SPRAWDZENIE I SPRAWOZDANIA ZE SPRAWDZEŃ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Sprawdzenia

Pierwszym zadaniem, które dla ABI przewiduje ustawa, jest dokonywanie regularnych sprawdzeń oraz przedstawianie raportu z nich administratorowi danych. Przepisy aktu wykonawczego ustalają ramy okresów, w jakich muszą się odbywać sprawdzenia (nie rzadziej niż raz w roku) oraz na okresy, w jakich należy planować sprawdzenia (plan obejmuje co najmniej kwartał, co najwyżej rok).

Sprawdzenie dokonywanie jest dla administratora danych, a także dla GIODO, o ile zwróci się o jego dokonanie.

Sprawdzenia dokonywane być muszą według  planu sprawdzeń, w którym określi przedmiot, zakres, termin samego sprawdzenia oraz sposób i zakres jego dokumentowania. Harmonogram (plan)  sprawdzeń ABI opracowuje na okres nie krótszy niż kwartał i nie dłuższy niż rok. Uwzględnia w nim zarówno zbiory danych osobowych, które mają być objęte sprawdzeniem, jak i systemy informatyczne, w których przetwarzane są dane. Plan powinien również przewidywać konieczność sprawdzenia zgodności przetwarzania danych  z zasadami przetwarzania, zasadami zabezpieczenia danych, obowiązkami rejestracyjnymi oraz zasadami przekazywania danych do państw trzecich ( weryfikując z art.23-27 i 31-35 ustawy).

Kolejnym sprawdzeniem jest tzw. doraźne.  ABI będzie miał konieczność sporządzenia takiego sprawdzenia w przypadku powzięcia informacji o uzasadnionym naruszeniu zasad ochrony danych osobowych. W takim przypadku będzie musiał przeprowadzić niezwłocznie sprawdzenie doraźne .

Sprawozdania

Zgodnie z par. 4 rozporządzenia, ABI ma obowiązek dokumentowania czynności przeprowadzonych w toku sprawdzenia. Sposób i zakres dokumentowania tych czynności jest dowolny. Ustawodawca wskazuje przykładowo, że dokumentowanie polegać może w szczególności na utrwaleniu danych z systemu informatycznego na informatycznym nośniku danych, na dokonywaniu wydruku tych danych, może mieć  formę notatki z czynności, odebrania wyjaśnień od osoby, której czynności objęto sprawdzeniem, wykonania kopii dokumentów czy też  zrzutu ekranu. Katalog takich czynności jest otwarty. Po zakończeniu sprawdzenia ABI jest zobowiązany do przygotowania sprawozdanie z sprawdzenia.

Sprawozdanie powinno ono zawierać:

1. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;
2. imię i nazwisko administratora bezpieczeństwa informacji;
3. wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
4. datę rozpoczęcia i zakończenia sprawdzenia;
5. określenie przedmiotu i zakresu sprawdzenia;
6. opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
7. stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
8. wyszczególnienie załączników stanowiących składową część sprawozdania;
9. podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania;
10. datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.

W zależności od rodzaju sprawdzenia inny będzie termin na jego opracowanie. Przy  sprawdzeniu planowym, sprawozdanie opracowane być musi w terminie 30 dni od dnia zakończenia sprawdzenia. Przy sprawdzeniu doraźnego , sprawozdanie opracowane być musi  niezwłocznie po jego zakończeniu. Sprawdzenie dokonywane na żądanie GIODO prowadzi z kolei do przygotowania sprawozdania z zachowaniem terminu wskazanego przez GIODO.

Autor: Rafał Andrzejewski