"Sprawdzenie" jako podstawowe zadanie Administratora Bezpieczeństwa Informacji

Podstawowym zadaniem administratora bezpieczeństwa informacji jest konieczność regularnego sprawdzania czy proces przetwarzania danych osobowych przez administratora danych jest w pełni zgodny z przepisami.

  • Rafał Stępniewski
  • /
  • 9 maja 2016

Podstawowym zadaniem administratora bezpieczeństwa informacji jest konieczność regularnego sprawdzania czy proces przetwarzania danych osobowych przez administratora danych jest w pełni zgodny z przepisami.

Pojęcie “proces przetwarzania danych osobowych” należy rozumieć szeroko, chodzi o pełny zakres działań na danych osobowych w firmie, zarówno jeśli chodzi o fizyczne i informatyczne ich zabezpieczenie, jak również o spełnienie wszelkich wymogów formalnych — rozpoczynając od prawidłowych podstaw prawnych do przetwarzania danych, a kończąc na prawidłowym upoważnieniu wszystkich osób przetwarzających dane oraz zapewnieniu odpowiedniego poziomu ich wiedzy o przepisach dotyczących ochrony danych osobowych.

Tryby sprawdzeń

Rozporządzenie Ministra Administracji i Cyfryzacji wskazuje dwa podmioty, dla których administrator bezpieczeństwa informacji może dokonać sprawdzenia:

  • dla administratora danych,
  • dla GIODO, w przypadku gdy GIODO zwróci się do administratora bezpieczeństwa informacji o dokonanie takiego sprawdzenia w firmie.

Jeśli chodzi o tryb przeprowadzenia sprawdzenia to rozporządzenie przewiduje trzy możliwości:

  • sprawdzenie planowe – według planu sprawdzeń,
  • sprawdzenie doraźne – w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji powzięcia przez administratora bezpieczeństwa informacji wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia,
  • sprawdzenie wykonywane dla GIODO.

Podstawowym trybem dokonywania sprawdzeń jest sprawdzenie planowe. Rozporządzenie nakłada na administratora bezpieczeństwa informacji obowiązek przygotowania planu sprawdzeń określającego przedmiot, zakres oraz termin przeprowadzenia poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania. W planie konieczne jest uwzględnienie w szczególności zbiorów danych osobowych i systemów informatycznych służących do przetwarzania danych osobowych oraz konieczność weryfikacji zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Każdy plan sprawdzeń musi obejmować okres nie krótszy niż kwartał i nie dłuższy niż rok, co w praktyce oznacza, iż minimum co najmniej raz w roku administrator danych osobowych obowiązany jest dokonać kompleksowego sprawdzenia poprawności przetwarzania danych osobowych przez administratora danych.

Przygotowany plan sprawdzeń administrator bezpieczeństwa informacji przedstawia administratorowi danych nie później niż na dwa tygodnie przed dniem rozpoczęcia sprawdzenia. Wyjątkiem od tej reguły jest podjęcie sprawdzenia doraźnego albo sprawdzenia dla GIODO — w takich przypadkach administrator bezpieczeństwa informacji jest obowiązany zawiadomić administratora danych przed podjęciem pierwszej czynności w toku sprawdzenia.

O zamiarze przeprowadzenia czynności należy również powiadomić kierownika jednostki organizacyjnej objętej sprawdzeniem. Powiadomienie powinno nastąpić na siedem dni przed przeprowadzeniem czynności, chyba, że w danym przypadku również mamy do czynienia ze sprawdzeniem doraźnym, na żądanie GIODO lub kierownik posiada już informacje o planowanym przeprowadzeniu czynności.

Drugi tryb sprawdzenia (sprawdzenie doraźne) ma charakter interwencyjny i dokonywane jest w przypadku nieprzewidzianym w planie sprawdzeń, ale w konsekwencji uzyskania przez administratora bezpieczeństwa informacji o naruszeniu ochrony danych osobowych lub stwierdzenia takiego naruszenia, a także gdy podejrzenie takiego naruszenia jest uzasadnione. Ten tryb sprawdzenia ma zminimalizować skutki stwierdzonego naruszenia ochrony danych osobowych w firmie i skutkować podjęciem niezwłocznych działań w celu wyeliminowania przyczyn naruszenia.

Trzeci tryb sprawdzenia odwołuje się do nowego uprawnienia GIODO, który od wejścia w życie nowelizacji przepisów ma możliwość zwrócenia się do powołanego administratora bezpieczeństwa informacji w firmie o dokonanie sprawdzenia, wskazując zakres i termin takiego sprawdzenia. Przeprowadzenie takiego sprawdzenia na żądanie GIODO nie wyłącza jednak możliwości przeprowadzenia w firmie kontroli przez ten urząd.

Przebieg procesu sprawdzenia

W toku prowadzenia sprawdzenia administrator bezpieczeństwa informacji obowiązany jest dokumentować podejmowane czynności. Zakres prowadzonej dokumentacji powinien pozwalać na późniejszą, rzetelną ocenę stopnia zgodności przetwarzania danych osobowych z przepisami.

Rozporządzenie wskazuje ponadto na czym konkretnie może polegać dokumentowanie prowadzonych czynności. Administrator bezpieczeństwa informacji może np.:

  • utrwalać dane z systemu informatycznego służącego do przetwarzania danych,
  • zabezpieczyć dane osobowe na informatycznym nośniku danych lub dokonać wydruku tych danych,
  • sporządzić notatkę z czynności,
  • odebrać wyjaśnienia osoby, której czynności objęto sprawdzeniem,
  • sporządzić kopię otrzymanego dokumentu,
  • sporządzić kopię obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego służącego do przetwarzania danych,
  • sporządzić kopię zapisów rejestrów systemu informatycznego służącego do przetwarzania danych lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu.

Powyższy katalog jest katalogiem otwartym, wskazującym przykładowe czynności. Administrator bezpieczeństwa informacji może prowadzić również inne czynności jeśli będą one niezbędne do przeprowadzenia rzetelnego sprawdzenia. Nie ma również obowiązku wykonania wszystkich czynności z powyższego katalogu, jeśli oczywiście pominięcie danej kategorii czynności jest zasadne. Forma dokumentowania podejmowanych czynności zależy od decyzji administratora bezpieczeństwa informacji i może być zarówno elektroniczna, jak również papierowa.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawozdanie

Efektem końcowym przeprowadzonego sprawdzenia jest sprawozdanie, które administrator bezpieczeństwa informacji jest obowiązany przygotować i przekazać administratorowi danych. Termin na spełnienie tego obowiązku upływa:

  • w terminie 30 dni od zakończenia sprawdzenia — w przypadku sprawdzenia planowanego,
  • niezwłocznie po zakończeniu sprawdzenia — w przypadku sprawdzenia doraźnego,
  • w terminie wskazanym przez GIODO — w przypadku sprawdzenia na żądanie GIODO.

Ustawa zawiera dodatkowo wymogi formalne, które powinno spełnić przygotowane przez administratora bezpieczeństwa informacji sprawozdanie. Każdy tego typu dokument powinien zawierać:

  • oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania,
  • imię i nazwisko administratora bezpieczeństwa informacji,
  • wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach,
  • datę rozpoczęcia i zakończenia sprawdzenia,
  • określenie przedmiotu i zakresu sprawdzenia,
  • opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
  • stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,
  • wyszczególnienie załączników stanowiących składową część sprawozdania,
  • podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania,
  • datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!