Doskonalenie planowanych sprawdzeń w nowym roku

Data: 07-03-2016 r.

Po pierwszych doświadczeniach w wykonywaniu sprawdzeń przez ABI przyszedł czas na zaplanowanie kolejnych w nowym roku, w tym na korektę lub doskonalenie ich wykonywania. Wielu ABI ma już za sobą wykonanie pierwszych „planowych” sprawdzeń. W większości były to sprawdzenia zrealizowane według planów przygotowanych na rok 2015.

Po pierwszych doświadczeniach przyszedł czas na zaplanowanie kolejnych sprawdzeń w nowym roku. Z drugiej strony duża grupa powołanych ABI nie wykonała jeszcze żadnego sprawdzenia.

Dla osób, które zwlekają z wykonaniem sprawdzenia, czas działa na niekorzyść, ponieważ brak realizacji podstawowych obowiązków ABI określonych w art. 36a ust. 2 może być przyczyną ich wykreślenia przez GIODO z rejestru ABI.

Zakres sprawdzeń

ABI powinien określić zakres i cel sprawdzenia „planowego” według bieżących potrzeb. Doświadczeni ABI będą ustalać zakres sprawdzenia w odniesieniu do przeprowadzanych w przeszłości okresowych audytów przetwarzania danych, wskazując w nim te procesy przetwarzania danych.

Z kolei nowo powołani ABI w pierwszym sprawdzeniu dokonywać będą przede wszystkim inwentaryzacji przetwarzanych zbiorów danych osobowych i systemów ich przetwarzania, jak również rozpoznania procesów przetwarzania danych i realizacji związanych z nimi obowiązków.

Jednym z przydatnych celów planowanych sprawdzeń jest zweryfikowanie lub zebranie informacji potrzebnych do stworzenia lub aktualizacji prowadzonego „Rejestru zbiorów danych osobowych”. Taka weryfikacja może odnosić się np. do powierzenia przetwarzania danych procesorom.

W tym celu w ramach sprawdzenia analizuje się zawarte umowy powierzenia i tworzy wykaz procesorów w odniesieniu do zbiorów danych. Na jego podstawie można wypełnić dla każdego z wpisanych zbiorów odpowiednią rubrykę w rejestrze.

Podobnie można przeanalizować procesy zbierania danych osobowych w poszczególnych komórkach organizacyjnych, które są potrzebne do określenia zakresu przetwarzanych danych w zbiorach oraz sposobów zbierania takich danych. Zgodnie z przepisami ABI ma wskazać w planie sprawdzeń zbiory danych osobowych oraz systemy informatyczne służące do ich przetwarzania, które będzie sprawdzać.

Oprócz tego ma w nim uwzględnić konieczność weryfikacji zgodności przetwarzania danych z zasadami określonymi w uodo, w tym: art. 23–27, 31–35, 36, 37–39, 47–48; przepisach wykonawczych wydanych na podstawie art. 39a, a w przypadku przetwarzania danych osobowych wrażliwych (art. 27) z obowiązkiem ich zgłoszenia do rejestracji GIODO.

ABI nie musi tego robić w każdym sprawdzeniu, ale sprawdzenie zgodności z powyższymi przepisami powinno być zweryfikowane raz na pięć lat. Zakresem każdego kolejnego sprawdzenia może być również objęta weryfikacja realizacji zaleceń z poprzedniego sprawdzenia.

Plany roczne i pięcioletnie

Zgodnie z przepisami ABI przygotowuje plan sprawdzeń minimum na kwartał, a maksimum na rok, ale z wymogiem objęcia wszystkich zbiorów danych i systemów ich przetwarzania w okresie pięciu lat. W ramach planu może on wykonać kilka sprawdzeń, w zależności od potrzeb.

Mając dużo zbiorów i systemów informatycznych podlegających sprawdzeniu oraz dużą ilość procesów przetwarzania danych plany sprawdzeń można przygotować na każdy rok w odniesieniu do wymaganych 5 lat. Natomiast w sytuacji, gdy ABI w małej firmie ma do sprawdzenia jeden zbiór oraz 2–3 systemy, w zasadzie będzie weryfikować ich zgodność co rok.

Dla spóźnialskich…

Ponieważ zgodnie z przepisami rozporządzenia wykonawczego plan sporządza się na nie dłużej niż rok, można przyjąć, że od momentu powołania ABI ma rok na przeprowadzenie przynajmniej jednego sprawdzenia. Co do ABI powołanych przed publikacją przepisów rozporządzenia dotyczącego sprawdzeń 29 maja 2015 r. można uznać, że rok na wykonanie sprawdzenia liczy się od dnia publikacji przepisów wykonawczych.

Maciej Byczkowski, prezes Zarządu ENSI, ekspert ds. bezpieczeństwa informacji i ochrony danych osobowych, od 2007 roku pełni funkcję prezesa Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji. Pełni funkcję ABI w kilkunastu organizacjach w Polsce

Tagi: ABI

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 38664 )
Array ( [docId] => 38664 )

Array ( [docId] => 38664 )