Cloud technology concept: Red Cloud Whis Padlock on digital background, 3d render

Realizacja zadań przez ABI. Co wynika z rozporządzenia?

29 maja 2015 roku opublikowane zostało rozporządzenie Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. Rozporządzenie adresowane jest do administratorów bezpieczeństwa informacji i jest aktem wykonawczym, wydanym na podstawie art. 36a ust. 9 ustawy o ochronie danych osobowych.

Rozporządzenie stanowi doprecyzowanie obowiązków ABI, przewidzianych w ustawie. Określa więc tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywania sprawozdania w tym zakresie, a także nadzorowania opracowywania i aktualizowania dokumentacji.

Zarys obowiązków ABI ustalony w rozporządzeniu – sprawdzenie
Rozporządzenie reguluje zasady dokonywania przez ABI sprawdzenia, czyli podejmowania czynności mających na celu zweryfikowanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Sprawdzenie dokonywanie jest dla administratora danych, a także dla GIODO, o ile zwróci się o jego dokonanie.

Sprawdzenia dokonywane być muszą według określonego harmonogramu. ABI ma bowiem obowiązek opracować i realizować plan sprawdzeń, w którym określi przedmiot, zakres, termin samego sprawdzenia oraz sposób i zakres jego dokumentowania. Plan sprawdzeń, opracowywany na okres nie krótszy niż kwartał i nie dłuższy niż rok, powinien uwzględniać zarówno zbiory danych osobowych, które mają być objęte sprawdzeniem, jak i systemy informatyczne, w których przetwarzane są dane. Plan powinien również przewidywać konieczność sprawdzenia zgodności przetwarzania danych z zasadami przetwarzania, zasadami zabezpieczenia danych, obowiązkami rejestracyjnymi oraz zasadami przekazywania danych do państw trzecich.

W przypadku czynności weryfikujących podejmowanych zgodnie z oznaczonym harmonogramem mamy do czynienia ze sprawdzeniem planowym.  Możliwe jest również prowadzenie sprawdzeń doraźnych. Może się bowiem zdarzyć, że ABI dowie się od naruszeniu ochrony danych osobowych lub poweźmie uzasadnione podejrzenie, że takie naruszenie miało miejsce. Te okoliczności umożliwiają mu przeprowadzenie niezwłocznie sprawdzenia nieujętego w planie.

Dokumentowanie sprawdzeń
Weryfikacja zgodności przetwarzania danych z przepisami prawa w tym zakresie należy do podstawowych i kluczowych obowiązków ABI. Dlatego też ustawodawca w rozporządzeniu precyzuje, w jakiej formie możliwe jest dokumentowanie czynności podejmowanych przez ABI. Przede wszystkim, zgodnie z par. 4 rozporządzenia, ABI ma obowiązek dokumentowania czynności przeprowadzonych w toku sprawdzenia w zakresie niezbędnym do oceny zgodności przetwarzania danych z przepisami. Sposób dokumentowania tych czynności jest dowolny. Ustawodawca wskazuje jednak, że dokumentowanie polegać może w szczególności na utrwaleniu danych z systemu informatycznego na informatycznym nośniku danych, na dokonywaniu wydruku tych danych, a także że może przybierać formę notatki z czynności, odebrania wyjaśnień od osoby, której czynności objęto sprawdzeniem, wykonania kopii dokumentów lub zrzutu ekranu. Katalog ten jest otwarty.

Samo dokumentowanie podjętych czynności nie wystarczy. Po zakończeniu sprawdzenia ABI przygotować musi odpowiednie sprawozdanie. W zależności od rodzaju sprawdzenia inny jest termin na jego opracowanie. W przypadku sprawdzenia planowego, sprawozdanie opracowane być musi w terminie 30 dni od dnia zakończenia sprawdzenia. W przypadku sprawdzenia doraźnego – niezwłocznie po jego zakończeniu. Sprawdzenie dokonywane na prośbę GIODO prowadzi z kolei do przygotowania sprawozdania z zachowaniem terminu wskazanego przez GIODO.

Zakres samego sprawozdania określa w art. 36c ustawa, stanowiąc, że powinno ono zawierać:

  1. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;
  2. imię i nazwisko administratora bezpieczeństwa informacji;
  3. wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
  4. datę rozpoczęcia i zakończenia sprawdzenia;
  5. określenie przedmiotu i zakresu sprawdzenia;
  6. opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  7. stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
  8. wyszczególnienie załączników stanowiących składową część sprawozdania;
  9. podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania;
  10. datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.

Nadzór nad dokumentacją ODO
Rozporządzenie odnosi się również do kolejnego zadania ABI, jakim jest sprawowanie nadzoru nad dokumentacją przetwarzania danych. I tak, ABI weryfikować powinien zarówno samo opracowanie dokumentacji, jak i jej kompletność. ABI weryfikuje także zgodność dokumentacji przetwarzania danych z obowiązującymi przepisami prawa oraz sprawdza i zestawia stan faktyczny z zasadami przewidzianymi w dokumentacji oraz czuwa nad przestrzeganiem ustalonych w niej zasad. Powyższe elementy ABI nadzorować może w ramach sprawdzeń, choć nie tylko. Możliwe jest również przeprowadzenie weryfikacji poza sprawdzeniami na podstawie zgłoszenia osoby wykonującej obowiązki określone w dokumentacji przetwarzania danych oraz własnego udziału ABI w procedurach przewidzianych w dokumentacji. Podstawą podjęcia przez ABI czynności może być też informacja od osoby trzeciej.

W przypadku wykrycia podczas weryfikacji określonych nieprawidłowości, ABI zawiadamia o brakach lub nieopracowaniu dokumentacji administratora danych. Wskazuje również działania niezbędne do  przywrócenia dokumentacji do wymaganego stanu. ABI może również przedstawić projekty uaktualnionych dokumentów, jeżeli dokumentacja była nieaktualna, a także pouczać lub instruować osobę nieprzestrzegającą zasad określonych w dokumentacji o prawidłowym sposobie ich realizacji.

W praktyce jest jeszcze wiele wątpliwości
Przepisy regulujące nowe zadania ABI oraz sposób ich wykonywania są nowe, więc w naturalny sposób budzą wiele wątpliwości. O szczegółowych aspektach wykonywania obowiązków przez ABI oraz o praktycznych problemach, które pojawiają się z związku z wykonywaniem nowych obowiązków będziemy pisać w kolejnych, wakacyjnych postach.

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik
katarzyna.witkowska@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej