Opracowanie sprawozdania z przeprowadzonego przez ABI sprawdzenia
Autor: Jakub WezgrajData dodania: Kategoria: Administrator Bezpieczeństwa Informacji, Wymogi ustawowe
Przeprowadzenie każdego rodzaju sprawdzenia z zakresu ochrony danych osobowych (planowego, doraźnego, zrealizowanego na żądanie GIODO) musi być zakończone opracowaniem przez Administratora Bezpieczeństwa Informacji sprawozdania.
Co powinno zawierać każde sprawozdanie?
Na jakie elementy należy zwrócić szczególną uwagę?
Z jakich elementów musi składać się każde sprawozdanie?
Artykuł 36c ustawy o ochronie danych osobowych wskazuje, jakie elementy musi zawierać każde sprawozdanie opracowane przez Administratora Bezpieczeństwa Informacji.
Do tych elementów zaliczamy:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania,
- imię i nazwisko Administratora Bezpieczeństwa Informacji,
- wykaz czynności podjętych przez Administratora Bezpieczeństwa Informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach,
- datę rozpoczęcia i zakończenia sprawdzenia,
- określenie przedmiotu i zakresu sprawdzenia,
- opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
- stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,
- wyszczególnienie załączników stanowiących składową część sprawozdania,
- podpis Administratora Bezpieczeństwa Informacji, a w przypadku sprawozdania w postaci papierowej - dodatkowo parafy Administratora Bezpieczeństwa Informacji na każdej stronie sprawozdania,
- datę i miejsce podpisania sprawozdania przez Administratora Bezpieczeństwa Informacji.
Jeśli chcesz poznać szczegóły w jaki sposób należy realizować poszczególne zadania Administratora Bezpieczeństwa Informacji, a także w jaki sposób skutecznie stworzyć tą funkcję w organizacji, zapraszam do lektury mojego bezpłatnego eBooka "Zawód - Administrator Bezpieczeństwa Informacji".
eBook można pobrać na stronie głównej www.odoekspert.pl.
Newralgiczne elementy każdego sprawozdania
O ile takie elementy sprawozdania jak: oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, wskazanie Administratora Bezpieczeństwa Informacji, daty rozpoczęcia i zakończenia sprawdzenia, czy też nie powinny budzić większych wątpliwości, o tyle już określenie przedmiotu i zakresu sprawdzenia oraz przedstawienie wykazu czynności podjętych przez ABI może nastręczać nieco trudności.
W przypadku opracowywania sprawozdania z przeprowadzonego sprawdzenia planowego należy pamiętać, że sam opis przedmiotu i zakresu sprawdzenia, a także sposobu i zakresu dokumentowania czynności podjętych w trakcie przeprowadzanego sprawdzenia powinien wynikać już z opracowanego przez ABI planu sprawdzenia (o sprawdzeniu planowym i planie sprawdzeń pisałem już TUTAJ). W takim wypadku wystarczy więc skopiować te informacje z planu sprawdzenia do treści sprawozdania i uzupełnić je o dane osób biorących udział w czynnościach przeprowadzonych przez ABI.
Z kolei w przypadku sprawdzenia doraźnego oraz realizowanego na żądanie GIODO Administrator Bezpieczeństwa Informacji nie planuje „z wyprzedzeniem” ani przedmiotu i zakresu sprawdzenia, ani też czynności, które zamierza przeprowadzić, ale dobiera zakres działań każdorazowo adekwatny do potrzeb związanych z:
- treścią uzyskanej przez ABI wiadomości o naruszeniu ochrony danych osobowych lub podejrzeniu takiego naruszenia (w przypadku sprawdzeń doraźnych - przypominam, że tego typu sprawdzenia ABI ma obowiązek przeprowadzać w przypadku uzyskania informacji o naruszeniu ochrony danych lub podejrzeniu takiego naruszenia) lub
- wskazanym przez GIODO zakresem i terminem przeprowadzenia sprawdzenia (w przypadku sprawdzeń realizowanych na żądanie Generalnego Inspektora Ochrony Danych Osobowych - w takim wypadku GIODO wskaże żądany zakres sprawdzenia oraz termin w jakim ma być przeprowadzone).
Opis stanu faktycznego
Kolejny ważny element sprawozdania (opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych) wymaga od Administratora Bezpieczeństwa Informacji umiejętności zestawienia pozyskanych informacji w postaci spójnego opisu tego, co ustalił w trakcie sprawdzenia.
Chodzi więc o przedstawienie opisu rzeczywistego stanu faktycznego („tak jak jest w rzeczywistości”) jeszcze bez dokonywania oceny, czy stan ten jest zgodny z wymaganiami prawa („tak jak powinno być”). Opis ten przypomina opisy ustaleń dokonywanych przez inspektorów GIODO w trakcie kontroli przeprowadzanych u administratorów danych, w oparciu o które w dalszej kolejności ustala się czy dany podmiot prawidłowo realizuje poszczególne wymogi prawne z zakresu ochrony danych osobowych.
Należy pamiętać, że Administrator Bezpieczeństwa Informacji przygotowując opis stanu faktycznego podejmuje samodzielną decyzję jakie ewentualnie informacje będą miały istotne znaczenie dla oceny zgodności przetwarzania danych osobowych z obowiązującymi przepisami prawa. Nikt (w tym również administrator danych, który powołał ABI) nie posiada uprawnień do wywierania nacisku na Administratora Bezpieczeństwa Informacji w zakresie ustaleń faktycznych i doboru informacji potrzebnych do przeprowadzenia oceny zgodności.
Stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych i plan naprawczy
Ostatni newralgiczny element sprawozdania (stwierdzone przypadki naruszenia przepisów
o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem) ma stanowić efekt merytorycznej oceny dokonanej przez ABI, na ile ustalony stan faktyczny jest zgodny z obowiązującymi przepisami prawa w zakresie ochrony danych osobowych.
Rola ABI nie kończy się jednak na wykazaniu ewentualnych nieprawidłowości. Omawiany element sprawozdania wyraźnie podkreśla również rolę doradczą jaką powinien realizować Administrator Bezpieczeństwa Informacji. W przypadku ustalenia nieprawidłowości w obszarze przetwarzania danych osobowych jest on zobowiązany przedstawić propozycje wyeliminowania tych nieprawidłowości w postaci planu naprawczego. Mogą również w praktyce zaistnieć przypadki, w których ABI podejmie określone działania naprawcze jeszcze w trakcie przeprowadzanego sprawdzenia (w takim wypadku w sprawozdaniu powinien wskazać podjęte już działania przywracające stan zgodny z prawem).
Za ostateczne wdrożenie zaleceń naprawczych odpowiada administrator danych
Należy pamiętać, że w celu ostatecznego wdrożenia opracowanego przez ABI planu naprawczego zazwyczaj niezbędna okaże się jego współpraca z administratorem danych. W większości przypadków ABI nie będzie bowiem posiadał formalnych uprawnień do podejmowania decyzji w zakresie realnej implementacji opracowanych rozwiązań w organizacji (takie uprawnienia przysługiwać będą określonym organom - np. zarządowi przedsiębiorstwa prowadzonego w formie spółki prawa handlowego lub osobom uprawnionym do reprezentacji administratora danych - np. dyrektorowi konkretnej placówki, np. szpitala, szkoły, urzędu etc.).
Ponadto zgodnie z wymaganiami ustawy o ochronie danych osobowych to na administratorze danych spoczywa obowiązek realizacji poszczególnych wymagań prawnych z zakresu ochrony danych osobowych, w tym kontekście Administrator Bezpieczeństwa Informacji „zapewnia przestrzeganie przepisów” przedstawiając administratorowi danych okresowe oceny stanu zgodności organizacji z wymaganiami w zakresie ochrony danych osobowych oraz - w przypadku wykrycia nieprawidłowości – propozycje działań naprawczych.
Skuteczna implementacja i stosowanie większości rozwiązań opracowanych przez ABI będzie też wymagać zaangażowania ze strony kadry kierowniczej, która powinna zapewnić ich realizację w podległych sobie komórkach organizacyjnych (i przez podległych jej pracowników).
Termin opracowania sprawozdania przez ABI
Sprawozdania opracowane przez Administratora Bezpieczeństwa Informacji niezależnie od trybu sprawdzenia, którego dotyczą, należy przekazać bezpośrednio administratorowi danych.
W zależności od charakteru sprawdzenia,którego dotyczy dane sprawozdanie, przewidziano z kolei inne terminy w jakich ABI jest zobowiązany je opracować i przekazać do administratora danych:
- w przypadku sprawozdania ze sprawdzenia planowego – Administrator Bezpieczeństwa Informacji jest zobowiązany opracować sprawozdanie i je przekazać administratorowi danych nie później niż w terminie 30 dni od zakończenia sprawdzenia,
- w przypadku sprawozdania ze sprawdzenia doraźnego – ABI ma obowiązek opracować sprawozdanie i przekazać je administratorowi danych niezwłocznie po zakończeniu sprawdzenia,
- w przypadku sprawozdania ze sprawdzenia, o którego dokonanie zwrócił się Generalny Inspektor Ochrony Danych Osobowych – ABI ma obowiązek opracować i przekazać administratorowi danych sprawozdanie uwzględniając termin wskazany przez GIODO.
WARTO PAMIĘTAĆ!
W przypadku przeprowadzenia sprawdzenia na żądanie GIODO oraz opracowania w tym zakresie sprawozdania należy pamiętać, że jego treść do organu kontrolnego przekazuje ostatecznie administrator danych (a nie Administrator Bezpieczeństwa Informacji).
ABI jest zobligowany do przedstawienia sprawozdania wyłącznie swojemu administratorowi danych (w tym zakresie nie posiada w szczególności uprawnienia do przekazywania sprawozdania do organu kontrolnego „z pominięciem” administratora danych).
Zgodnie z treścią art. 19b ust. 2 ustawy o ochronie danych osobowych to na administratorze danych spoczywa obowiązek ostatecznego przekazania treści sprawozdania Generalnemu Inspektorowi Ochrony Danych Osobowych.
Forma w jakiej musi być opracowanie sprawozdanie
Przepisy prawa przewidują dwie możliwe formy, w której może być opracowane sprawozdanie – papierową lub elektroniczną.
Ponieważ każde sprawozdanie wymaga złożenia podpisu pod jego treścią przez Administratora Bezpieczeństwa Informacji, w przypadku wyboru formy elektronicznej Administrator Bezpieczeństwa Informacji będzie musiał opatrzeć je bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu. W związku z tym częściej wybieranym rozwiązaniem jest przekazywanie administratorom danych sprawozdań opracowywanych w formie papierowej (z własnoręcznym podpisem).
Nic nie stoi jednak na przeszkodzie, aby obok wersji papierowej ABI przekazywał administratorowi danych również wersję elektroniczną sprawozdania bez opatrzenia jej podpisem elektronicznym (np. drogą mailową dla ułatwienia zapoznania się z treścią sprawozdania). Jednakże w takim wypadku moc wiążącą (zarówno pod względem terminu przekazania sprawozdania jak i jego treści) zachowywać będzie wyłącznie sprawozdanie opracowane w formie papierowej.
Zobacz usługi ODOeksperta, które pomogą zrealizować ustawowe obowiązki
ABI, Administrator Bezpieczeństwa Informacji, administrator danych, GIODO, Jakub Wezgraj, ochrona danych osobowych, ODOekspert, przejęcie funkcji ABI, sprawdzenie, sprawdzenie planowe, sprawozdanie ABI, sprawozdanie ochrona danych osobowych, sprawozdanie ze sprawdzenia, zadania ABI