Strona główna Analizy prawne Jak sporządzić plan sprawdzeń (+wzór)

Jak sporządzić plan sprawdzeń (+wzór)

Maciej Chodorowski
-
0
Jak sporządzić plan sprawdzeń (+wzór)

Jednym z pierwszych obowiązków ABI, które rozpocznę omawiać jest przeprowadzanie planowych sprawdzeń dla ADO.

Pierwszym krokiem, który musimy wykonać w związku z realizacją planowych sprawdzeń jest przygotowanie planu sprawdzeń. Elementy, jakie powinien zawierać plan sprawdzeń oraz sposób dokumentowania sprawdzeń uregulowane są w § 3w ust. 3, 4 i 5 rozporządzenia w sprawie trybu i sposobu realizacji zadań.

 Artykuł ten jest elementem cyklu ustawowe obowiązki ABI, w skłąd którego wchodzą również:

  1. Plan sprawdzeń (+ WZÓR PLANU)
  2. Realizacja planowych sprawdzeń (+WZORY DOKUMENTACJI)
  3. Nadzór nad dokumentacją
  4. Prowadzenie rejestru zbiorów (+WZÓR REJESTRU)
  5. Zapoznanie pracowników z przepisami o ochronie danych osobowych (+WZÓR PREZENTACJI)  

Sporządzenie planu sprawdzeń, a następnie przedstawienie go ADO poprzedza realizację sprawdzeń planowych (zgodnie z §3 ust.5 rozporządzenie w sprawie trybu i sposobu realizacji zadań)

By zobrazować, o czym jest ten artykuł pobierz przykładowy plan sprawdzen.

Określony okres obowiązywania

Plan sprawdzeń sporządza się na okres co najmniej kwartału, ale nie dłużej niż na okres 1 rok. Oznacza to, że w ciągu roku możemy przygotować maksymalnie 4 plany sprawdzeń.

Warto zaznaczyć przy tym, iż nie znajdujemy w rozporządzeniu nakazu sporządzania planu sprawdzeń co roku. W ciągu 5 lat musimy jednak sprawdzić każdy z zbiorów oraz systemów informatycznych do przetwarzania lub zabezpieczania danych osobowych (zgodnie z 3 ust. 6 rozporządzenie w sprawie trybu i sposobu realizacji zadań.

Zatem, nic nie stoi na przeszkodzie by dokonać sprawdzenia raz na pięć lat, a jego przedmiotem objąc wszystkie zbiory oraz wszystkie systemy informatyczne. Przy czym przeprowadzenie wszystkich tych sprawdzeń musi być dokonane w czasie nie krótszym niż kwartał i nie dłuższym niż rok.

Od nas (ABI-ch) zależy jak podzielimy sprawdzenia zbiorów i systemów informatycznych. Powinniśmy brać jednak pod uwagę również kwestie praktyczne wykonania sprawdzeń.

W przypadku dużych podmiotów, które żyją z przetwarzania danych lub/oraz są szczególnie narażone na ich wycieki (np. banki i instytucje finansowe, Call Center, Agencje Marketingowe) dokładne sprawdzenie wszystkiego w jeden rok może być nierealne oraz bardzo ryzykowne. W przypadku takich podmiotów dobrą praktyką jest by plany były tworzone co roku przy czym obejmowały 1/5 zbiorów oraz systemów informatycznych istniejących w organizacji w pełnym zakresie. Pozwala to równomiernie rozłożyć dokonywanie sprawdzeń w ciągu 5 lat.

Małe podmioty, których głównym przedmiotem działalności nie jest przetwarzanie danych (np. szkoły, JST, firmy produkcyjne itp.) mogą dokonać sprawdzeń rzadziej, ale obejmując nimi więcej zbiorów i systemów informatycznych.

Elementy planu sprawdzeń

Plan sprawdzeń musi zawierać w odniesiemu do każdego ze sprawdzeń (musi być ich co najmniej jedno w planie) następujące elementy:

Przedmiot

Przedmiotem planu sprawdzeń jest określenie jakich zbiorów oraz systemów informatycznych będzie dotyczyło sprawdzenie.

Przykładowo mogą to być zbiory danych, w których przetwarzamy dane tzn. kadrowe, kandydatów do pracy czy też zbiory marketingowe (konkursy, newsletter, itp.), klienci, kontrahenci.

Systemy informatyczne, które możemy sprawdzić to np. TETA, SAP lub jeden z ich modułów np. HR. Mogą to też być dedykowane systemy, które funkcjonują tylko w naszej firmie. W przypadku jednak takich systemów, w szczególności, gdy są to systemy „globalne” grupy kapitałowej problemem może być uzyskanie wszystkich niezbędnych informacji.

Można również przyjąć podział funkcjonalny, w którym przedmiotem sprawdzeń będzie cały dany dział np. kadry, marketing lub sprzedaż.

Zakres

Zakres planu sprawdzeń będzie dotyczył tego w jakim zakresie będziemy sprawdzać wybrane przez nas zbiory i systemy informatyczne. Zakresem można również określić kryterium w oparciu o które będziemy sprawdzać nasze zbiory. Przykładowo mogą to być:

Legalność przetwarzania danych – art. 23 i 27 UODO

Realizacja obowiązku informacyjnego art.24 i 25 UODO

Realizacja praw osób, których dane przetwarzamy – Rozdział 4 UODO

Powierzanie danych osobowych do przetwarzania – art. 31 UODO

„Szczególna staranność” przetwarzania danych – art. 26 UODO

Nadawanie upoważnień do przetwarzania danych – art. 37 UODO

Prowadzenie ewidencji upoważnień – art. 39 ust. 1 UODO

Obowiązek rejestracji zbiorów danych – Rozdział 6 UODO

Bezpieczeństwo danych i wymogi stawiane systemom – Rozdział 5 UODO i akty wykonawcze § 7 Rozporzadzenia w sprawie dokumentacji i warunków jakie powinny spełniać systemy informatyczne

Transfer danych do tzw. państw trzecich – Rozdział 7 UODO

Data

Poza powyższym plan powinien zawierać również termin przeprowadzenia sprawdzenia. Ustawowo wystarczy wobec tego określić planowany termin rozpoczęcia konkretnego sprawdzenia. W praktyce można w tym miejscu dodać również planowany termin zakończenia takiego planu. Termin zakończenia ułatwi nam późniejsze określenie terminu przekazania ADO sprawozdania.

Sposób i zakres dokumentowania

Ostatnim elementem, który powinien zawierać plan sprawdzeń jest sposób i zakres dokumentowania czynności, które mają być przeprowadzone w trakcie sprawdzeń.

Dokumentowanie czynności może polegać na:

  1. Wydrukowaniu lub zapisaniu na płycie CD, danych z systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych;
  2. Sporządzeniu notatki z zebranych wyjaśnień, przeprowadzonych oględzin oraz z czynności związanych z dostępem do urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych osobowych;
  3. Sporządzeniu kopii:
    1. otrzymanego dokumentu;
    2. obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych;
    3. zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu.

Przedstawiamy plan sprawdzeń ADO

Na co najmniej 14 dni przez okresem obowiązywania, przedstawiamy ADO plan sprawdzeń. Przedstawiamy oznacza, że nie dajemy do akceptacji. Przy czym przedstawienie to może zostać dokonane np. poprzez wysłanie maila. Mogą być też przedstawione ADO lub osobie reprezentującej go w formie papierowej, razem z uzyskaniem od niej podpisu, że otrzymałs taki dokument.

Podsumowanie

Przygotowanie planu nie powinno nastręczać nawet początkującemu ABI-emu problemów. Najważniej by plan zawierał przedmiot, zakres, termin w odniesieniu do każdego ze sprawdzeń. Ważne również, że w planie były ustalone sposób i zakres dokumentowania czynności podjętych w ramach sprawdzeń. Pamiętaj również o terminie przedstawienia ADO planu sprawdzeń dokonywanego na 14 dni przed okresem obowiązywania planu( nie pierwszego sprawdzenia, chyba, że jest tożsame z dniem rozpoczęcia obowiązywania planu)

Pobierz plan sprawdzeń- wzór

Maciej Chodorowski

Prawnik, doświadczony specjalista w dziedzinie ochrony danych osobowych, audytor wewnętrzny ISO 27001, Inspektor Ochrony Danych (IOD), a także prezes zarządu firmy doradczej Data Legal Solutions Sp. z o.o.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj


The reCAPTCHA verification period has expired. Please reload the page.

© Newspaper WordPress Theme by TagDiv