W planie sprawdzeń określasz działania, które zamierzasz przeprowadzić podczas konkretnych sprawdzeń. Powinieneś przedstawić go administratorowi danych nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem. Zawartość planu sprawdzeń określa § 3 ust. 3 rozporządzenia ministra administracji i cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. Zgodnie z nim dla każdego sprawdzenia, które wskazujesz w planie, powinieneś określić:
Przygotowanie planu sprawdzeń to obowiązek ABI
Kategoria: Ochrona danych osobowych
Data: 08-11-2016 r.
Jednym z zadań administratora bezpieczeństwa informacji, jest „sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych”. Są trzy tryby takich sprawdzeń, m.in. sprawdzenie planowe, prowadzone według opracowanego przez ABI planu sprawdzeń. Sprawdź, jakie informacje powinny znaleźć się w takim dokumencie.
-
przedmiot,
-
zakres,
-
termin przeprowadzenia,
-
sposób i zakres dokumentowania.
W planie sprawdzeń powinieneś uwzględnić w szczególności zbiory danych osobowych i systemy informatyczne, które służą do przetwarzania danych.
Sprawdzenia mogą obejmować:
-
całość przetwarzania danych w objętej sprawdzeniem komórce organizacyjnej,
-
wybrane procesy przetwarzania danych w objętej sprawdzeniem komórce organizacyjnej,
-
przetwarzanie danych w konkretnych systemach informatycznych,
-
przetwarzanie wybranych zbiorów danych, we wszystkich systemach i komórkach organizacyjnych,
-
konkretne zagadnienia przetwarzania danych, jak dopełnianie obowiązku informacyjnego czy przekazywanie danych do państw trzecich.
W planie sprawdzeń powinieneś wskazać zbiory, systemy i zasady przetwarzania, które są objęte konkretnym sprawdzeniem. Określając przedmiot, zakres i terminy sprawdzeń:
-
Weź pod uwagę, że komórki, które sprawdzasz, prowadzą wiele złożonych procesów przetwarzanych danych.
-
Pamiętaj, że w komórkach, w których ryzyko niezgodnego z prawem przetwarzania danych jest większe (np. przetwarzane są dane wrażliwe, częściej zmieniane są procesy przetwarzania danych, występuje większa rotacja pracowników, wymieniane są systemy informatyczne itd.), będziesz musiał częściej prowadzić sprawdzenia.
-
Wykorzystaj własne doświadczenie w prowadzeniu sprawdzeń i audytów.
-
Pamiętaj, że może Ci się nie udać przeprowadzić sprawdzenia i będziesz musiał je powtórzyć.
W planie sprawdzeń musisz określić sposób i zakres dokumentowania sprawdzeń.
Jeśli będziesz prowadzić sprawdzenie po raz pierwszy, nie ograniczaj sobie możliwości dokumentowania sprawdzenia, tym bardziej że plan możesz przygotować kilka miesięcy przed rozpoczęciem sprawdzenia. W planie sprawdzeń możesz wymienić wszystkie sposoby dokumentowania sprawdzenia, o których mówi § 4 rozporządzenia. Jeśli tego nie zrobisz, może się okazać, że w trakcie sprawdzenia będziesz miał niepotrzebnie ograniczone możliwości, np. nie będziesz mógł „sporządzić kopii otrzymanego dokumentu”, bo przygotowując plan sprawdzeń, nie wiedziałeś, że w danej komórce organizacyjnej są tworzone jakieś dokumenty.
Plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na okres nie krótszy niż kwartał i nie dłuższy niż rok. Zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na pięć lat.
Zobacz także:
Tagi: firma, ochrona danych osobowych
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
