Plan sprawdzeń przygotowywany przez ABI

Poniżej prezentuję fragment książki „Ochrona danych osobowych praktyczny komentarz, wzorcowa dokumentacja” mojego autorstwa. Fragment dotyczy przygotowywania sprawozdań z planowych sprawdzeń ochrony danych osobowych, czyli nowego obowiązku ABI, który pojawił się w związku z tegoroczną nowelizacją ustawy o ochronie danych osobowych.

blog-ksiazka-kge

„…Nieco Innym rodzajem sprawdzenia jest okresowe sprawdzenie przeprowadzane dla administratora danych. Jest to bardziej forma audytu, gdyż nie jest ono przeprowadzane w wyniku powstania jakiegoś zdarzenia, a w celu okresowej weryfikacji stanu ochrony danych osobowych w organizacji. Samo sprawdzenie jest poprzedzone przygotowaniem i przedstawieniem administratorowi danych planu sprawdzeń obejmującego okres nie krótszy niż kwartał i nie dłuższy niż rok. Przygotowanie planu sprawdzeń może nastręczać sporo problemów dla ABI, który nigdy wcześniej tego nie robił tym bardziej, że zakres planu sprawdzeń został dość szczegółowo opisany przez ustawodawcę. Przepisy rozporządzenia określają konieczność uwzględnienia następujących aspektów przetwarzania danych osobowych.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET

(W celu pełniejszego zobrazowania nowego wymogu prawa wobec ABI, udostępniamy przykładowy szablon planu sprawdzeń do pobrania.)

Po pierwsze podstawy prawne przetwarzania danych osobowych, czyli zapewnienie istnienia co najmniej jednej podstawy prawnej przetwarzania dla każdego z wyodrębnionych zbiorów danych osobowych. Wobec danych osobowych tzw. zwykłych będzie to jedna z przesłanek wskazanych w art. 23 Ustawy, tj.: zgoda osoby, której dane dotyczą, przepis prawa pozwalający na przetwarzanie danych osobowych, przetwarzanie odbywające się w celu realizacji umowy, przetwarzanie prowadzone w zakresie realizacji celu publicznego oraz tzw. uzasadniony cel administratora danych osobowych. Z drugiej strony w stosunku do danych osobowych tzw. wrażliwych najczęściej występujące podstawy prawne spośród dziesięciu możliwych to zgoda osoby, której dane dotyczą wyrażona na piśmie oraz przepis powszechnie obowiązującego prawa.

Po drugie realizacja obowiązku informacyjnego z jednej strony wobec osób od których dane osobowe są pobierane bezpośrednio oraz wobec osób, których dane pochodzą z innego źródła. Jest to element sprawdzenia, który polega na weryfikacji faktycznego spełnienia obowiązku informacyjnego w dokumentach, na stronach internetowych w treści wiadomości wysyłanych drogą elektroniczną oraz wszelkich innych miejscach gdy dane są pozyskiwane do dalszego przetwarzania.

Po trzecie weryfikacja spełnienia zasad ogólnych ochrony danych osobowych, czyli zasady legalności, celowości, adekwatności, merytorycznej poprawności oraz ograniczenia czasowego. Zasady te w praktyce podlegają sprawdzeniu na każdym etapie przetwarzania danych osobowych, więc powinny one być weryfikowane w trakcie każdej czynności określonej w planie sprawdzeń.

Po czwarte będzie to weryfikacja procesu przekazywania danych osobowych poza organizację, czyli element związany z umowami powierzenia przetwarzania danych osobowych oraz zakresem kontroli ich działań.

Po piąte konieczność umieszczenia w planie sprawdzeń procesu związanego z realizacją praw osób, których dane dotyczą. W praktyce sprawdzamy, czy jest przewidziana procedura na udostępnianie osobie, której dane dotyczą wszelkich danych gromadzonych na jej temat w zrozumiałej dla niej formie. Dodatkowo czy uwzględnia się żądania osób, których dane dotyczą co do wniesienie przez nie żądania zaprzestania przetwarzania danych osobowych oraz wniesienia sprzeciwu wobec przetwarzania w celach handlowych lub udostępniania danych podmiotom trzecim.

Po szóste plan sprawdzeń musi obejmować zabezpieczenia danych osobowych. Sprawdzenia te obejmują pełen zakres stosowanych zabezpieczeń fizycznych, organizacyjnych i informatycznych opisanych w dokumentacji ochrony danych osobowych. W ramach tego elementu sprawdzenia należy przede wszystkim zweryfikować czy wszystkie osoby przetwarzające dane osobowe posiadają upoważnienia do ich przetwarzania oraz czy ewidencja tych osób jest aktualna. Dodatkowo czy cała dokumentacja ochrony danych osobowych po pierwsze odzwierciedla stan faktyczny oraz czy jej zawartość jest zgodna z przepisami prawa.

Po siódme plan sprawdzeń musi obejmować procesy związane z przekazywaniem danych osobowych do państw trzecich, czyli poza europejski obszar gospodarczy. Tutaj oczywiście sprawa jest bardzo prosta, gdy takiego procesu nie ma, jednak gdy się pojawi należy zweryfikować jego legalność. Tutaj mogą się pojawić dwa aspekty. Z jednej strony konieczność uzyskania zgody GIODO na przesył danych do Państwa trzeciego pod warunkiem zastosowania co najmniej takich samych zabezpieczeń danych po stronie docelowej, a z drugiej strony możliwość uregulowania kwestii przesyłu tzw. standardowymi klauzulami umownymi zatwierdzonymi przez Komisję europejską lub alternatywnie wiążącymi regułami korporacyjnymi (BCR) już wcześniej zatwierdzonymi przez GIODO w drodze decyzji administracyjnej.

Też wolisz profilaktykę niż leczenie?

Audyt zgodności z RODO to holistyczne badanie, które pokazuje, w którym miejscu jest organizacja.
ZOBACZ WIĘCEJ

Ostatecznie weryfikacji w ramach planu sprawdzeń podlega również obowiązek rejestracji zbiorów danych osobowych tzw. „wrażliwych” jeżeli nie zachodzi żadne wyłączenie spod tego obowiązku w katalogu wyłączeń przewidzianym ustawą. Jak również aktualność informacji zawartych w już zarejestrowanym zbiorze danych osobowych ujawnionym w rejestrze prowadzonym przez GIDOO.

Podsumowując plan sprawdzeń musi zostać przygotowany i przedstawiony administratorowi danych co najmniej na 14 dni przed pierwszą czynnością objętą tym planem. Sam plan musi zawierać co najmniej jedno sprawdzenie, a systemy informatyczne w ramach sprawdzenia zabezpieczeń informatycznych muszą być weryfikowana nie rzadziej niż raz na 5 lat. Dodatkowo kierownik jednostki organizacyjnej w ramach, której ma być przeprowadzane sprawdzenie musi zostać poinformowany przez ABI na co najmniej 7 dni przed sprawdzeniem.

W związku z bardzo dużym zakresem planu sprawdzeń w praktyce warto przewidzieć co najmniej trzy sprawdzenia w ciągu roku, jeżeli określimy tylko jedno będzie ono bardzo czasochłonne i w praktyce najczęściej pobieżne. Dobrą praktyką jest dzielenie zakresu sprawdzeń na sprawdzenia obejmujące procesy związane z danymi osobowymi, czyli jak realizowane są obowiązki wynikające z przepisów prawa i wewnętrznej dokumentacji, dokumentację ochrony danych osobowych w tym również aktualność zbiorów zarejestrowanych w GIODO jak i zawarte umowy powierzenia przetwarzania danych osobowych i ostatecznie zabezpieczenia informatyczne funkcjonujące w systemach informatycznych przetwarzających te dane. Jak pokazuje praktyka przeprowadzenie wszystkich działań jednocześnie znacznie utrudnia przygotowanie sprawozdania z poszczególnych działań. Z drugiej strony oczywiście jeżeli nadzorowana organizacja jest nie wielka sztuczne dzielenie sprawdzeń może mijać się z celem jakim jest przeprowadzenie sprawdzeń w sposób jak najmniej uciążliwy dla samej organizacji…”

Akredytowany kurs IOd potwierdzi Twoje wysokie kompetencje

Więcej rozważań w tym zakresie oraz szablony dokumentów znajdują się w książce pt. „Ochrona danych osobowych - praktyczny komentarz, wzorcowa dokumentacja” mojego autorstwa.

Czytaj także:

-
4.54/5 (52) 1
Najczęstsze błędy przy zawieraniu umów powierzenia
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>