Proces… 

Trzy kropki w tytule, ponieważ dziś zmierzymy się z pozornie banalnym terminem czy też działaniem. Otóż chodzi o proces przetwarzania danych osobowych. Niestety w wielu przypadkach jest on traktowany jako synonim “procesu w którym przetwarzane są dane osobowe”, co nie do końca jest prawdą. Skutki wynikające z pomieszania tych dwóch procesów bywają dość znaczne, ponieważ łatwo pomylić również odpowiedzialność za ich ułożenie i nadzorowanie jak i etapy procesu. 

Procesy organizacji – podstawowa klasyfikacja

Podstawowa klasyfikacja wskazuje na podział procesów jakie zachodzą w organizacji na trzy obszary:

  • Proces(y) główny(e) – realizujący cele organizacji (produkcję, świadczenie usług, etc);
  • Procesy pomocnicze – wspierające realizację procesów głównych, takie jak logistyka ale i też właściwe zarządzanie informacją, w tym danymi osobowymi; 
  • Procesy zarządcze – w dużym uproszczeniu te, które polegają na podejmowaniu decyzji. 

W wielu przypadkach zetknąłem się z opisem procesu przetwarzania danych osobowych jako procesu głównego, pomocniczego czy zarządczego, z dopisaniem kategorii danych, rodzajów, etc. Co do zasady jest to właściwe działanie, w którym identyfikujemy zasoby informacyjne i środki przetwarzania aby uzyskać wiedzę co i gdzie tak naprawdę przetwarzamy. Niemniej taki opis nie jest opisem przetwarzania danych jako takim, a jak już kilkukrotnie zaznaczyłem, opisem procesu w którym dane są przetwarzane. 

Proces przetwarzania danych

W późnych latach 90-tych ubiegłego wieku pojawiło się kilka opracowań związanych z tzw. cyklem życia informacji. Mniej więcej cykl ten pokrywa się z procesem przetwarzania, jednak jako taki pomija istotną kwestię, zawartą w tzw wtórnym wykorzystaniu informacji. W kontekście analizy procesu przetwarzania jest to najczęściej nic innego jak wytworzenie bądź pozyskanie nowych informacji. 

Przebieg procesu

Analizując definicję przetwarzania danych osobowych natykamy się na półotwarty katalog, który możemy spokojnie poszerzać o inne operacje na danych osobowych oraz kombinacje tych operacji. Wprowadzenie aż tak dużej ilości przykładowych operacji (nie kategorii przetwarzania) bywa nieco mylące, szczególnie dla początkujących w branży. Natomiast przebieg procesu jest dużo bardziej prosty i składa się co do zasady z czterech etapów:

  • Wytworzenie, pozyskanie informacji
  • Użytkowanie (przetwarzanie właściwe)
  • Wycofanie z użytkowania; 
  • Zniszczenie, usunięcie po prostu pozbycie się informacji. 

Kilka słów komentarza, zanim przejdę do omówienia właściwego mapowania procesu przetwarzania danych i dobrodziejstw z tego płynących. 

Informacje – nazywane czasem niewłaściwie danymi, są to zestawy danych, które nas o czymś informują. W przypadku danych osobowych, musi zaistnieć zestaw, aby osobę zidentyfikować, a więc zestaw danych wytwarza informacje o osobie, z konkretnym wskazanym celem (identyfikacja) w przypadku pierwszym. W drugim przypadku, dane dotyczące już zidentyfikowanej osoby dostarczają kolejnych informacji wytwarzanych na podstawie zestawu: zidentyfikowana osoba+nowe dane. 

Przetwarzanie właściwe – są to operacje w których informacje są wykorzystywane aktywnie. RODO przewiduje jako jedną z operacji przetwarzania przechowywanie. Jest to dość trudne do zrozumienia w naszym słowniku pojęciowym, niemniej pisząc przetwarzanie właściwe mam na myśli właśnie aktywne korzystanie z informacji. Natomiast w etapie – wycofanie z użytkowania to jest etap w którym dane są już w backupach, czy archiwach i czekają na ponowne wykorzystanie bądź usunięcie. Według definicji RODO to nadal jest przetwarzanie. 

Jak korzystać? – na przykładzie gromadzenia danych

W trakcie analizy procesu przetwarzania danych osobowych warto zastanowić się, w których miejscach można zaprojektować zabezpieczenia, które nie pozwolą na przetwarzanie niezgodnie z przepisami oraz z naruszeniem praw i wolności. Dobrym przykładem jest etap w którym dane osobowe są gromadzone, niezależnie czy wprowadzane do organizacji, czy wytwarzane poprzez zestawienie czynników i rejestrowane jako zupełnie nowa dana osobowa. Ważne na tym etapie są praktycznie wszystkie atrybuty:

  • Poufność – abyśmy wiedzieli, komu, jakiemu procesowi, jakiej aktywności możemy przypisać prawo do wykonywania operacji na danych (modyfikacja, wprowadzanie, aktualizacja, etc). Brak takiego rozważenia może spowodować nadmierne ograniczenie w zakresie przetwarzania danych jak i zbyt szerokie udostępnienie. 
  • Integralność – abyśmy byli pewni, że do przetwarzania w organizacji dostarczone zostały dane właściwe. Brak takiego rozważenia może spowodować naprawdę katastrofę, bo dane same w sobie nieintegralne będą już naruszeniem. A jeśli dojdzie do wtórnego przetwarzania i wytworzenia nowej informacji, od razu będzie obarczona błędem (dziedziczenie). 
  • Dostępność – podobnie jak z poufnością, projektujemy kto i w jakiej formie będzie miał dostęp do danych (czas, forma, etc). Brak rozważenia tego atrybutu może również prowadzić do naruszenia.

Dodatkowo zaprojektowanie wprowadzenia danych do użytkowania (rozpoczęcie przetwarzania) w taki sposób dostarcza dowodów na realizację fundamentalnych zasad RODO, a dla administratora jest to po prostu rozliczalność. 

Dlaczego takie podejście?

Otóż jeśli przypiszemy odpowiednie etapy procesu, otrzymujemy wiele cennych informacji co do celów stosowania zabezpieczeń (jak w przykładzie o wprowadzeniu do organizacji nowych danych). Ale co równie istotne, dowiemy się również kiedy i jakie dane POZYSKUJEMY, co w wielu przypadkach jest kluczowe dla ustalenia okresu przechowywania (retencji) danych, obowiązków informacyjnych, treści rejestrów czy procedur. W tym procedury związanej z prawem do bycia zapomnianym. 

Przykład

Najlepiej tłumaczy się na przykładach, a jednym z moich ulubionych jest proces kadrowy. Proponuję dla treningu każdemu z RODOmaniaków przegląd własnego procesu kadrowego, w aspektach kadrowym i płacowym. W wielu przypadkach pojawia się ogromne zdziwienie, w momencie w którym wskazuję miejsca GROMADZENIA nowych danych osobowych. Schowanych właśnie pod pojęciem wtórnego wykorzystania (w cyklu życia informacji). A więc takiego zestawienia, które powoduje wytworzenie całkowicie nowych danych osobowych. 

Płace. Praktycznie co miesiąc wytwarzane są nowe dane osobowe, dotyczące wysokości wynagrodzenia, które jest zależne od absencji, czasem stanu zdrowia, sytuacji rodzinnej czy nawet wieku. Dane są następnie gromadzone najczęściej już w systemach IT. A na ich podstawie wykonywane są kolejne czynności, czyli przetwarzanie właściwe. Następuje naliczenie i zatwierdzenie płacy, wypłata wynagrodzenie. I dane lądują w archiwach, backupach, etc. 

Mała uwaga. Praktycznie każdy proces jaki zachodzi w organizacji w jakiś sposób wytwarza nowe informacje. Część z nich będzie wprost danymi osobowymi, których wytworzenie, zgromadzenie i rozpoczęcie przetwarzania powinno być zidentyfikowane. W przeciwnym razie organizacja będzie miała problem z właściwym określeniem gdzie i jakie dane przetwarza, a to już pierwszy krok do dużych i kosztownych problemów (np. zapomnienie). 

Na czasie…

Artykuł powstał tydzień temu, ale ostatnio atmosferę podgrzewa kolejna kara z RODO, dlatego postanowiłem nieco zmienić zakończenie. Według decyzji organu nadzorczego jednym z elementów jaki wpłynął na nałożenie kary było dość kuriozalne odwołanie zgody. W skrócie użytkownik, który otrzymał przesyłkę drogą mailową i chciał odwołać zgodę klikał w link i… musiał wskazać powód odwołania zgody. I tu się zatrzymamy. 

Taka informacja też jest daną osobową. Zależnie od tego co w ankiecie było zamieszczone, takie dane były do organizacji wprowadzane. Jak wynika z dość pobieżnej lektury dialogu między organem, a spółką dość wyraźnie widać, że osoba projektująca system ochrony danych osobowych nie zidentyfikowała tego punktu jako miejsca gromadzenia danych. 

Częsty błąd

Tu pojawia się błąd wynikający z oparcia się tylko na przebiegu procesu organizacji (głównego, pomocniczego, czy zarządczego). Mniej doświadczeni specjaliści od bezpieczeństwa informacji czy danych osobowych błędnie identyfikują początek procesu przetwarzania z początkiem procesu. A to jak widać na przykładzie procesu kadrowego, czy “procesu” odwołania zgody jest ogromnym błędem. 

Jak sobie poradzić? Etap gromadzenia danych

Od jakiegoś czasu dodaję do artykułów elementy poradnikowe. Dziś podobnie, kilka porad dla etapu gromadzenia danych. Zarówno wprowadzenia nowych z zewnątrz, jak i wytworzenia własnych. Więc w punktach:

  • Zidentyfikuj dokładnie miejsca w procesie, gdzie są wytwarzane i gromadzone nowe dane osobowe; 
  • Dokonaj ich analizy na zgodność z wymaganiami art 5 (wystarczy spokojnie lista kontrolna);
  • Zidentyfikuj podstawy przetwarzania z 6 (co prawda 5.1.a już to zawiera, ale będzie łatwiej stworzyć informację dla osoby);
  • Zidentyfikuj zagrożenia dla tych danych, w obszarach utraty atrybutów (poufność, dostepność, integralność) oraz przetwarzania z naruszeniem ustawy (głównie prawa osób oraz bezpieczeństwo danych). 
  • Zidentyfikuj co może być zabezpieczeniem już istniejącym
  • Zaprojektuj nowe zabezpieczenia. 
  • TESTUJ!!! 

Rejestruj to wszystko w swoich dokumentach zgodnie z poradami z artykułu: Rozliczalność w RODO

Druga porada, gdzie szukać?

Wszędzie, gdzie zmieniają się parametry. Zamówienia od klientów, bo mogą wpływać na wysokości rabatów a nawet nagrody. Pracownicy, praktycznie w całości procesu kadrowego. Oceny okresowe, kary, nagany znów to wszystko może wpływać na prawa osoby (mobbing, molestowanie, wysokość wynagrodzenia, etc). 

1 KOMENTARZ

Comments are closed.