Doskonalenie planowanych sprawdzeń w nowym roku

Po pierwszych doświadczeniach przyszedł czas na zaplanowanie kolejnych sprawdzeń w nowym roku. Z drugiej strony duża grupa powołanych ABI nie wykonała jeszcze żadnego sprawdzenia.

Dla osób, które zwlekają z wykonaniem sprawdzenia, czas działa na niekorzyść, ponieważ brak realizacji podstawowych obowiązków ABI określonych w art. 36a ust. 2 może być przyczyną ich wykreślenia przez GIODO z rejestru ABI.

ABI powinien określić zakres i cel sprawdzenia „planowego” według bieżących potrzeb. Doświadczeni ABI będą ustalać zakres sprawdzenia w odniesieniu do przeprowadzanych w przeszłości okresowych audytów przetwarzania danych, wskazując w nim te procesy przetwarzania danych.

Z kolei nowo powołani ABI w pierwszym sprawdzeniu dokonywać będą przede wszystkim inwentaryzacji przetwarzanych zbiorów danych osobowych i systemów ich przetwarzania, jak również rozpoznania procesów przetwarzania danych i realizacji związanych z nimi obowiązków.

Jednym z przydatnych celów planowanych sprawdzeń jest zweryfikowanie lub zebranie informacji potrzebnych do stworzenia lub aktualizacji prowadzonego „Rejestru zbiorów danych osobowych”. Taka weryfikacja może odnosić się np. do powierzenia przetwarzania danych procesorom.

W tym celu w ramach sprawdzenia analizuje się zawarte umowy powierzenia i tworzy wykaz procesorów w odniesieniu do zbiorów danych. Na jego podstawie można wypełnić dla każdego z wpisanych zbiorów odpowiednią rubrykę w rejestrze.

Podobnie można przeanalizować procesy zbierania danych osobowych w poszczególnych komórkach organizacyjnych, które są potrzebne do określenia zakresu przetwarzanych danych w zbiorach oraz sposobów zbierania takich danych. Zgodnie z przepisami ABI ma wskazać w planie sprawdzeń zbiory danych osobowych oraz systemy informatyczne służące do ich przetwarzania, które będzie sprawdzać.

Oprócz tego ma w nim uwzględnić konieczność weryfikacji zgodności przetwarzania danych z zasadami określonymi w uodo, w tym: art. 23–27, 31–35, 36, 37–39, 47–48; przepisach wykonawczych wydanych na podstawie art. 39a, a w przypadku przetwarzania danych osobowych wrażliwych (art. 27) z obowiązkiem ich zgłoszenia do rejestracji GIODO.

ABI nie musi tego robić w każdym sprawdzeniu, ale sprawdzenie zgodności z powyższymi przepisami powinno być zweryfikowane raz na pięć lat. Zakresem każdego kolejnego sprawdzenia może być również objęta weryfikacja realizacji zaleceń z poprzedniego sprawdzenia.

Zgodnie z przepisami ABI przygotowuje plan sprawdzeń minimum na kwartał, a maksimum na rok, ale z wymogiem objęcia wszystkich zbiorów danych i systemów ich przetwarzania w okresie pięciu lat. W ramach planu może on wykonać kilka sprawdzeń, w zależności od potrzeb.

Mając dużo zbiorów i systemów informatycznych podlegających sprawdzeniu oraz dużą ilość procesów przetwarzania danych plany sprawdzeń można przygotować na każdy rok w odniesieniu do wymaganych 5 lat. Natomiast w sytuacji, gdy ABI w małej firmie ma do sprawdzenia jeden zbiór oraz 2–3 systemy, w zasadzie będzie weryfikować ich zgodność co rok.

Ponieważ zgodnie z przepisami rozporządzenia wykonawczego plan sporządza się na nie dłużej niż rok, można przyjąć, że od momentu powołania ABI ma rok na przeprowadzenie przynajmniej jednego sprawdzenia. Co do ABI powołanych przed publikacją przepisów rozporządzenia dotyczącego sprawdzeń 29 maja 2015 r. można uznać, że rok na wykonanie sprawdzenia liczy się od dnia publikacji przepisów wykonawczych.