Rozdział 3 Inwentaryzacja procesów i zasobów biorących udział w procesach

Podobne dokumenty
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

I. Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Instrukcje i przykłady wypełniania arkuszy inwentaryzacyjnych odo

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Ocena skutków przetwarzania

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM, SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ IM. PROF

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

Wdrożenie Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 w ZGiUK Sp. z o.o. w Lubaniu

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

Bezpieczeństwo informacji w call center. Jak nim zarządzać? Warszawa, dn. 9 marca 2011 r.

Ochrona danych osobowych w biurach rachunkowych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Cel przetwarzania Kategorie osób Kategorie danych. Art.. 30 ust. 1 pkt b Art.. 30 ust. 1 pkt c Art.. 30 ust. 1 pkt c

Rejestr czynności przetwarzania danych

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

POLITYKA BEZPIECZEŃSTWA

REJESTR CZYNNOŚCI PRZETWARZANIA

Euler Hermes Informacja o polityce prywatności w procesie rekrutacji

Przez dane osobowe rozumiemy dane żywej osoby, która może zostać. zidentyfikowana dzięki wykorzystaniu tych danych. Przetwarzanie przez nas

wykorzystaniu tych danych. Przetwarzanie przez nas Twoich danych osobowych jest

POLITYKA BEZPIECZEŃSTWA

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

1 Zakres Regulaminu. integralności, rozliczalności przetwarzania danych osobowych. 2 Pojęcia używane w Regulaminie

POLITYKA PRYWATNOŚCI. Postanowienia Ogólne

Reforma ochrony danych osobowych RODO/GDPR

POLITYKA BEZPIECZEŃSTWA

Polityka bezpieczeństwa informacji

Polityka Prywatności Przetwarzania Danych Osobowych Kandydatów REKRUTACJA ZA POŚREDNICTWEM PORTALU

SOLIDNA SZKOŁA ŻEGLARSTWA tel

Inspektor Ochrony Danych w podmiotach publicznych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

SPOTKANIE PROGRAMOWE AGENTÓW TURYSTYCZNYCH

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

Protokół powykonawczy

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

POLITYKA OCHRONY DANYCH OSOBOWYCH

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

:00 17:00. Organizator szkolenia: Związek Pracodawców Ziemi Jaworskiej

Załącznik nr 1: Rejestr czynności przetwarzania [Wykaz zbiorów danych osobowych] Administrator: Sądeckie Towarzystwo Muzyczne w Nowym Sączu

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

Al. J. Ch. Szucha 8, Warszawa

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

7. zainstalowane oprogramowanie zarządzane stacje robocze

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Umowa powierzenia przetwarzania danych osobowych. Szkolenie. Katowice, 14 listopada 2018

INFORMACJA DOTYCZĄCA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

STANOWISKO URZĘDNICZE DS. OBSŁUGI INFORMATYCZNEJ ORAZ PROMOCJI GMINY... (nazwa stanowiska pracy)

WYKAZ WZORÓW FORMULARZY

Rejestr czynności przetwarzania Sparkle Studio Pole Dance Białystok

PRZETWARZANIE DANYCH PRZEZ ADMINISTRATORA

POLITYKA PRYWATNOŚCI REKRUTACJA ZEWNĘTRZNA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

NOWE PRZEPISY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH OSOBOWYCH. Agnieszka Wiercińska-Krużewska, adwokat, senior partner 21 września 2017 r.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

POLITYKA PRYWATNOŚCI REKRUTACJA ZA POŚREDNICTWEM PORTALU

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej

POLITYKA OCHRONY DANYCH OSOBOWYCH

POLITYKA PRYWATNOŚCI DLA KANDYDATÓW DO PRACY

Dotyczy komputera przetwarzającego dane osobowe w ramach podsystemu PEFS.

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

Regulamin dostępu testowego do Aplikacji erecruiter

POLITYKA PRYWATNOŚCI INFORMACJA O ZASADACH PRZETWARZANIA DANYCH OSOBOWYCH ZGODNIE Z RODO

POLITYKA BEZPIECZEŃSTWA

REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ CORE CONSULTING SP. Z O.O.

1. Polityka Bezpieczeństwa

Regulamin dostępu testowego do Aplikacji erecruiter

Szkolenie otwarte 2016 r.

Opis przedmiotu zamówienia

RODO a programy Matsol

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

Transkrypt:

3. Inwentaryzacja procesów i zasobów biorących udział w procesach Rozdział 3 Inwentaryzacja procesów i zasobów biorących udział w procesach Inwentaryzacja procesów Po przeprowadzonej ocenie skutków przetwarzania organizacja powinna skupić się na opracowaniu i regularnym aktualizowaniu rejestru czynności przetwarzania (w zależności od tego, czy posiada obowiązek prowadzenia takiego rejestru). Działanie to jest w praktyce uzupełnieniem tabeli stworzonej przy mapowaniu procesów. Każdy właściciel procesu powinien wypełnić poniższy arkusz, uzupełniając poszczególne kolumny zgodnie ze stanem faktycznym. Opis pola informacyjnego Nazwa administratora danych: Dane kontaktowe administratora: Cel przetwarzania danych: Kategorie osób, których dane dotyczą: Kategorie danych przetwarzane w procesie: Kategorie odbiorców danych: Państwo trzecie, do którego przekazuje się dane: Planowany termin usunięcia danych: Opis zabezpieczeń technicznych: Opis zabezpieczeń organizacyjnych: REJESTR CZYNNOŚCI PRZETWARZANIA Inspektor Ochrony Danych: iod@[nazwadomeny].pl Dane XYZ sp. z o.o. ul. Piękna 45, 03-456 Kraków PROCES REKRUTACJI Wybór kandydata do pracy Kandydaci do pracy Imiona, nazwiska, numer telefonu, adres zamieszkania, data urodzenia, wykształcenie, staż pracy, doświadczenia, kursy, dyplomy etc. Brak Brak 2 lata od ostatniej zmiany na danych kandydata do pracy Fizyczna kontrola dostępu do danych, zapora ogniowa na styku z siecią publiczną, oprogramowanie antywirusowe, szyfrowane połączenie z oprogramowaniem zewnętrznym Polityka haseł, polityka kluczy, polityka czystego biurka, procedura korzystania z urządzeń przenośnych 55

Dokumentacja wdrożenia RODO W wyniku podjętych działań organizacja będzie posiadała rejestr czynności przetwarzania, który będzie mogła udostępnić organowi nadzorczemu na jego żądanie. Warto pamiętać, że organizacja może posiadać również obowiązek prowadzenia takiego rejestru, gdy będzie procesorem danych w stosunku do powierzonych danych. W takim przypadku zakres rejestru jest jednak nieco odmienny (bardziej ograniczony). REJESTR CZYNNOŚCI PRZETWARZANYCH W IMIENIU ADMINISTRATORA XYZ sp. z o.o. Inspektor Ochrony Danych: iod@[nazwadomeny].pl Opis pola informacyjnego Nazwa podmiotu przetwarzającego: Dane kontaktowe podmiotu przetwarzającego: Dane ABC sp. z o.o. ul. Długa 54, 03-987 Poznań PROCES REKRUTACJI Kategorie przetwarzań dokonywanych w imieniu Zbieranie, modyfikowanie i usuwanie danych administratora: Państwo trzecie, do którego przekazuje się dane: Brak Opis zabezpieczeń technicznych: Fizyczna kontrola dostępu do danych, zapora ogniowa na styku z siecią publiczną, oprogramowanie antywirusowe, szyfrowane połączenie z oprogramowaniem zewnętrznym Opis zabezpieczeń organizacyjnych: Polityka haseł, polityka kluczy, polityka czystego biurka, procedura korzystania z urządzeń przenośnych Podsumowując, organizacja musi legitymować się pełnym rejestrem czynności przetwarzania danych, co do których jest ona administratorem, a jeżeli otrzymuje do przetwarzania dane osobowe powierzone przez innego administratora, powinna prowadzić rejestr czynności przetwarzania danych powierzonych. Objętość obu dokumentów nie jest zbyt duża, należy jednak pamiętać o konieczności aktualizowania na bieżąco rejestrów (tak by odzwierciedlały stan faktyczny). Inwentaryzacja zasobów biorących udział w procesach Inwentaryzacja zasobów jest działaniem złożonym, a poziom szczegółowości tego działania w dużej mierze zależy od kontekstu organizacji. Przykładowo: jeżeli organizacja jest mała, to identyfikacja procesów może odbywać się na dość wysokim poziomie ogólności (np. dokumenty w wersji elektronicznej). Jeżeli jednak organizacja jest większa lub bardziej złożona organizacyjnie, wtedy poziom szczegółowości identyfikacji poszczególnych zasobów powinien być zdecydowanie większy (np. kadrowe dokumenty w wersji elektronicznej). Celem inwentaryzacji zasobów jest identyfikacja 56

3. Inwentaryzacja procesów i zasobów biorących udział w procesach wszystkich zasobów biorących udział w każdym poszczególnym procesie. W celu ułatwienia takiego działania możemy wytypować kategorie zasobów, które prawdopodobnie pojawią się w procesach: Grupa zasobu Nazwa zasobu rekrutacji Jan Kowalski zatrudnienia Piotr Nowak sprzedaży Barbara Nowak T/N/BD T/N/BD T/N/BD Budynki ul. Piękna 34, 90-435 Kraków i pomieszczenia ul. Długa 1, 89-392 Poznań Nie Tak Tak Al. Niepodległości 5, 90-345 Nie Tak Tak Gdynia Infrastruktura Komputery PC stacjonarne Tak Nie Nie informatyczna Laptopy Smartfony Routery Serwer plików Tak Tak Nie Serwer poczty Serwer backup Elektroniczne nośniki danych UPS Tak Tak Nie Taśmy magnetyczne Tak Tak Nie Narzędzia programowe MS Office / Open Office (aplikacje) Płatnik Nie Tak Nie CRM Nie Tak Tak ERP Nie Tak Nie Thunderbird Urządzenia biurowe Niszczarka Tak Tak Nie Drukarka Skaner Meble zamykane na klucz Tak Tak Nie Szafa ogniotrwała Nie Tak Nie Zasoby ludzkie Zarząd Kierownicy jedn. org. Pracownicy administracyjni Pracownicy terenowi Nie Nie Tak Pracownicy IT 57

Dokumentacja wdrożenia RODO Grupa zasobu Główne umowy Nazwa zasobu Umowa z administratorem CRM rekrutacji Jan Kowalski zatrudnienia Piotr Nowak sprzedaży Barbara Nowak T/N/BD T/N/BD T/N/BD Nie Tak Tak Umowa z administratorem ERP Nie Tak Tak Umowa z firmą niszczącą dokumenty Umowa z hostingiem poczty elektronicznej Umowa z dostawcą portalu Tak Nie Nie rekrutacyjnego Know-how Procedura obsługi klienta Nie Nie Tak Procedura nadawania Nie Tak Tak uprawnień Procedura kontroli dostępu Procedura odtwarzania danych Inne Samochody służbowe Nie Nie Tak Dokumenty w wersji papierowej Dokumenty w wersji elektronicznej (doc., xml, pdf etc.) Zgodnie z powyższą tabelą organizacja identyfikuje zasoby i przypisuje je do poszczególnych procesów. Warto pamiętać o tym, że w niektórych procesach zasoby nie występują, więc w kolejnym kroku właściciele tych procesów nie będą musieli określać ryzyka w stosunku do wyszczególnionych wcześniej zasobów. Inwentaryzacja zasobów powinna być przeprowadzana nie rzadziej niż raz w roku, jednak wszystko zależy od dynamiki zmian w organizacji. Przykładowo: jeżeli dochodzi do przeprowadzki lub otwarcia nowej lokalizacji zamiejscowej, to wówczas inwentaryzację zasobów trzeba zaktualizować. Podsumowując, inwentaryzacja zasobów jest niezbędna do tego, by przeprowadzić analizę ryzyka w stosunku do zasobów. Pamiętajmy, że powinniśmy uwzględnić wszystkie zasoby biorące udział w procesach, tak by niczego nie pominąć. W praktyce kolejna aktualizacja będzie dużo łatwiejsza (wtedy tylko dodajemy zasoby lub zmieniamy ich przyporządkowanie do poszczególnych procesów, np. po zakupie niszczarki dla działu sprzedaży wystarczy zmienić jedną pozycję Nie na Tak ). 58

4. Analiza ryzyka w stosunku do zasobów Rozdział 4 Analiza ryzyka w stosunku do zasobów Po przygotowaniu inwentaryzacji zasobów wiemy już, w jakich procesach jakie zasoby występują. W kolejnym kroku powinniśmy przeprowadzić analizę ryzyka w stosunku do zidentyfikowanych zasobów. W tym celu skorzystamy z arkusza analizy ryzyka por. tabela na następnej stronie. Największym problemem podczas przeprowadzania analizy ryzyka będzie znalezienie zagrożeń dla poszczególnych zasobów. Często nie jesteśmy w stanie wyobrazić sobie zagrożenia. Dlatego dobrze jest albo wyszukać w Internecie możliwe zagrożenia dla poszczególnych zasobów lub, jeżeli mamy powołanego IOD, zapytać go o zagrożenia w stosunku do konkretnych zasobów. 59

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres