Przetwarzanie danych na dużą skalę – jakie przepisy regulują ten proces?
Przetwarzanie danych na dużą skalę zachodzi wtedy, gdy przetwarza się znaczącą ilość danych należących do wielu osób na dużym obszarze przez długi czas. Takie tłumaczenie wynika z przepisów, jednak w rzeczywistości nie wszystkie czynniki muszą występować jednocześnie. Jakie normy regulują przetwarzanie danych?
Czym jest i co oznacza przetwarzanie danych?
Przetwarzanie danych osobowych to pojęcie, które uwzględnia i opisuje wiele skomplikowanych czynności i operacji, jakie są dokonywane na informacjach o osobach fizycznych. Przetwarzanie danych obejmuje przechowywanie pojedynczych danych, jak i całych zbiorów informacji. Jest to pojęcie, które zostało zawarte w przepisach o ochronie danych osobowych RODO. Zgodnie z art. 4 pkt. 2 przetwarzanie danych jest zestawem operacji, które w zautomatyzowany lub niezautomatyzowany sposób umożliwiają organizowanie, wykorzystywane, pobieranie, a także inne czynności związane z udostępnianiem czy usuwaniem danych.
Przetwarzanie danych osobowych – normy, które warto znać
Przetwarzanie danych osobowych musi być zgodne z prawem, a podejmowane czynności muszą opierać się na przesłankach, ale przede wszystkim na normach regulowanych przez przepisy prawne. Podstawą prawną przetwarzania danych jest art. 6 RODO, który określa, że przetwarzanie danych osobowych zgodnie z prawem ma miejsce tylko wtedy, gdy jest spełniony co najmniej jeden z wymienionych w normie warunków. Co więcej, istnieją dodatkowe normy regulujące przetwarzanie danych. Są to:
- PN-ISO/IEC 29134:2018-11 – wersja polska – norma opisuje techniki informatyczne i techniki bezpieczeństwa dotyczące wskazań mających na celu ocenę skutków dla prywatności. W normie znajdują się zapisy o procesie oceny skutków dla prywatności, a także dla struktury i zawartości raportów.
- PN-ISO/IEC 29100:2017-07 – wersja angielska – jest to norma, w której można sprawdzić ramy prywatności dotyczące takich obszarów jak zdefiniowanie ról w procesie przetwarzania danych, definicje zabezpieczeń, opisy testowania, zapewnienia informatyczne i technologiczne, a także dotyczące zabezpieczeń prywatności przy przetwarzaniu danych.
- PN-EN ISO/IEC 27001:2017-06 – wersja polska – można w niej znaleźć zapisy o zarządzaniu bezpieczeństwem i utrzymaniu procesu w przedsiębiorstwie niezależnie od jego wielkości.
- PN-EN ISO/IEC 27002:2017-06 – wersja polska – określa niezbędne do spełnienia standardy i praktyki, które pozwalają na zachowanie bezpieczeństwa przetwarzanych informacji uwzględniając różne środowiska i zastosowane systemy zarządzania zabezpieczeniami.
Trudności z przetwarzaniem danych
Jedną z trudności z przetwarzaniem danych są nieostrości w przepisach i luki, które mogą powodować niebezpieczeństwa związane z nieprzestrzeganiem zasad. Szczególnie istotne w przypadku przestrzegania ochrony danych są normy ISO. Trzeba jednak pamiętać, że normy są jedynie bazą. Podstawą do ich przestrzegania jest wiedza i doświadczenie Inspektora Ochrony Danych, który powinien wyróżniać się odpowiednimi kwalifikacjami, a także umiejętnościami niezbędnymi do wykonywania swoich obowiązków.
Inspektorzy Ochrony Danych są niezbędni w większych organizacjach. Powinni być zatrudnieni zarówno w małych, średnich, jak i dużych przedsiębiorstwach niezależnie od branży. Normy RODO nie określają konkretnych wytycznych w zakresie wyboru norm ISO. Co więcej, polityka firmy nie musi być oparta o normy ISO lub uwzględniać tylko te, które pasują do charakteru przedsiębiorstwa. Rodzaj zabezpieczeń musi być jednak dobrany adekwatnie do ryzyka, jakie wiąże się z przechowywaniem i przetwarzaniem danych w przedsiębiorstwie.
Szkolenia dla Inspektora Danych Osobowych
Podmioty przetwarzające dane na dużą skalę, w szczególności dane dotyczące danych osobowych, o czym mówi art. 9 ust. 1 RODO i danych osobowych dotyczących wyroków skazujących i czynów zabronionych uwzględnione w art. 10 RODO, mają obowiązek powołania Inspektora Ochrony Danych Osobowych. Przedsiębiorstwa, w których przechowuje się i przetwarza dane na dużą skalę powinny zainteresować się odpowiednimi kursami np. Inspektor Ochrony Danych – szkolenie organizowane przez doświadczoną jednostkę Bureau Veritas, oraz inne podobne, które rozszerzą zakres kompetencji pracowników, rozwiną wiedzę i umiejętności, a jednocześnie zabezpieczą dane przez utratą lub bezprawnym wykorzystaniem.