Realizacja tych zadań wymaga posiadania przez ABI wiedzy zarówno z zakresu przepisów prawa, funkcjonowania systemów teleinformatycznych, informatyki śledczej, ale także wiedzy z zakresu prowadzania szkoleń, ataków socjotechnicznych, kontroli i opracowywania specjalistycznej dokumentacji.
Podobne artykuły:
Właściwe przestrzeganie przepisów o ochronie danych osobowych możliwe jest w szczególności dzięki:
- sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
- opracowywaniu sprawozdań dla administratora danych, dotyczących powyższego zakresu,
- nadzorowaniu opracowania i aktualizowania dokumentacji, wymaganej przepisami o ochronie danych osobowych oraz rozporządzeniami wykonawczymi,
- zapoznaniu osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
- prowadzeniu przez ABI rejestru zbiorów danych osobowych.
W procesie planowania i realizowania sprawdzeń w zakresie zgodności przetwarzania danych osobowych warto współpracować i konsultować się z jednostką audytu wewnętrznego w organizacji. Audyt wewnętrzny posiada wypracowaną metodykę w planowaniu okresowych audytów oraz w przygotowywaniu wymaganej dokumentacji w tym zakresie.
Najpierw plan
Do planu sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych możemy wybrać: proces realizowany w organizacji, jeden ze zbiorów danych lub wybrane systemy, w których przetwarzane są dane osobowe, ale warto również uwzględnić kontrole przestrzegania obowiązków przez procesorów (korzystając z metody doboru próby).
Rozporządzenia wykonawcze do ustawy o ochronie danych osobowych określają:
- przegląd, zakres oraz terminy przeprowadzenia sprawdzenia,
- zasady przygotowania planu sprawdzeń,
- termin przedstawienia planu administratorowi danych (1 miesiąc przed rozpoczęciem sprawdzenia) oraz poinformowania o planowanym sprawdzeniu kierownika jednostki objętej sprawdzeniem (7 dni),
- sposób i zakres dokumentowania sprawdzenia, podobnie jak dla dowodów audytowych.
Uwaga, sprawdzam!
Sprawdzenia mogą być realizowane dla administratora danych, ale również dla Generalnego Inspektora Ochrony Danych Osobowych (GIODO), w trybie:
- sprawdzenia planowego – zgodnie z przygotowanym wcześniej planem,
- sprawdzenia doraźnego – w przypadku podejrzenia wystąpienia lub wystąpienia naruszenia ochrony danych osobowych,
- sprawdzenia na wniosek GIODO – w zakresie i terminie wskazanym przez organ nadzorczy.
Co powinno znaleźć się w sprawozdaniu?
Opracowywanie sprawozdań dla administratora danych lub GIODO z przeprowadzonych wcześniej sprawdzeń jest bardzo zbliżone do opracowywania raportów z przeprowadzanych audytów. W tym przypadku również warto skorzystać z doświadczenia i wiedzy jednostki audytu wewnętrznego.
Ustawa o ochronie danych osobowych definiuje zakres sprawozdania z przeprowadzonego sprawdzenia, który powinien zawierać:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;
- imię i nazwisko administratora bezpieczeństwa informacji;
- wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
- datę rozpoczęcia i zakończenia sprawdzenia;
- określenie przedmiotu i zakresu sprawdzenia;
- opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
- stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
- wyszczególnienie załączników stanowiących składową część sprawozdania;
- podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania;
- datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.
Sprawozdanie może być przygotowywane w wersji elektronicznej lub papierowej.
Dodatkowo w ramach przeprowadzanych sprawdzeń warto:
- ocenić wypełnienie obowiązków ustawowych przez administratora danych osobowych,
- uwzględnić wnioski i zalecenia dotyczące działań naprawczych,
- wskazać osoby odpowiedzialne za realizację zaleceń,
- wskazać terminy realizacji zaleceń pokontrolnych,
- monitorować realizację zaleceń,
- wyniki tego monitoringu raportować do administratora danych.
Regulacja czy przeregulowanie?
Na rynku pojawiły się opinie, że znowelizowane przepisy o ochronie danych osobowych zostały przeregulowane. W mojej ocenie stanowią jednak dobrą propozycję rozwiązań, ponieważ ułatwiają – szczególnie początkującym ABI – zrozumienie wymagań ustawowych.
Dodatkowy zakres wymagań dla DPO (data protection oficer), odpowiednika obecnego ABI, określi Ogólne Rozporządzenie o Ochronie Danych Osobowych. Jest to związane z informacją przekazaną przez Komisję Europejską dotyczącą zakończenia negocjacji w ramach tzw. „trialogu”, co nastąpiło 15 grudnia ub. r. W następstwie porozumienia politycznego osiągniętego podczas rozmów trójstronnych, ostateczne teksty zostaną oficjalnie przyjęte przez Parlament Europejski i Radę na początku 2016 r. Nowe przepisy zaczną obowiązywać po upływie dwóch lat.