Dlatego też w tworzeniu mapy procesów, która stanowi podstawę budowania Rejestru Czynności, wykorzystujemy wszelkie informacje mające wpływ na faktyczne zaprezentowanie sposobu przetwarzania danych przez administratora. 

Oczywiście możemy podejść do Rejestru Czynności literalnie wg opisu z RODO,
z pominięciem zarówno wytycznych Grupy Artykułu 29 jak i PUODO, ale narażamy się tym samym na konieczność podejmowania szeregu innych działań w ramach prezentowania zasad przetwarzania ich spójności i kompletności. Poza tym skoro zobowiązani jesteśmy do opisu działań w ramach wszystkich procesów oraz powinniśmy oszacować ryzyko przetwarzania (aby wiedzieć jakie zabezpieczenia i gdzie powinniśmy stosować) to takie podejście nie wydaje się być właściwym.

Mapę procesów można tworzyć z wielu powodów. Jednym z nich jest czysta prezentacja przebiegu działań, a innym chęć zebrania określonych informacji, które
w dalszych działaniach będą wykorzystywane. Tak jest właśnie przypadku systemu
e-qsm6, który wykorzystuje mapy do:

• – automatycznego budowania Rejestru Czynności, 
• – zautomatyzowania procesu, 
• – wyliczania ryzyka dla poszczególnych działań, 
• – generowania karty procesu dla potrzeb przeglądu zasobów
• – określenia minimalnych zasobów, bez których proces nie może funkcjonować poprawnie.

Dlatego też w systemie e-qsm6 całość opisu mapy procesów oparliśmy na dwóch elementach: właściwościach statycznych i właściwościach dynamicznych. Rejestr Czynności powinien zawsze opierać się na aktualnych danych z Mapy Procesów, dlatego też system e-qsm tworzy rejestry automatycznie a naszą rolą jest jedynie dbanie by procesy były prawidłowo zmapowane.

Rejestr Czynności nie musi być drukowany, RODO dopuszcza prowadzenie rejestru tak papierowo, jak i elektronicznie, a kompletny zawiera ‘kilometry’ danych. Dlatego przed wydrukiem warto się zastanowić, czy jest on naprawdę niezbędny, zwłaszcza że po wydruku może mieć już inny kształt, wystarczy drobna zmiana w procesie. A przecież lasy rosną zdecydowanie wolniej niż zmieniają się nasze procesy.

Jeśli zainteresowała Państwa tematyka mapowania procesów, budowania rejestrów czynności czy też aspekt wykorzystania systemu e-qsm zapraszamy do kontaktu pisząc na adres biuro@eqsm.pl