Zadania ABI

Czy GIODO stworzy „listę spraw”, które administrator bezpieczeństwa informacji powinien zweryfikować podczas sprawdzenia?

Zgodnie z art. 36a ust. 2 pkt 1 lit. a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych.
Sposób realizacji zadań określony został w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. Zgodnie z ww. rozporządzeniem, ABI przeprowadza sprawdzenie w trzech trybach. Jednym z nich jest sprawdzenie planowe, prowadzone według opracowanego przez ABI planu sprawdzeń, który określa przedmiot, zakres oraz termin przeprowadzenia poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania (§ 3 ust. 3 wskazanego rozporządzenia). Można zatem przyjąć, że plan taki obejmuje listę spraw, działań, jakie ABI powinien podjąć podczas dokonywania sprawdzeń.
Rzetelne opracowanie planu sprawdzeń jest ważną czynnością przygotowawczą umożliwiającą właściwe wypełnienie obowiązku przeprowadzenia sprawdzeń. Podstawowym przedmiotem sprawdzenia są zbiory danych osobowych i systemy informatyczne służące do przetwarzania danych osobowych, i związane z nimi przestrzeganie obowiązków określonych w ustawie o ochronie danych osobowych oraz przepisach wykonawczych do niej. Planem sprawdzeń można objąć też inne uzasadnione w konkretnym przypadku zagadnienia związane z przetwarzaniem danych osobowych. Ważne, aby pamiętać, że sprawdzenia muszą być tak zaplanowane, aby każdy zbiór danych i system informatyczny zostały sprawdzone przynajmniej raz na pięć lat (§ 3 ust. 6 wskazanego rozporządzenia).
Z powyższego wynika, że każdy plan sprawdzeń musi być dostosowany do przetwarzania danych prowadzonych przez konkretnego administratora danych i nie jest możliwe opracowanie uniwersalnego szablonu takiego planu przez GIODO. Wyjątek stanowi sprawdzenie dokonywane na zlecenie GIODO, o którym mowa w art. 19b u.o.d.o. W takim przypadku GIODO wskazuje ABI termin i zakres sprawdzenia. Przykładowe wystąpienia kierowane na podstawie art. 19b u.o.d.o. dostępne są w ABI- Informatorze (https://abi.giodo.gov.pl/sprawdzenia-dla-giodo/abc-sprawdzenia/wystapienie-giodo), natomiast wyniki sektorowych sprawdzeń dla GIODO w zakładce Kontrole (http://www.giodo.gov.pl/pl/1520291).

Warto również zauważyć, że przygotowywanie planów i przeprowadzanie sprawdzeń przez ABI przyczynia się do rozwijania ich samodzielności i proaktywnej postawy w zakresie zapewnienia ochrony danych osobowych. Doświadczenia te mogą okazać się bardzo przydatne po wejściu do stosowania ogólnego rozporządzenia o ochronie danych. Zgodnie z zasadą rozliczalności, administrator oraz podmiot przetwarzający na każdym etapie procesu przetwarzania danych będą musieli postępować zgodnie z przepisami o ochronie danych osobowych oraz być gotowi tę zgodność wykazać. Realizacja wskazanych zasad będzie wymagała zatem wdrożenia odpowiednich środków technicznych i organizacyjnych, o doborze których będzie decydował zawsze samodzielnie administrator danych oraz podmiot przetwarzający, przy aktywnym wsparciu inspektora ochrony danych (DPO), w przypadku jego wyznaczenia.

Kto jest uprawniony do dokonywania oceny zgodności dokumentacji przetwarzania danych osobowych z przepisami o ochronie danych osobowych - administrator bezpieczeństwa informacji czy wyłącznie inspektorzy Generalnego Inspektora Ochrony Danych Osobowych?

Zarówno ustawa o ochronie danych osobowych, jak i rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów  o ochronie danych osobowych przez administratora bezpieczeństwa informacji nie pozostawiają wątpliwości co do tego, iż sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, w tym w zakresie dokumentacji przetwarzania danych, jest obowiązkiem ABI. Wyraźnie wskazane to zostało w § 7 ust. 1 pkt 1 ww. rozporządzenia.
Natomiast GIODO jako organ publiczny jest uprawniony do przeprowadzania kontroli zgodności przetwarzania danych osobowych z przepisami prawa, do czego wprost zobowiązuje go art. 12 pkt 1 ustawy o ochronie danych osobowych. Zakresem kontroli GIODO mogą być oczywiście objęte również kwestie opracowania i kompletności dokumentacji przetwarzania danych osobowych. Zarówno weryfikacja zgodności przetwarzania danych osobowych dokonywana przez ABI, jak i kontrole przeprowadzane przez inspektorów GIODO mają ten sam cel: zapewnienie zgodności przetwarzania danych z obowiązującymi przepisami. Działania te nie wykluczają się, a wręcz przeciwnie - w konsekwencji mają prowadzić do zapewnienia skutecznej ochrony danych osobowych i przestrzegania obowiązującego w tym zakresie prawa (zobacz też: „Dokonywanie oceny zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych”, http://www.giodo.gov.pl/pl/560/9292).

Na czym polega sprawdzenie dokonywane przez ABI na wniosek Generalnego Inspektora?

Zgodnie z art. 19b ust. 1 u.o.d.o., Generalny Inspektor może zwrócić się do ABI wpisanego do rejestru o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a  , u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. Po dokonaniu sprawdzenia ABI, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie z przeprowadzonego sprawdzenia. Więcej informacji na temat sprawdzenia dokonywanego przez ABI na wniosek GIODO dostępne tutaj.

Czym jest plan sprawdzeń?

Zgodnie z Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745) plan sprawdzeń jest dokumentem określającym przedmiot, zakres oraz termin przeprowadzania poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania. Plan sprawdzeń powinien obejmować co najmniej jedno sprawdzenie i zostać przygotowany przez ABI na okres nie krótszy niż kwartał i nie dłuższy niż rok, jak również powinien być przedstawiony administratorowi danych nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem. Plan sprawdzeń dotyczy wyłącznie sprawdzeń dokonywanych dla administratora danych.

Jakie elementy powinno zawierać sprawozdanie?

Stosownie do treści art. 36a ust. 2 pkt 1 lit. a u.o.d.o., ABI ma obowiązek sprawdzania zgodności przetwarzania danych osobowych z przepisami prawa i opracowywania w tym zakresie sprawozdań dla administratora danych. Sprawozdanie powinno zawierać (art. 36c u.o.d.o.):

  1. oznaczenie administratora danych, jego adres lub miejsce zamieszkania;
  2. imię i nazwisko ABI;
  3. wykaz czynności podjętych przez ABI w toku sprawdzania oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
  4. datę rozpoczęcia i zakończenia sprawdzenia;
  5. określenie przedmiotu i zakresu sprawdzenia;
  6. opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami;
  7. stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
  8. wyszczególnienie załączników stanowiących składową część sprawozdania;
  9. podpis ABI, dodatkowo parafy na każdej stronie sprawozdania w formie papierowej;
  10. datę i miejsce podpisania sprawozdania przez ABI.

Czy ABI może zlecić wykonanie sprawdzenia audytorowi wewnętrznemu w firmie lub zewnętrznemu (firma konsultingowa), czy ma obowiązek wykonywania tego zadania osobiście?

Zgodnie z treścią art. 36a ust. 2 pkt 1 lit. a u.o.d.o. oraz art. 36c pkt 3 u.o.d.o. sprawdzanie zgodności przetwarzania danych osobowych z przepisami powinno być wykonywane osobiście przez ABI. Możliwe jest natomiast korzystanie z pomocy osób posiadających wiedzę specjalistyczną, np. informatyków w niezbędnym zakresie.

Na czym polega obowiązek ABI nadzorowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych?

Sprawując nadzór, ABI dokonuje weryfikacji:

  1. opracowania i kompletności dokumentacji przetwarzania danych;
  2. zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa;
  3. stanu faktycznego w zakresie przetwarzania danych osobowych;
  4. zgodności ze stanem faktycznym przewidzianych w dokumentacji środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych;
  5. przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.

Weryfikacja może być dokonywana w sprawdzeniach, albo na podstawie zgłoszenia osoby wykonującej obowiązki określone w dokumentacji przetwarzania danych, bądź na podstawie zgłoszenia osoby trzeciej.

W jaki sposób ABI powinien prowadzić rejestr zbiorów danych przetwarzanych przez administratora danych?

Sposób prowadzenia i zakres tego rejestru wskazany jest w rozporządzeniu Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015, poz. 719). Z rozporządzenia tego wynika, iż rejestr taki powinien być prowadzony w formie papierowej lub elektronicznej, a znajdować się w nim powinny następujące informacje dotyczące każdego zbioru danych:

  1. nazwa zbioru danych;
  2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
  3. oznaczenie przedstawiciela administratora danych, o którym mowa w art. 31a u.o.d.o. i adres jego siedziby lub miejsca zamieszkania, w przypadku wyznaczenia takiego podmiotu;
  4. podstawa prawna upoważniająca do prowadzenia zbioru danych;
  5. cel przetwarzania danych w zbiorze;
  6. opis kategorii osób, których dane są przetwarzane w zbiorze;
  7. zakres danych przetwarzanych w zbiorze;
  8. sposób zbierania danych do zbioru, w szczególności informacja, czy dane do zbioru zbierane są od osób, których dotyczą, czy z innych źródeł;
  9. sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnionym na podstawie przepisów prawa;
  10. oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
  11. informacje dotyczące ewentualnego przekazywania danych do państw trzecich.

W rejestrze należy podawać datę każdego wpisu, jak również datę każdej aktualizacji informacji dotyczącej zbioru danych. W przypadku wykreślenia zbioru danych z rejestru, w rejestrze należy pozostawić nazwę zbioru danych, datę wpisania zbioru danych oraz datę ostatniej aktualizacji, wraz z adnotacją, że jest to data wykreślenia zbioru z rejestru.

W jakiej formie ABI może prowadzić rejestr zbiorów danych przetwarzanych przez administratora?

Rejestr zbiorów danych może być prowadzony w formie papierowej lub w postaci elektronicznej. W przypadku prowadzenia rejestru w postaci papierowej administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych. W przypadku prowadzenia rejestru w postaci elektronicznej ABI udostępnia rejestr do przeglądania:

  1. Na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru lub
  2. Na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora, lub
  3. Przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

Czy dokumentacja dotycząca ochrony danych osobowych (np. upoważnienia do przetwarzania danych osobowych udzielone pracownikom) powinna być przechowywana przez ABI w miejscu wykonywania przez niego obowiązków, czy też w dziale kadr w aktach osobowych upoważnionych pracowników?

Zgodnie z art. 36 ust. 2 u.o.d.o., administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki zapewniające ich ochronę. W ustawie nie wskazano, kto ma przechowywać dokumentację. Powinna być ona dostępna w siedzibie administratora i miejscach, w których dochodzi do przetwarzania danych, tak by mogli się z nią zapoznawać upoważnieni do przetwarzania pracownicy, administrator bezpieczeństwa informacji oraz inspektorzy GIODO.

Czy ABI jest zobowiązany wykonywać swoje zadania również na rzecz zakładowej organizacji związkowej działającej u danego administratora danych?

Zakładowa organizacja związkowa jest w zakresie swoich kompetencji określonych w prawie pracy i ustawie o związkach zawodowych odrębnym administratorem danych, niezależnym od pracodawcy, u którego działa. W związku z tym ABI nie jest zobowiązany do wykonywania czynności określonych w art. 36a ust. 2 pkt 1 lit. a-c u.o.d.o., na rzecz innych ADO, w tym np. komisji zakładowej jako odrębnego administratora danych.

Czy po zgłoszeniu powołania ABI należy zgłaszać zbiory danych do rejestracji GIODO?

Administrator danych osobowych, który powołał i zgłosił administratora bezpieczeństwa informacji do rejestracji w GIODO, ma obowiązek zgłosić wyłącznie zbiory zawierające dane szczególnie chronione, o których mowa w art. 27 ust. 1 u.o.d.o.

Gdzie poszukiwać aktualnych informacji o zbiorach prowadzonych przez administratora danych, który zgłosił ABI do rejestracji GIODO?

Informacji o zarejestrowanych zbiorach należy poszukiwać przede wszystkim w jawnym rejestrze zbiorów danych prowadzonym przez właściwego ABI. Od 1 stycznia 2015 r. informacje umieszczone w jawnym rejestrze zbiorów prowadzonym przez ABI nie muszą być aktualizowane w rejestrze GIODO, z wyjątkiem zbiorów zawierających tzw. dane wrażliwe.

Informacji o zbiorach danych wrażliwych należy poszukiwać w rejestrze GIODO, który nadal zachowuje prawo do oceny legalności prowadzenia tych zbiorów przez administratora danych oraz w rejestrze ABI, w którym zbiory te są ujmowane.

W przypadku, gdy administrator danych nie powołał ABI, informacje o zbiorach danych zgłoszonych   przez administratora danych powinny być dostępne w ogólnokrajowym, jawnym rejestrze GIODO, do którego zbiory takie powinny zostać zgłoszone, o ile nie zachodzi żadna z przesłanek zwalniających administratora danych z dopełnienia tego obowiązku w art. 43 ust. 1 u.o.d.o.

Jakie przepisy będą miały zastosowanie do rozpatrywania zgłoszeń zbiorów danych osobowych, które wpłynęły do GIODO przed 1 stycznia 2015 r.?

Zgodnie z art. 36 ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, do postępowań rejestracyjnych prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych na podstawie zgłoszeń zbiorów danych do rejestracji, które wpłynęły do Biura GIODO przed 1 stycznia 2015 r., wszczętych i niezakończonych przed dniem wejścia w życie wyżej wskazanej ustawy, stosuje się przepisy dotychczasowe.

Jakie zbiory danych osobowych powinien ująć administrator bezpieczeństwa informacji w prowadzonym przez siebie rejestrze zbiorów?

Zgodnie z art. 36a ust. 2 pkt 2 u.o.d.o. ABI prowadzi rejestr zbiorów danych osobowych przetwarzanych przez administratora danych. Rejestr jest prowadzony przez ABI u administratora danych i obejmuje wszystkie zbiory danych prowadzone przez tego administratora danych, z wyjątkiem zbiorów danych wyłączonych dotychczas z obowiązku zgłoszenia do rejestracji GIODO na podstawie w art. 43 ust. 1 u.o.d.o. ABI powinien zatem ująć w swoim rejestrze również zbiory uprzednio (przed 1 stycznia 2015 r.) zgłoszone do GIODO (w tym zbiory zawierające dane wrażliwe).