Funkcja ABI w praktyce

[grwebform url=”https://app.getresponse.com/view_webform.js?u=NeSX&wid=10298703″ css=”on” center=”off” center_margin=”200″/]

Właściwe przestrzeganie przepisów o ochronie danych osobowych wymaga szeregu czynności.  Co i jak robić, aby niczego nie pominąć? Lektura obowiązkowa dla wszystkich ABI.

FUNKCJA ABI W PRAKTYCE

zapewnienie przestrzegania przepisów o ochronie danych osobowych

Podstawowe zadania Administratora Bezpieczeństwa Informacji zostały zdefiniowane w art. 36a ust. 2 ustawy o ochronie danych osobowych. Realizacja tych zadań wymaga posiadania przez ABI wiedzy zarówno z zakresu przepisów prawa, funkcjonowania systemów teleinformatycznych, informatyki śledczej, ale także wiedzy z zakresu prowadzania szkoleń, ataków socjotechnicznych, kontroli i opracowywania specjalistycznej dokumentacji.

Właściwe przestrzeganie przepisów o ochronie danych osobowych możliwe jest w szczególności dzięki:

• sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

• opracowywaniu sprawozdań dla administratora danych, dotyczących powyższego zakresu,

• nadzorowaniu opracowania i aktualizowania dokumentacji, wymaganej przepisami o ochronie danych osobowych oraz rozporządzeniami wykonawczymi,

• zapoznaniu osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

• prowadzeniu przez ABI rejestru zbiorów danych osobowych.

W procesie planowania i realizowania sprawdzeń w zakresie zgodności przetwarzania danych osobowych warto współpracować i konsultować się z jednostką audytu wewnętrznego w organizacji. Audyt wewnętrzny posiada wypracowaną metodykę w planowaniu okresowych audytów oraz w przygotowywaniu wymaganej dokumentacji w tym zakresie.

Do planu sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych możemy wybrać: proces realizowany w organizacji, jeden ze zbiorów danych lub wybrane systemy, w których przetwarzane są dane osobowe, ale warto również uwzględnić kontrole przestrzegania obowiązków przez procesorów (korzystając z metody doboru próby).

Rozporządzenia wykonawcze do ustawy o ochronie danych osobowych określają:

• przegląd, zakres oraz terminy przeprowadzenia sprawdzenia,

• zasady przygotowania planu sprawdzeń,

• termin przedstawienia planu administratorowi danych (1 miesiąc przed rozpoczęciem sprawdzenia) oraz poinformowania o planowanym sprawdzeniu kierownika jednostki objętej sprawdzeniem (7 dni),

• sposób i zakres dokumentowania sprawdzenia, podobnie jak dla dowodów audytowych.

Sprawdzenia mogą być realizowane dla administratora danych, ale również dla Generalnego Inspektora Ochrony Danych Osobowych (GIODO), w trybie:

• sprawdzenia planowego – zgodnie z przygotowanym wcześniej planem,

• sprawdzenia doraźnego – w przypadku podejrzenia wystąpienia lub wystąpienia naruszenia ochrony danych osobowych,

• sprawdzenia na wniosek GIODO – w zakresie i terminie wskazanym przez organ nadzorczy.

Opracowywanie sprawozdań dla administratora danych lub GIODO z przeprowadzonych wcześniej sprawdzeń jest bardzo zbliżone do opracowywania raportów z przeprowadzanych audytów. W tym przypadku również warto skorzystać z doświadczenia i wiedzy jednostki audytu wewnętrznego.

Ustawa o ochronie danych osobowych definiuje zakres sprawozdania z przeprowadzonego sprawdzenia, który powinien zawierać:

1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;

2) imię i nazwisko administratora bezpieczeństwa informacji;

3) wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;

4) datę rozpoczęcia i zakończenia sprawdzenia;

5) określenie przedmiotu i zakresu sprawdzenia;

6) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

7) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;

8) wyszczególnienie załączników stanowiących składową część sprawozdania;

9) podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania;

10) datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.

Sprawozdanie może być przygotowywane w wersji elektronicznej lub papierowej.

Dodatkowo w ramach przeprowadzanych sprawdzeń warto:

• ocenić wypełnienie obowiązków ustawowych przez administratora danych osobowych, 

• uwzględnić wnioski i zalecenia dotyczące działań naprawczych,

• wskazać osoby odpowiedzialne za realizację zaleceń,

• wskazać terminy realizacji zaleceń pokontrolnych,

• monitorować realizację zaleceń,

• wyniki tego monitoringu raportować do administratora danych.

Na rynku pojawiły się opinie, że znowelizowane przepisy o ochronie danych osobowych zostały przeregulowane.  W mojej ocenie stanowią jednak dobrą propozycję rozwiązań, ponieważ ułatwiają – szczególnie początkującym ABI – zrozumienie wymagań ustawowych.

Dodatkowy zakres wymagań dla DPO (data protection oficer), odpowiednika obecnego ABI, określi Ogólne Rozporządzenie o Ochronie Danych Osobowych. Jest to związane z informacją przekazaną przez Komisję Europejską dotyczącą zakończenia negocjacji w ramach tzw. „trialogu”, co nastąpiło 15 grudnia ub. r. W następstwie porozumienia politycznego osiągniętego podczas rozmów trójstronnych, ostateczne teksty zostaną oficjalnie przyjęte przez Parlament Europejski i Radę na początku 2016 r. Nowe przepisy zaczną obowiązywać po upływie dwóch lat. 

Jolanta Gasiewicz

Inspektor ds. Bezpieczeństwa Informacji

PKO PB Finat

[image_hover image=’https://fispoland.com/wp-content/uploads/2015/06/Finat-logo1-1-e1458653172140.png’ hover_image=” link=’http://www.finat.pl/’ target=’undefined’ animation=’undefined’ transition_delay=’undefined’]

[q_button type=’normal_button’ size=” text=’BACK’ icon_pack=’font_awesome’ fa_icon=’fa-backward’ fe_icon=” icon_color=’#e8de1e’ link=’https://fispoland.com/blog/rok-2015-w-liczbach-aktywa-i-naplywy/’ target=’_self’ color=” hover_color=’#575757′ background_color=” hover_background_color=” border_color=’#575757′ hover_border_color=’undefined’ font_style=” font_weight=” text_align=” margin=”]                                                [q_button type=’normal_button’ size=” text=’HOME’ icon_pack=’font_awesome’ fa_icon=” fe_icon=” icon_color=” link=’https://fispoland.com/service/’ target=’_self’ color=” hover_color=’#575757′ background_color=” hover_background_color=” border_color=’#575757′ hover_border_color=’undefined’ font_style=” font_weight=” text_align=” margin=”]                                              [q_button type=’normal_button’ size=” text=’NEXT’ icon_pack=’font_awesome’ fa_icon=’fa-forward’ fe_icon=” icon_color=’#e8de1e’ link=’https://fispoland.com/blog/performance-attribution/’ target=’_self’ color=” hover_color=’#575757′ background_color=” hover_background_color=” border_color=’#575757′ hover_border_color=’undefined’ font_style=” font_weight=” text_align=” margin=”]