Jak ABI ma wykonywać swoje obowiązki?
Wiadomo już, w jaki sposób administratorzy bezpieczeństwa informacji (ABI), powołani w celu pilnowania przestrzegania zasad ochrony danych osobowych, mają wypełniać swoje obowiązki. Z półrocznym poślizgiem zostało wydane rozporządzenie regulujące te kwestie. Powołanie ABI jest prawem, a nie obowiązkiem administratora danych osobowych.
Sprawdzanie przez ABI
Jednym z obowiązków ABI jest sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie sprawozdań w tym zakresie.
ABI musi więc wykonać czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (wymienionymi w § 3 ust. 4 rozporządzenia).
Istnieją dwa rodzaje sprawdzeń. Pierwsze - dokonywane dla administratora danych osobowych (np. przedsiębiorcy), który powołał ABI; może być ono sprawdzeniem planowym lub doraźnym. Drugie - dla Generalnego Inspektora Ochrony Danych Osobowych, który zwrócił się do ABI o dokonanie takiego sprawdzenia.
Plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na okres nie krótszy niż kwartał i nie dłuższy niż rok. Plan sprawdzeń jest przedstawiany administratorowi danych nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem. Musi on obejmować co najmniej jedno sprawdzenie. W planie należy określić przedmiot, zakres oraz termin przeprowadzenia poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania. Wprowadzono wymóg, aby zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych były objęte sprawdzeniem co najmniej raz na pięć lat.
Sprawdzenie doraźne jest przeprowadzane niezwłocznie po powzięciu wiadomości przez administratora bezpieczeństwa informacji o naruszeniu ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia.
Zawiadomienie o sprawdzeniu
ABI powinien zawiadomić kierownika jednostki organizacyjnej objętej sprawdzeniem o zakresie planowanych czynności w terminie co najmniej 7 dni przed dniem ich przeprowadzenia. Ma to na celu umożliwienie wzięcia udziału w sprawdzeniu osobie odpowiedzialnej za przetwarzanie danych osobowych, której dotyczy sprawdzenie oraz umożliwienie ABI przeprowadzenia czynności w toku sprawdzenia.
Zawiadomienia nie przekazuje się w przypadku sprawdzenia doraźnego, jeżeli niezwłoczne rozpoczęcie sprawdzenia jest niezbędne do przywrócenia stanu zgodnego z prawem lub weryfikacji, czy naruszenie miało miejsce. Zawiadomienia nie przekazuje się również wtedy, gdy sprawdzenie jest realizowane na zlecenie GIODO i wyznaczony przez GIODO termin jest na tyle krótki, że nie pozwala na uprzedzenie o wykonaniu sprawdzenia z 7-dniowym wyprzedzeniem. Nie trzeba go też przekazywać, jeśli kierownik jednostki organizacyjnej wie już o zakresie czynności planowanych w ramach sprawdzenia.
Dokumentowanie sprawdzenia
ABI powinien dokumentować czynności przeprowadzone w toku sprawdzenia, w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami oraz do opracowania sprawozdania. Może np. utrwalać dane z systemu informatycznego na nośnikach danych, wykonywać wydruki z systemu, sporządzać notatki z czynności (np. z odebranych wyjaśnień, oględzin), sporządzać kopie dokumentów, zrzuty z ekranu komputera, sporządzać kopie zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu.
Czynności sprawdzające ABI w systemie informatycznym służącym do przetwarzania lub zabezpieczania danych osobowych mogą być wykonywane przy udziale osób upoważnionych do przetwarzania danych, w szczególności osoby zarządzającej tym systemem.
Opracowanie sprawozdania
Po zakończeniu sprawdzenia administrator bezpieczeństwa informacji przygotowuje sprawozdanie. Może być ono sporządzone w postaci elektronicznej albo w postaci papierowej. ABI przekazuje sprawozdanie administratorowi danych osobowych. Powinien to zrobić w terminie 30 dni od zakończenia sprawdzenia planowego.
Przy sprawdzeniu doraźnym sprawozdanie należy przekazać niezwłocznie po zakończeniu sprawdzenia, a przy sprawdzeniu na zlecenie GIODO - w terminie określonym przez GIODO.
Nadzór nad dokumentacją
Do obowiązków ABI należy też sprawowanie nadzoru nad dokumentacją przetwarzania danych osobowych. W ramach tego nadzoru ABI powinien dokonywać weryfikacji:
- opracowania i kompletności dokumentacji przetwarzania danych;
- zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa;
- stanu faktycznego w zakresie przetwarzania danych osobowych;
- zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych;
- przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.
Weryfikacja dokumentacji może być dokonywana w ramach sprawdzeń i poza nimi. Jeśli ABI wykryje nieprawidłowości w dokumentacji, powinien zawiadomić administratora danych o brakach lub nieaktualności dokumentacji oraz działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu. W szczególności może przedstawić do wdrożenia projekty dokumentów. ABI powinien też pouczyć lub poinstruować osobę nieprzestrzegającą zasad określonych w dokumentacji przetwarzania danych o prawidłowym sposobie ich realizacji lub zawiadomić administratora danych, wskazując osobę odpowiedzialną za naruszenie tych zasad oraz jego zakres.
Pouczenia lub instrukcje powinny być zawarte w odrębnym dokumencie skierowanym do osoby nieprzestrzegającej zasad określonych w dokumentacji przetwarzania danych.
Podstawa prawna
Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11.05.2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. poz. 745)
autor: Andrzej Janowski
Gazeta Podatkowa nr 47 (1192) z dnia 2015-06-11