50.
Niepotrzebne wymogi dotyczące prowadzenia dokumentacji składającej się na politykę bezpieczeństwa.
Opis problemu
W obecnych procesach przetwarzania danych osobowych i przy różnych formach wykonywania pracy (np. praca zdalna) nie da się określić obszaru przetwarzania danych osobowych. Załóżmy, że pracownik wydelegowany do podróży służbowej pracuje zdalnie z pociągu podróżując 5 godzin w pociągu relacji Warszawa - Gdańsk. Jak w tej sytuacji przedsiębiorca ma określić w polityce obszar przetwarzania danych osobowych? Podobnie w przypadku chmury obliczeniowej, z której może korzystać każdy przedsiębiorca, gdzie fizyczne zlokalizowanie danych nie jest możliwe. Prowadzenie takiego wykazu z miejscami przetwarzania danych osobowych, które się dynamicznie zmieniają jest znaczną barierą i utrudnieniem dla przedsiębiorców i nie służy zwiększeniu bezpieczeństwa danych osobowych.
Przyczyna prawna lub faktyczna
Par. 4 rozporządzenia MSWIA zawiera m.in. obowiązek prowadzenia:
- wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
- wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
- opisu struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.
Rekomendacja - co należy zrobić
Rezygnacja z wymogu prowadzenia dokumentacji składającej się na politykę bezpieczeństwa.