Strona główna Analizy prawne Jak przeprowadzić i dokumentować planowe sprawdzenia (+wzory)

Jak przeprowadzić i dokumentować planowe sprawdzenia (+wzory)

Maciej Chodorowski
-
0
Jak przeprowadzić i dokumentować planowe sprawdzenia (+wzory)
sprawdzenia

Jednym z zadań ABI-ego (zobacz najcześciej stosowane skróty) jest zapewnienie przestrzegania przepisów o ochronie danych osobowych. Zgodnie z art. 36a ust.2 pkt 1 lit. a UODO (zobacz najcześciej stosowane skróty) realizuje on je m.in. poprzez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Opracowuje również  w tym zakresie sprawozdania dla ADO (zobacz najcześciej stosowane skróty). Przeprowadzanie sprawdzeń uregulowane jest w §3, 4 i 5 rozporządzenia w sprawie trybu i sposobu realizacji zadań.

 Artykuł ten jest elementem cyklu ustawowe obowiązki ABI, w skłąd którego wchodzą również:

  1. Plan sprawdzeń (+ WZÓR PLANU)
  2. Realizacja planowych sprawdzeń (+WZORY DOKUMENTACJI)
  3. Nadzór nad dokumentacją
  4. Prowadzenie rejestru zbiorów (+WZÓR REJESTRU)
  5. Zapoznanie pracowników z przepisami o ochronie danych osobowych (+WZÓR PREZENTACJI)  

Dokonywane zgodnie z planem sprawdzeń

Sprawdzenia planowe, jak sama nazwa wskazuje przeprowadza się zgodnie z wcześniej ustalonym planem sprawdzeń, który dokładnie omiawiałem w tym wpisie. Plan określa terminy, przedmiot i zakres  sprawdzeń. Dokonywane sprawdzenie musi być z nimi zgodne.

Program sprawdzenia

Przed wykonaniem sprawdzenia warto jest sporządzić program sprawdzenia. Ułatwi on jego przeprowadzenie, a także pozwoli zaplanować zbieranie informacji niezbędnych do napisania sprawozdania dla ADO. Program sprawdzenia można porównać do planu sprawdzeń jednak sporządzany jest on na potrzeby pojedyńczego sprawdzenia.

Program sprawdzenia może zawierać takie informacje jak:

  1. Termin (planowana data rozpoczęcia i zakończenia sprawdzenia);
  2. Zakres;
  3. Przedmiot;
  4. Planowane dokonanie czynności;
  5. Osoby biorące udział w czynnościach;

Przykładowy program sprawdzeń znajdziecie tutaj.

Zawiadomienie kierownika jednostki organizacyjnej

Na co najmniej 7 dni przed dniem przeprowadzenia czynności zawiadamiamy kierownika jednostki organizacyjnej objętej sprawdzeniem o zakresie planowanych czynności oraz terminie ich dokonania. Nie musimy tego jednak robić, gdy posiada on już te informacje (zgodnie z §5 ust.2 rozporządzenia w sprawie trybu i sposobu realizacji zadań.). Zawidomienie kierownika może być dokonane poprez przekazanie mu programu sprawdzenia.

Dokonywanie czynności

W terminie określonym przez nas w programie sprawdzeń rozpoczynamy dokonywanie wskazanych przez nas czynności.

Warto w tym miejscu zaznaczyć, że rozporządzenie w sprawie trybu i sposobu realizacji zadań nie wskazuje kto ma faktycznie przeprowadzać czynności objętę sprawdzeniem. § 4 ust. 1 rozporządzenia w sprawie trybu i sposobu realizacji zadań  określa tylko to, że ABI dokumentuje czynności w toku sprawdzenia. Nie wskazuje jednak kto powinien odbierać wyjaśnienia czy też przeprowadzać oględziny.

Pierwszym pytaniem jakie należy tutaj zadać jest to czy ABI może sam przeprowadzać powyższe czynności?

Na to pytanie należy odpowiedzieć twierdząco, jednak należy też wskazać, że nie jest do tego uprawniony ustawowo. Regulacja tego stanu może jednak zostać dokonana w zakresie obowiązków ABI zamieszczonym w Polityce Bezpieczeństwa.

Drugim pytaniem jest to czy inne osoby mogą dokonywać czynności w ramach sprawdzenia?

Na to pytanie również należy odpowiedziec twierdząco. Tymi innymi osobami moga być np. audytorzy ISO, przeprowadzający okresowe audyty. Mogą oni odebrać wyjaśnienia, przeprowadzić oględziny, przeanalizować dokumenty oraz sporządzić z tego własne notatki na podstawie to których ABI sporządzi stosowną dokumentację oraz wykona sprawozdanie.

Przykładowymi czynościami jakie mogą być dokonywane w toku sprawdzenia są:

  1. Analiza dokumentów związanych z przetwarzaniem danych osobowych (np. umów z podmiotami trzecimi);
  2. Uzyskanie dostępu do urządzeń, nośników i systemów informatycznych służących do przetwarzania danych osobowych (mogą być wykonywane przy obecności osoby upoważnionej do przetwarzania danych, w tym również zarządzającej systemem zgodnie z §4 ust.3 rozporządzenia w sprawie trybu i sposobu realizacji zadań);
  3. Odbieranie ustnych oraz pisemnych wyjaśnień od pracowników;
  4. Testy penetracyjne IT;
  5. Sprawdzanie przestrzegania procedur przez personel metodą tajemniczego klienta (np. z zakresu realizacji przez nich uprawnień określonych w art. 33 ust. 1 UODO).

Inna czynnością która może być dokonana w trakcie sprawdzenia jest weryfikacja dokumentacji przetwarzania danych osobowych w zakresie:

  1. opracowania i kompletności dokumentacji przetwarzania danych;
  2. zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa;
  3. stanu faktycznego w zakresie przetwarzania danych osobowych;
  4. zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych;
  5. przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.

Dodatkowo rozporządzenia w sprawie trybu i sposobu realizacji zadań (w § 5 ust. 1 ) nakłada na osoby odpowiedzialne za przetwarzanie danych osobowych, których dotyczy sprawdzenie, obowiązek uczestnictwa w sprawdzeniu lub umożliwienia ABI-emu przeprowadzenia czynności w toku sprawdzenia.

Dokumentowanie czynności

Podczas dokonywania sprawdzenia dokumentujemy czynności przeprowadzone w toku sprawdzenia, w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do opracowania sprawozdania (zgodnie z §4 ust.1 Rozporządzenia).

Dokumentując czynności powinniśmy mieć w pamięci to, że na ich podstawie będziemy musieli sporządzić sprawozdanie. Jednym z elementów sprawozdania jest opis stanu faktycznego stwierdzonego w toku sprawdzenia. Musim zatem zbierać tak informację by pózniej na ich podstawie móc opisać stan faktyczny oraz inne informacje istotne dla oceny  zgodności przetwarzania danych osobowych.

Czynności dokumentujemy w sposób nieformalny- notatkami (Notatka z podjętych czynności- przykład). Możemy je sporządzić z :

  1. uzyskania dostępu urządzeń, nośników i systemów informatycznych służących do przetwarzania danych osobowych
  2. zebranych wyjaśnień (Notatka z odebrania ustnych wyjaśnień-przykład)
  3. oględzin miejsc przetwarzania danych osobowych (Notatka z oględzin- przykład)

Chcąc uwiecznić zastany stan faktyczny, niezbędny dla oceny zgodności możemy również sporządzić kopie:

  1. otrzymanego dokumentu
  2. obrazu wyświetlonego na ekranie
  3. zapisów rejestrów systemu informatycznego, zapisów konfiguracji technicznych środków zabezpieczeń technicznych środków zabezpieczeń tego systemu.

Dokumenty możemy sporządzić się w postaci elektronicznej albo papierowej (zgodnie z §4 ust.4 Rozporządzenia). Należy jednak pamiętać, że będziemy musieli je dołączyć do sprawozdania.

Podsumowanie

Realizując obowiązek cyklicznych sprawdzeń ABI musi pamiętać o tym, by odbywały się one w oparciu o wcześniej ustalony plan sprawdzeń. Dokonywanie sprawdzeń musi być dokonywane także w przedmiocie i zakresie wcześniej ustalonym. Przed podjęciem czynności niezbędne jest również zawiadomienie o zakresie i terminie kierownika jednostki organizacyjnej w której będziemy przeprowadzać sprawdzenie. Po zakończeniu sprawdzenia w terminie 30 dni ABI musi przekazać ADO jego sprawozdanie (o treści wskazanej w art. 36c UODO). Sprawozdanie zostanie omówione przeze mnie w następnym wpisie.

Pobierz dokumentowanie sprawdzenia-wzory

Maciej Chodorowski

Prawnik, doświadczony specjalista w dziedzinie ochrony danych osobowych, audytor wewnętrzny ISO 27001, Inspektor Ochrony Danych (IOD), a także prezes zarządu firmy doradczej Data Legal Solutions Sp. z o.o.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj


The reCAPTCHA verification period has expired. Please reload the page.

© Newspaper WordPress Theme by TagDiv