Mapa świadomości

UODO (https://uodo.gov.pl/pl/123/214, ostatnia modyfikacja 09.10.2018)

"[...] Ważne, żeby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić wymagane w art. 30 ust. 1 i 2 RODO elementy w odniesieniu do wszystkich prowadzonych procesów przetwarzania danych osobowych, w sposób czytelny i przejrzysty. [...] Grupa Robocza Art. 29 [...] przyjęła stanowisko, w którym wskazuje, w jakich przypadkach administratorzy lub podmioty przetwarzające zatrudniające mniej niż 250 pracowników, muszą prowadzić rejestr czynności przetwarzania.

Obowiązek ten trzeba realizować, gdy przetwarzanie:

• może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
• nie ma charakteru sporadycznego;
• obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Przy czym dla powstania obowiązku prowadzenia rejestru czynności przetwarzania wystarczy, że zachodzi którakolwiek z tych sytuacji samodzielnie. Rejestr czynności przetwarzania trzeba jednak prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania. [...]"

W praktyce działań po stronie osoby wiodącej w zakresie ochrony danych osobowych (w szczególności IOD/DPO; https://sites.google.com/view/rodo2018/uzupe%C5%82nienia/iodo-dpo) rejestr czynności przetwarzania (RCP) może służyć zmapowaniu (zewidencjowaniu, zinwentaryzowaniu, zidentyfikowaniu, skatalogowaniu, rozpoznaniu, spisaniu, zaudytowaniu,…) zasobów informacyjnych danej Organizacji pod kątem przetwarzania danych osobowych i dokonania w następstwie oceny, czy właśnie względem niektórych czynności nie powstaje obowiązek prowadzenia RCP?

Mapa świadomości

Dodatkowo w konsekwencji działań podejmowanych w związku z art. 24 i 32 osoba wiodąca (lub właśnie IDO/DPO) powinna najbardziej znacząco się przyczynić do ewentualnej realizacji obowiązków wynikających z art. 35: „Jeżeli dany rodzaj przetwarzania” (w ramach skatalogowanych czynności przetwarzania) – „w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”. W literaturze przedmiotu ten etap jest określany mianem realizacji DPIA.

Co prawda literalnie w art. 35 chodzi o „ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych”, ale już „ocena ryzyka naruszenia praw lub wolności osób fizycznych” powinna należeć do zakresu ciągłych działań w zakresie oceny danych czynności przetwarzania.

Czyli warto doprowadzić do zaistnienia rejestru (katalogu, mapy, ewidencji, inwentaryzacji, identyfikacji rozpoznania, spisania,…) czynności przetwarzania mając na uwadze te wszystkie wyżej wskazane zobowiązania.

Jednym z istotniejszych elementów tego mapowania (takie określenie będzie tu używane dalej w rozumieniu takim, że może prowadzić do powstania RCP) jest „mapa świadomości zgodnego z prawem przetwarzania danych osobowych” – dlatego za wskazane należy uznawać to, że każdy kto ma do czynienia (lub być może ma do czynienia) w danej Organizacji z danymi osobowymi, powinien dokonać pożądanego wypełnienia proponowanego tu formularza eRCP; powstająca mapa (katalog, rejestr,…) będzie mogła być traktowana w szczególności jako znaczący element wykazywania bieżącego stanu świadomości konieczności bycia zgodnym z RODO oraz jako „platforma wyjściowa” do realizacji kolejnych obowiązków wynikających z wprowadzania RODO.

Więcej pozytywnej argumentacji na rzecz podjęcia proponowanych tu działań prowadzących do powstania mapy czynności przetwarzania a w konsekwencji rejestru czynności przetwarzania zawarto pod adresem https://sites.google.com/view/rodo2018/uzupe%C5%82nienia/iodo-dpo.

W przypadku zaistnienia chęci skorzystania z pełni możliwości usługi eRCP

...potrzebne jest uzyskanie kodu danej Organizacji (będzie pełnił rolę filtrowania informacji związanej z daną Organizacją) - kod można uzyskać w kontakcie z autorem (k.slugocki@egocki.pl). W ramach chęci przetestowania formularza można korzystać z kodu: TEST

Przed dokonywaniem wypełnień każdemu z wypełniających należy przydzielić jego indywidualny i unikalny kod identyfikujący (według dowolnego klucza); po stronie osoby zarządzającej wykorzystaniem formularza w danej Organizacji powinna być dostępna lista osób biorących udział w wypełnianiu formularza eRCP wraz z przyznanym kodem identyfikującym.

1. potraktuj rzecz na serio;
2. czytaj uważnie wszystko (nawet jeśli nie rozumiesz – każdy niektóre kwestie, zwłaszcza prawne, powinien przynajmniej ten jeden raz w życiu poznać);
3. dokonaj tylu wypełnień, z iloma, w swym uznaniu, czynnościami przetwarzania (lub zbiorami, lub celami przetwarzania) masz do czynienia.

Z narzędzia (formularz eRCP) skorzystało już wiele podmiotów

W wyniku skorzystania z narzędzia gromadzą się dane – nie są gromadzone żadne informacje identyfikujące daną organizację lub konkretne osoby. Zgromadzone dane mogą stanowić podstawę przygotowania pierwszej wersji mapy (zalążka rejestru czynności przetwarzania RCP). Na potrzebę wyfiltrowania danych dotyczących danej Organizacji właśnie potrzebny jest wskazywany wyżej kod identyfikujący daną Organizację.

Z usługi można na przykład skorzystać w celu budowania pożądanego stanu świadomości „zgodnego z prawem przetwarzania danych osobowych” – tu zatem w celu rozpoznania bieżącego stanu świadomości i rozpoznania zakresu prac o charakterze głównie, w najbardziej prawdopodobnej konsekwencji, najpierw szkoleniowym.

Z usługi można także korzystać (zalecane) po zbudowaniu pożądanego stanu świadomości – tu zatem głównie w celu weryfikowania istniejącego stanu świadomości i/lub pierwotnego zaistnienia rejestru czynności przetwarzania. Można oczywiście łączyć te tu wskazywane i ewentualne inne cele.

1. W wyniku pierwotnego mapowania (tu więc poprzez skorzystanie z usługi eRCP) powstaje baza danych (dostępna w standardowym formacie arkuszowym) w wyniku wyfiltrowania zasobu w oparciu o przyznany kod danej Organizacji.
2. Aby otrzymać tę „surową bazę danych” wystarczy na konto poczty elektronicznej k.slugocki@egocki.pl przesłać informację o zakończeniu etapu wypełnień z koniecznym podaniem przyznanego kodu oraz wskazaniem adresu poczty elektronicznej, na który ma być wysłana baza – do tego miejsca wszystkie czynności nie rodzą żadnych zobowiązań (w szczególności finansowych) po żadnej ze stron.
3. Po otrzymaniu „surowej” bazy danych można ją samodzielnie wykorzystać do przygotowania zamierzonej wersji rejestru czynności przetwarzania.

Tu zaleca się skorzystać ze wskazywanego niżej szablonu RCP lub na podstawie zalecanych utworzyć własny

• Pod adresem https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/documentation/ są dostępne szablony zalecane przez ICO – Information Commissioner’s Office (brytyjski odpowiednik naszego UODO).
• Pod adresem https://uodo.gov.pl/pl/123/214 są dostępne szablony przygotowane przez UODO.
• Pod adresem https://goo.gl/V1RnYH zawarta jest aktualna propozycja szablonu (aplikacja arkusza kalkulacyjnego – pełny adres http://egocki.pl/rodo/RCP.xlsx), przygotowanego przez autora tej publikacji (w zamiarze stanowi platformę wyjściową do dalszych etapów wprowadzania RODO; jest wzorowana na rozwiązaniu brytyjskim; umożliwia prowadzenie rejestru czynności przetwarzania – w tym modelu przyjmowanego jako najważniejszego elementu początkowej fazy dokumentowania zgodnego z prawem przetwarzania danych osobowych w rozumieniu RODO; rzecz dotąd była skutecznie wykorzystywana w trakcie niektórych „wdrożeń RODO”; dzięki temu jest to także już dość znacznie przetestowane; kolejne wdrożenia czynią kolejne wersje chyba coraz bardziej przydatnymi). Jest to propozycja prowadzenia rejestru czynności przetwarzania do wykorzystania po zgromadzeniu odpowiednich danych skutkiem wypełnień formularza eRCP.
• W proponowanym modelu obszary identyfikacji oznaczone zielonym kolorem tła są wymagane w rozumieniu Artykułu 30 RODO; obszary oznaczone kolorem niebieskim mają charakter opcjonalny (zalecany). Proponowany rejestr czynności przetwarzania (w zakresie obszarów oznaczonych kolorem niebieskim) może być zmieniany (zawężany, poszerzany) zgodnie z własną aktualną oceną i własnym aktualnym uznaniem - adekwatnymi dla danego podmiotu.
• Samodzielne przeniesienie danych z „otrzymanej surowej bazy danych” do szablonu RCP jest czynnością bardzo prostą. W bezpłatnym udostępnieniu jest wyłączona funkcja „zautomatyzowanego” przeniesienia odpowiednich danych.

• W przypadku wyrażenia chęci przygotowania i przekazania pierwotnego wypełnienia szablonu RCP na podstawie zgromadzonych danych po mojej stronie (zostanie także dołączona przykładowa analiza jednego z wybranych wypełnień) – po dokonaniu tych czynności wystawiana jest faktura (na wskazane w stosownej korespondencji dane) na kwotę 250,00 zł (netto).
• Przykładowa analiza wypełnienia będzie dotyczyła oceny relacji pomiędzy wskazywanym celem przetwarzania, wskazanym zakresem przetwarzania (w odniesieniu do kategorii danych osobowych oraz ewentualnego czasu przechowywania) oraz wskazaną podstawą prawną zgodnego z prawem przetwarzania (w rozumieniu Artykułów 5 i 6 RODO) wraz z sugestią możliwości wypełniania obowiązku informacyjnego oraz ewentualnej przyszłej potrzeby oceny ryzyka dla ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.
• W przypadku wyrażenia chęci przygotowania po mojej stronie pierwotnego wypełnienia szablonu RCP wraz z pełną analizą tego, co wynika ze wszystkich poszczególnych wypełnień (nie zalecam chęci skorzystania z tego trybu: należy dążyć do samodzielnego w danej Organizacji radzenia sobie z RODO) – będę proponował konieczne zapewne w takim przypadku spotkanie, dyskusję, analizę i w konsekwencji wystawienie faktury z kwotą adekwatną do liczby wypełnień wymagających wskazywanych analiz, z uwzględnieniem kosztów dojazdu (jestem z Dolnego Śląska) i ewentualnie noclegu itp. (przed dokonaniem analiz będę informował i negocjował proponowaną kwotę; faktura będzie wystawiana po dokonaniu wskazywanych czynności i przekazaniu oraz przyjęciu ich wyników). W skrajnych przypadkach (tu nie będę definiował tych możliwych skrajności) mogę z racji ograniczeń czasowych odmówić przygotowania ewentualnych analiz.

1. Po zapoznaniu się z usługą eRCP można samodzielnie po stronie danej Organizacji przygotować analogiczne narzędzie; szablon RCP (szablon rejestru czynności przetwarzania) jest udostępniany bez żadnych zobowiązań.
2. Wiele organizacji ocenia, że należy po swojej stronie użyć mniej lub bardziej zmodyfikowanej wersji proponowanej tu usługi eRCP. Istnieje oczywiście możliwość przekazania danej Organizacji kopii aktualnej wersji formularza usługi eRCP (z pełnią możliwości edycyjnych i analitycznych) – w tym zakresie wymagany jest kontakt z autorem (k.slugocki@egocki.pl) w celu przekazania potrzebnych informacji dostępowych; tu będzie proponowane wystawienie faktury na kwotę 250,00 zł (netto; po otrzymaniu danych niezbędnych do wystawienia faktury i przekazaniu kopii formularza dla danej Organizacji).
3. Jeżeli wybrane spośród wyżej wskazywanych kwestii nie są wystarczająco jasne i komunikatywne - chętnie wyjaśnię ewentualne wątpliwości.