Jak przeprowadzić i dokumentować planowe sprawdzenia (+wzory)

Jednym z zadań ABI-ego (zobacz najcześciej stosowane skróty) jest zapewnienie przestrzegania przepisów o ochronie danych osobowych. Zgodnie z art. 36a ust.2 pkt 1 lit. a UODO (zobacz najcześciej stosowane skróty) realizuje on je m.in. poprzez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Opracowuje również  w tym zakresie sprawozdania dla ADO (zobacz najcześciej stosowane skróty). Przeprowadzanie sprawdzeń uregulowane jest w §3, 4 i 5 rozporządzenia w sprawie trybu i sposobu realizacji zadań.

 Artykuł ten jest elementem cyklu ustawowe obowiązki ABI, w skłąd którego wchodzą również:

  1. Plan sprawdzeń (+ WZÓR PLANU)
  2. Realizacja planowych sprawdzeń (+WZORY DOKUMENTACJI)
  3. Nadzór nad dokumentacją
  4. Prowadzenie rejestru zbiorów (+WZÓR REJESTRU)
  5. Zapoznanie pracowników z przepisami o ochronie danych osobowych (+WZÓR PREZENTACJI)  

Dokonywane zgodnie z planem sprawdzeń

Sprawdzenia planowe, jak sama nazwa wskazuje przeprowadza się zgodnie z wcześniej ustalonym planem sprawdzeń, który dokładnie omiawiałem w tym wpisie. Plan określa terminy, przedmiot i zakres  sprawdzeń. Dokonywane sprawdzenie musi być z nimi zgodne.

reklama

Program sprawdzenia

Przed wykonaniem sprawdzenia warto jest sporządzić program sprawdzenia. Ułatwi on jego przeprowadzenie, a także pozwoli zaplanować zbieranie informacji niezbędnych do napisania sprawozdania dla ADO. Program sprawdzenia można porównać do planu sprawdzeń jednak sporządzany jest on na potrzeby pojedyńczego sprawdzenia.

Program sprawdzenia może zawierać takie informacje jak:

  1. Termin (planowana data rozpoczęcia i zakończenia sprawdzenia);
  2. Zakres;
  3. Przedmiot;
  4. Planowane dokonanie czynności;
  5. Osoby biorące udział w czynnościach;

Przykładowy program sprawdzeń znajdziecie tutaj.

Zawiadomienie kierownika jednostki organizacyjnej

Na co najmniej 7 dni przed dniem przeprowadzenia czynności zawiadamiamy kierownika jednostki organizacyjnej objętej sprawdzeniem o zakresie planowanych czynności oraz terminie ich dokonania. Nie musimy tego jednak robić, gdy posiada on już te informacje (zgodnie z §5 ust.2 rozporządzenia w sprawie trybu i sposobu realizacji zadań.). Zawidomienie kierownika może być dokonane poprez przekazanie mu programu sprawdzenia.

Dokonywanie czynności

W terminie określonym przez nas w programie sprawdzeń rozpoczynamy dokonywanie wskazanych przez nas czynności.

Warto w tym miejscu zaznaczyć, że rozporządzenie w sprawie trybu i sposobu realizacji zadań nie wskazuje kto ma faktycznie przeprowadzać czynności objętę sprawdzeniem. § 4 ust. 1 rozporządzenia w sprawie trybu i sposobu realizacji zadań  określa tylko to, że ABI dokumentuje czynności w toku sprawdzenia. Nie wskazuje jednak kto powinien odbierać wyjaśnienia czy też przeprowadzać oględziny.

Pierwszym pytaniem jakie należy tutaj zadać jest to czy ABI może sam przeprowadzać powyższe czynności?

Na to pytanie należy odpowiedzieć twierdząco, jednak należy też wskazać, że nie jest do tego uprawniony ustawowo. Regulacja tego stanu może jednak zostać dokonana w zakresie obowiązków ABI zamieszczonym w Polityce Bezpieczeństwa.

reklama

Drugim pytaniem jest to czy inne osoby mogą dokonywać czynności w ramach sprawdzenia?

Na to pytanie również należy odpowiedziec twierdząco. Tymi innymi osobami moga być np. audytorzy ISO, przeprowadzający okresowe audyty. Mogą oni odebrać wyjaśnienia, przeprowadzić oględziny, przeanalizować dokumenty oraz sporządzić z tego własne notatki na podstawie to których ABI sporządzi stosowną dokumentację oraz wykona sprawozdanie.

Przykładowymi czynościami jakie mogą być dokonywane w toku sprawdzenia są:

  1. Analiza dokumentów związanych z przetwarzaniem danych osobowych (np. umów z podmiotami trzecimi);
  2. Uzyskanie dostępu do urządzeń, nośników i systemów informatycznych służących do przetwarzania danych osobowych (mogą być wykonywane przy obecności osoby upoważnionej do przetwarzania danych, w tym również zarządzającej systemem zgodnie z §4 ust.3 rozporządzenia w sprawie trybu i sposobu realizacji zadań);
  3. Odbieranie ustnych oraz pisemnych wyjaśnień od pracowników;
  4. Testy penetracyjne IT;
  5. Sprawdzanie przestrzegania procedur przez personel metodą tajemniczego klienta (np. z zakresu realizacji przez nich uprawnień określonych w art. 33 ust. 1 UODO).

Inna czynnością która może być dokonana w trakcie sprawdzenia jest weryfikacja dokumentacji przetwarzania danych osobowych w zakresie:

  1. opracowania i kompletności dokumentacji przetwarzania danych;
  2. zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa;
  3. stanu faktycznego w zakresie przetwarzania danych osobowych;
  4. zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych;
  5. przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.

Dodatkowo rozporządzenia w sprawie trybu i sposobu realizacji zadań (w § 5 ust. 1 ) nakłada na osoby odpowiedzialne za przetwarzanie danych osobowych, których dotyczy sprawdzenie, obowiązek uczestnictwa w sprawdzeniu lub umożliwienia ABI-emu przeprowadzenia czynności w toku sprawdzenia.

Dokumentowanie czynności

Podczas dokonywania sprawdzenia dokumentujemy czynności przeprowadzone w toku sprawdzenia, w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do opracowania sprawozdania (zgodnie z §4 ust.1 Rozporządzenia).

Dokumentując czynności powinniśmy mieć w pamięci to, że na ich podstawie będziemy musieli sporządzić sprawozdanie. Jednym z elementów sprawozdania jest opis stanu faktycznego stwierdzonego w toku sprawdzenia. Musim zatem zbierać tak informację by pózniej na ich podstawie móc opisać stan faktyczny oraz inne informacje istotne dla oceny  zgodności przetwarzania danych osobowych.

Czynności dokumentujemy w sposób nieformalny- notatkami (Notatka z podjętych czynności- przykład). Możemy je sporządzić z :

reklama

  1. uzyskania dostępu urządzeń, nośników i systemów informatycznych służących do przetwarzania danych osobowych
  2. zebranych wyjaśnień (Notatka z odebrania ustnych wyjaśnień-przykład)
  3. oględzin miejsc przetwarzania danych osobowych (Notatka z oględzin- przykład)

Chcąc uwiecznić zastany stan faktyczny, niezbędny dla oceny zgodności możemy również sporządzić kopie:

  1. otrzymanego dokumentu
  2. obrazu wyświetlonego na ekranie
  3. zapisów rejestrów systemu informatycznego, zapisów konfiguracji technicznych środków zabezpieczeń technicznych środków zabezpieczeń tego systemu.

Dokumenty możemy sporządzić się w postaci elektronicznej albo papierowej (zgodnie z §4 ust.4 Rozporządzenia). Należy jednak pamiętać, że będziemy musieli je dołączyć do sprawozdania.

Podsumowanie

Realizując obowiązek cyklicznych sprawdzeń ABI musi pamiętać o tym, by odbywały się one w oparciu o wcześniej ustalony plan sprawdzeń. Dokonywanie sprawdzeń musi być dokonywane także w przedmiocie i zakresie wcześniej ustalonym. Przed podjęciem czynności niezbędne jest również zawiadomienie o zakresie i terminie kierownika jednostki organizacyjnej w której będziemy przeprowadzać sprawdzenie. Po zakończeniu sprawdzenia w terminie 30 dni ABI musi przekazać ADO jego sprawozdanie (o treści wskazanej w art. 36c UODO). Sprawozdanie zostanie omówione przeze mnie w następnym wpisie.

Pobierz dokumentowanie sprawdzenia-wzory

Zapisz się na mój newsletter by otrzymać klucz do archiwum zabezpieczającego pliki.

Uwaga! Hasło jest wysyłane po potwierdzeniu maila!



Zapoznaj się z Regulaminem portalu i polityką prywatności Administratorem podanych przez Pana/ Panią danych osobowych jest DPO Maciej Chodorowski Legal Advice z siedzibą w Warszawie (02-762), przy ul. Barcelońskiej 9/92. Dane będą przetwarzane w celu wysyłki newslettera oraz celu wysyłania przez administratora treści marketingowych administratora i podmiotów współpracujących na zasadach określonych w regulaminie portalu. Podanie adresu e-mail jest dobrowolne, lecz jego podanie jest niezbędne do zapisania się do newsletter. Udostępnienie identyfikującego adresu elektronicznego. jest uznawane jako zamówienie informacji handlowej zgodnie z art.10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną. Ma Pan/ Pani prawo dostępu do treści swoich danych oraz ich poprawiania.

Czy Waszym zdaniem przeprowadzenie sprawdzenia może być problematyczne? Może uważacie, że ABI powinien tylko dokumentować czynności, a nie je faktycznie wykonywać?

  • Pingback: Ustawowe obowiązki ABI - Jak chronić informacje()

  • Pingback: Plan sprawdzeń (+wzór) | Ustawowe obowiązki ABI - Jak chronić informacje()

  • czytelnik

    Moim zdaniem tak duże uszczegółowienie obowiązków ABI w rozporządzeniu oraz narzucenie tak dużego ich zakresu to przegięcie na szeroką skalę. Zwane przez wnioskodawców „Ułatwienie” przedsiębiorcom tak naprawdę znacznie utrudniło życie. Tworzenie prawa niemożliwego do realizacji to po prostu kpina ustanawiających z Obywateli Kraju. Są podmioty, którym dość łatwo sprostać nowym zadaniom – po prostu jest na nie stać ale są – przede wszystkim mikro podmioty, które w pełni lub wcale tego nie zrealizują.

    Ustawodawca zapewne to przewidział aby mieć bat praktycznie na każdego.

    Wystarczy prześledzić ile podmiotów zarejestrowało ABI i ile zarejestrowało swe bazy w GIODO i dochodzimy do wniosku, że prawo przestrzega zaledwie 1% podmiotów a reszta została zepchnięta za jego margines.

    Aby stanowione prawo było przestrzegane musi być tak stanowione aby było możliwe do realizacji przez WSZYSTKICH.
    Po co tworzyć fikcję.
    Mam nadzieję, że szykowana aktualizacja przepisów Ochrony Danych Osobowych – wymuszona niejako przez Unię Europejską (w grudniu 2015r) zliberalizuje obecne rozwiązania.

    • Witam,
      mogę zgodzić się z Panem, ale tylko częściowo.
      To prawda, że nie można ustalać prawa, które nie jest możliwe do realizacji. Należy jednak pamiętać, że nie ma obowiązku powołania ABI przez przedsiębiorcę. W przypadku nie powołania ABI przedsiębiorca nie musi przeprowadzać sprawdzeń zakończonych sprawozdaniem lub na wniosek GIODO, nie musi też tworzyć jawnego rejestru danych osobowych.
      Aktualizacja UODO (planowana na końcówkę 2016 r.) związana z reformą unijną może paradoksalnie nie przynieść drastycznych zmian w szczegółowych obowiązkach zabezpieczeń. Należy pamiętać o tym, że Państwa Członkowskie będą posiadać uprawnienie do wprowadzenia jeszcze dalej idącego sposobu zabezpieczeń danych osobowych niż jest to ustalone przez rozporządzenia GDPR.