Strefa wiedzy

Tworzenie planów audytu dla Zarządów przez ABI

08.02.2016

Organizując prace i zadania na 2016 rok nie możemy zapomnieć o sprawdzeniach bezpieczeństwa danych osobowych. Wynikające z aktów wykonawczych do znowelizowanej Ustawy o ochronie danych osobowych szczegółowe zasady planowania, akceptacji i prowadzenia sprawdzeń powinny pomóc w wykonaniu tego teoretycznie prostego zadania. Czy jednak jest ono naprawdę tak łatwe?

Po pierwsze CZAS

Plan sprawdzeń może zostać opracowany na okres nie krótszy niż kwartał i nie dłuższy niż rok, a ABI obowiązany jest do przedstawienia go Administratorowi Danych nie wcześniej niż na dwa tygodnie przed planowanym sprawdzeniem do jednego roku. Dodatkowo, już podczas realizacji planu sprawdzeń, ABI obowiązany jest do informowania kierownika jednostki organizacyjnej co najmniej na 7 dni przed rozpoczęciem planowego sprawdzenia. Jako dobrą praktykę warto również uzyskać od Administratora Danych akceptację przedstawionego planu sprawdzeń.

Po drugie ZAKRES

Co do zasady nie ma określonego wymogu odnośnie do zakresu sprawdzenia – tutaj decyzja należy do ABI-ego. Musi on jednak pamiętać o tym, że w przeciągu pięciu lat każdy zbiór danych i każdy system informatyczny powinien zostać sprawdzony. Samo sprawdzenie musi dać odpowiedź na następujące pytania:

  1. Czy zbieranie i przetwarzanie danych przebiega zgodnie z podstawami prawa?
  2. Czy spełniony został obowiązek informacyjny?
  3. Czy zawarte zostały umowy powierzenia przetwarzania danych?
  4. Czy realizowane jest prawo dostępu do danych oraz do ich poprawiania?
  5. Czy stosowane są należyte środki ochrony fizycznej, organizacyjnej i technicznej?
  6. Czy, w przypadku transferu danych do państw trzecich, odbywa się to zgodnie z zasadami opisanymi w Ustawie?
  7. Czy zbiory danych zawierające dane wrażliwe zostały zarejestrowane u GIODO?
  8. Czy dokumentacja systemu ochrony danych osobowych jest zgodna z wymogami prawa, czy jest zgodna ze stanem faktycznym organizacji oraz czy pracownicy znają i stosują jej postanowienia.

Po trzecie DOKUMENTOWANIE

By przeprowadzone sprawdzenie uznać za pełne, należy pamiętać o dokumentowaniu – w wersji papierowej lub elektronicznej – czynności. ABI ma kilka możliwości:

  1. Utrwalenie danych z systemu informatycznego.
  2. Sporządzenie notatki z przeprowadzonej czynności.
  3. Odebranie wyjaśnień od osoby odpowiedzialnej za obszar objętej sprawdzeniem.
  4. Sporządzenie kopii dokumentu.
  5. Zrobienie zrzutu z ekranu systemu informatycznego.
  6. Sporządzenie kopii zapisów rejestru systemu informatycznego lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu.

Oczywiście powyżej opisane działania są czysto teoretycznymi wymogami prawa – praktyka niestety wygląda zupełnie inaczej. Brak możliwości umówienia spotkania z osobami odpowiedzialnymi, brak wiedzy w zakresie omawianego tematu czy też rozproszenie organizacji utrudniające ustalenie np. ostatecznego brzmienia podpisanej umowy powierzenia. To wszystko zabiera czas, a jednocześnie może doprowadzić do „rozjechania się” całego planu sprawdzeń. Jak więc skutecznie je prowadzić? Na pewno warto o to zapytać specjalistów.

Autor: Tomasz Grześko

Opłacalność taryf no-limit

Coraz większa popularność taryf ryczałtowych typu „no-limit” na rynku detalicznym sprawia, że również firmy oraz instytucje sektora publicznego decydują się…

25.09.2017

Zobacz więcej

Spadki sprzedaży usług telekomunikacyjnych w sektorze administracji publicznej i samorządowej

W 2016 r. jednostki objęte ustawą Prawo zamówień publicznych[1] (dalej „Pzp”) zaraportowały w serwisach BZP[2] i TED[3] zawarcie umów o łącznej…

Zobacz więcej

Rynek data center – podsumowanie 2016 r. i prognozy na najbliższe 5 lat

Wydarzenia na polskim rynku datacenter w 2016 r. potwierdziły wiarę dostawców w dobre perspektywy rynkowe w nadchodzących latach. W infrastrukturę…

17.08.2017

Zobacz więcej

Zbieranie danych do audytu energetycznego

Rozpoczęcie prac audytowych wymaga umiejętnego zebrania danych, które będziemy poddawać analizie. Ustawa o efektywności energetycznej opisuje w sposób ogólny to,…

17.05.2017

Zobacz więcej

Formy poprawy efektywności energetycznej wspierane przez Państwo

Podjęcie działań na rzecz wzrostu efektywności energetycznej wymaga podjęcia wysiłku i często znaczących nakładów finansowych. Celem zwiększenia motywacji do realizacji…

13.04.2017

Zobacz więcej

Nowa ustawa o ochronie danych osobowych – przegląd opublikowanego projektu

Już niewiele ponad rok dzieli nas od rozpoczęcia stosowania przepisów Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych, w skrócie zwanego…

Zobacz więcej

Jak spełnić wymogi Ustawy o efektywności energetycznej?

Najważniejszym założeniem Ustawy o efektywności energetycznej (nowelizacja przyjęta przez Sejm 20.05.2016) jest wprowadzenie obowiązkowych działań na rzecz poprawy efektywności energetycznej…

21.03.2017

Zobacz więcej

Wsparcie w zarządzaniu zamówieniami (cz. III)

W drugiej części artykułu omówiono podstawowe warunki, jakie muszą zostać spełnione w firmie dla skutecznego zarządzania zapasami. Zwrócono uwagę na…

Zobacz więcej

Jak skutecznie wdrożyć panel menedżera?

W naszej praktyce biznesowej obserwujemy wzrost zapotrzebowania menedżerów na szybki dostęp do informacji ukierunkowanej na wsparcie konkretnej decyzji zarządczej. Rośnie…

22.02.2017

Zobacz więcej

Inspektor Ochrony Danych – czy będzie to nowa rola?

W grudniu 2016 roku Grupa Robocza art. 29, opublikowała swoje wytyczne do unijnego rozporządzenia GDPR (RODO). Jednym z tematów wytycznych…

Zobacz więcej
icon

Newsletter

icon

Zapisz się do newslettera i otrzymuj bezpłatnie artykuły naszych ekspertów.