Inwentaryzacja procesów - najprostsza metoda.

Większość organizacji ma poważne problemy przy określaniu listy procesów czy też czynności przetwarzania danych osobowych. Jedne firmy identyfikują za dużo procesów, a inne za mało. Jak zinwentaryzować procesy tak by dało się nimi zarządzać?

Czynniki wyodrębniania procesów

Identyfikację procesów dobrze jest zacząć od określenia kryteriów, którymi będą się różnić od siebie procesy. Standardowo czynnikami tymi byłaby istotność procesu dla organizacji, wartość przychodu generowanego przez proces lub podział na proces zewnętrzny i wewnętrzny. Jednak w przypadku ochrony danych osobowych powinniśmy uwzględnić czynniki wynikające z rejestru czynności przetwarzania. Najprościej jest skorzystać z trzech pierwszych czynników by odróżnić procesy od siebie. Mogą to być:

1. Kategoria osoby której dane dotyczą, czyli np. klient, pacjent, pracownik czy wnioskodawca,
2. Cel przetwarzania danych osobowych w procesie, czyli np. sprzedaż własnych produktów i usług, świadczenie usług medycznych czy archiwizacja dokumentów,
3. Zakres danych przetwarzany w poszczególnych procesach, czyli np. dane identyfikacyjne, dane dot. stanu zdrowia, czy dane księgowe.

1. Identyfikacja kategorii osób

Identyfikację procesów rozpoczynamy od udzielenia odpowiedzi na pytanie:

– Czyje dane przetwarzamy w organizacji?

Szukając kategorii osób nie można pominąć ich różnorodności osób, których dane organizacja przetwarza. Przekładkowo pracownicy i współpracownicy, potencjalni klienci i klienci, etc. Posiadając listę kategorii osób możemy przejść do następnego etapu wyodrębnienia.

2. Identyfikacja celów przetwarzania

Na tym etapie do poszczególnych kategorii osób przypisujemy cel lub cele przetwarzania danych osobowych.

Przykładowo celem przetwarzania danych osobowych klientów może być wydanie/dostawa produktów, przyjęcie i rozliczenie zapłaty, wystawienie dokumentów księgowych.

3. Identyfikacja zakresu danych osobowych

W ostatnim kroku przypisujemy do każdego procesu zakres danych osobowych. Przykładowo w procesie sprzedaży możemy zidentyfikować dane identyfikacyjne klienta, dane dot. sprzedanych produktów, dane dot. zapłaty, dane dot. reklamacji.

Na samym końcu powinniśmy jeszcze raz przyjrzeć się liście procesów i poszukać danych osobowych w naszej organizacji które nie pasują do żadnego ze zidentyfikowanych procesów. Jeżeli tak się stanie to powinniśmy wyodrębnić jeszcze jeden proces.

Postępując w powyższy sposób unikniemy identyfikacji każdego działania z danymi osobowymi jako procesu. Z drugiej strony nie pominiemy żadnego procesu a ustalimy ich dokładnie tyle ile ich jest w rzeczywistości.

wyodrębnianie procesów.
Mapowanie procesów przetwarzania danych osobowych

Mapa procesów

Dobrą praktyką jest stworzenie mapy procesów w formie graficznej. Działanie to najlepiej zobrazuje nie tylko procesy ale również przepływy danych osobowych. Dodatkową zaletą tego działania jest możliwość określenia kierunku przepływu danych oraz określenia momentu pobrania danych. Ostatecznie możemy na każdym etapie przepływu danych określić czynności przetwarzania jakie są wykonywane, czyli np. utrwalanie, modyfikowanie, przechowywanie, usuwanie, etc.

przykładowa mapa procesów
Mapa procesów

W powyższy sposób zidentyfikowane procesy przetwarzania łatwo dadzą się opisać w rejestrze czynności przetwarzania i rejestrze kategorii przetwarzania. Ostatecznie mapa procesów pozwoli również określić kto w organizacji przetwarza dane osobowe w poszczególnych procesach i w jakim zakresie powinien otrzymać upoważnienie do przetwarzania danych osobowych. Czym jest mapowanie procesów i jakie korzyści z niego płyną można doczytać tu:

https://mfiles.pl/pl/index.php/Mapa_proces%C3%B3w

W praktyce im więcej czasu poświęcimy na inwentaryzacje procesów tym mniej będziemy go tracić na zarządzanie systemem ochrony danych osobowych.

Konrad Gałaj-Emiliańczyk

Konrad Gałaj-Emiliańczyk

Ekspert ds. ochrony danych
tel. 514 747 434
mail. kontakt@chron-dane.eu