Roczne sprawozdanie z realizacji  
obowiązków IOD na gruncie DODO

DODO

Zbliża się okres wymagający wyjątkowo intensywnej pracy od inspektorów ochrony danych (IOD) wyznaczanych obligatoryjnie przez administratorów stosujących ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (DODO). W szczególności chodzi o spoczywający na nich obowiązek sporządzenia rocznego sprawozdania z wykonywania zadań z zakresu ochrony i sposobu przetwarzania danych osobowych, a następnie przekazania go administratorowi.

Mimo że jest to zadanie pracochłonne, w świetle przepisów prawa czas na realizację tej powinności wcale nie jest długi – upływa z końcem marca (dotyczy to sprawozdań za rok ubiegły).


Jednym z zadań nałożonych wprost na IOD-ów przez ustawę DODO jest sporządzenie i przekazanie administratorowi sprawozdania z wykonania także szeregu innych działań, takich jak: podnoszenie świadomości osób uczestniczących w operacjach przetwarzania oraz organizowanie dla nich szkoleń, pełnienie funkcji punktu kontaktowego wobec osób, których dane dotyczą, w zakresie przysługujących im praw czy przygotowywanie zaleceń co do oceny skutków dla ochrony danych osobowych. Zobowiązanie IOD-ów do podjęcia m.in. przywołanych czynności wynika wprost z art. 47 ust. 1 ustawy DODO. Co do zasady ich zakres pokrywa się z tym przewidzianym w RODO.

Mając powyższe na uwadze, w odniesieniu do przedmiotowego sprawozdania kwestią newralgiczną jest to, że jego sporządzenie nie znajduje odzwierciedlenia w regulacjach RODO. Ten dokument jest bowiem całkiem nowym narzędziem, co w rezultacie może sprawić, że jego utworzenie okaże się nad wyraz problematyczne.

Wzór sprawozdania
Pragnąc wesprzeć IOD-ów w tym wymagającym zadaniu, ODO 24 oddaje w Państwa ręce wzór sprawozdania, który z pewnością ułatwi jego wykonanie.
Pobierz  

Zanim jednak przybliżymy konstrukcję oraz niezbędne elementy omawianego dokumentu, warto podkreślić, że bieżące sprawozdanie ma dotyczyć działań podjętych na przestrzeni ubiegłego roku – 2019. Nadmienienia zatem wymaga, że ustawa DODO weszła w życie 6 lutego 2019 r., a więc okres objęty tym pierwszym sprawozdaniem rozpocznie się nie z początkiem roku, lecz od wskazanej daty.

Wykonywanie zadań inspektora ochrony danych

W pierwszej części sprawozdania IOD powinien wskazać konkretne działania, które podjął w związku z wykonywaniem nałożonych na niego (przytoczonych wyżej) obowiązków określonych w art. 47 ust. 1 ustawy DODO. Zgodnie bowiem z rozporządzeniem Prezesa Rady Ministrów z dnia 31 maja 2019 r. w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych poszczególne zadania IOD realizuje przez podejmowanie konkretnych, wskazanych i opisanych, działań. Proponowany przez nas wzór – uwzględniający wymogi zarówno ustawy DODO, jak i rozporządzenia – w nieskomplikowany i przejrzysty sposób pozwoli wykazać kroki poczynione przez IOD.

DODO

Sposób przetwarzania danych osobowych

Nie można ponadto pominąć, że wskazane rozporządzenie obliguje IOD-a do przeprowadzenia analizy stanu faktycznego przetwarzania danych osobowych w organizacji przed sporządzeniem sprawozdania. Jednym z możliwych sposobów wypełnienia tego zadania jest wykonanie audytu określonego systemu ochrony danych osobowych.

Podczas przeprowadzania audytu należy m.in.:

  • poddać analizie posiadaną dokumentację ochrony danych osobowych pod kątem jej zgodności z przepisami o ochronie danych osobowych oraz aktualności,
  • zweryfikować merytoryczną poprawność danych i ich adekwatność w stosunku do celu przetwarzania,
  • poddać analizie zabezpieczenia infrastruktury informatycznej (fizyczne i logiczne zabezpieczenia infrastruktury informatycznej),
  • poddać analizie polityki bezpieczeństwa, backupu i zarządzania uprawnieniami oraz określić ich wpływ na poziom zabezpieczenia zbiorów danych przetwarzanych w formie elektronicznej,
  • zweryfikować funkcjonalności aplikacji i poziom ich zabezpieczeń,
  • sprawdzić poziom zabezpieczeń dla zbiorów danych przetwarzanych w formie papierowej,
  • zweryfikować zawarte umowy pod kątem ewentualnej konieczności uzupełnienia ich umowami powierzenia przetwarzania danych osobowych.

Przekazanie sprawozdania

Dyspozycje zarówno ustawy DODO, jak i rozporządzenia wykonawczego jako odbiorcę sprawozdania opracowanego przez IOD-a jednoznacznie wskazują administratora. Istotnym zastrzeżeniem dotyczącym samej czynności przekazania sprawozdania jest jednak to, aby odbyła się ona w sposób uniemożlwiający innym osobom zapoznanie się z treścią tego dokumentu. Ten wymóg można spełnić przez przesłanie administratorowi elektronicznej wersji sprawozdania, pod warunkiem odpowiedniego jej zaszyfrowana. Hasło powinno zostać przekazane innym środkiem komunikacji, np. osobiście bądź telefonicznie.

Podsumowanie

Nie sposób zaprzeczyć, że zadania IOD-a przewidziane przez prawodawcę w ustawie DODO nie należą do najłatwiejszych ani do najmniej absorbujących. Zatem tym bardziej powinniśmy mieć na względzie, że czas, który możemy poświęcić na przygotowanie omawianego sprawozdania, ucieka nieubłaganie, a zmierzyć się z tym wyzwaniem powinniśmy jak najszybciej.

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Piotr Liwszic
18 lutego 2020

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się