Opracowanie sprawozdania z przeprowadzonego przez ABI sprawdzenia

Autor: Jakub WezgrajData dodania: 26 Marzec 2017Kategoria: Administrator Bezpieczeństwa Informacji, Wymogi ustawowe

Przeprowadzenie każdego rodzaju sprawdzenia z zakresu ochrony danych osobowych (planowego, doraźnego, zrealizowanego na żądanie GIODO) musi być zakończone opracowaniem przez Administratora Bezpieczeństwa Informacji sprawozdania.

Co powinno zawierać każde sprawozdanie?

Na jakie elementy należy zwrócić szczególną uwagę?

Z jakich elementów musi składać się każde sprawozdanie?

Artykuł 36c ustawy o ochronie danych osobowych wskazuje, jakie elementy musi zawierać każde sprawozdanie opracowane przez Administratora Bezpieczeństwa Informacji.

Do tych elementów zaliczamy:

oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania,
imię i nazwisko Administratora Bezpieczeństwa Informacji,
wykaz czynności podjętych przez Administratora Bezpieczeństwa Informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach,
datę rozpoczęcia i zakończenia sprawdzenia,
określenie przedmiotu i zakresu sprawdzenia,
opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,
wyszczególnienie załączników stanowiących składową część sprawozdania,
podpis Administratora Bezpieczeństwa Informacji, a w przypadku sprawozdania w postaci papierowej - dodatkowo parafy Administratora Bezpieczeństwa Informacji na każdej stronie sprawozdania,
datę i miejsce podpisania sprawozdania przez Administratora Bezpieczeństwa Informacji.

Jeśli chcesz poznać szczegóły w jaki sposób należy realizować poszczególne zadania Administratora Bezpieczeństwa Informacji, a także w jaki sposób skutecznie stworzyć tą funkcję w organizacji, zapraszam do lektury mojego bezpłatnego eBooka "Zawód - Administrator Bezpieczeństwa Informacji".

eBook można pobrać na stronie głównej www.odoekspert.pl.

Newralgiczne elementy każdego sprawozdania

O ile takie elementy sprawozdania jak: oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, wskazanie Administratora Bezpieczeństwa Informacji, daty rozpoczęcia i zakończenia sprawdzenia, czy też nie powinny budzić większych wątpliwości, o tyle już określenie przedmiotu i zakresu sprawdzenia oraz przedstawienie wykazu czynności podjętych przez ABI może nastręczać nieco trudności.

W przypadku opracowywania sprawozdania z przeprowadzonego sprawdzenia planowego należy pamiętać, że sam opis przedmiotu i zakresu sprawdzenia, a także sposobu i zakresu dokumentowania czynności podjętych w trakcie przeprowadzanego sprawdzenia powinien wynikać już z opracowanego przez ABI planu sprawdzenia (o sprawdzeniu planowym i planie sprawdzeń pisałem już TUTAJ). W takim wypadku wystarczy więc skopiować te informacje z planu sprawdzenia do treści sprawozdania i uzupełnić je o dane osób biorących udział w czynnościach przeprowadzonych przez ABI.

Z kolei w przypadku sprawdzenia doraźnego oraz realizowanego na żądanie GIODO Administrator Bezpieczeństwa Informacji nie planuje „z wyprzedzeniem” ani przedmiotu i zakresu sprawdzenia, ani też czynności, które zamierza przeprowadzić, ale dobiera zakres działań każdorazowo adekwatny do potrzeb związanych z:

treścią uzyskanej przez ABI wiadomości o naruszeniu ochrony danych osobowych lub podejrzeniu takiego naruszenia (w przypadku sprawdzeń doraźnych - przypominam, że tego typu sprawdzenia ABI ma obowiązek przeprowadzać w przypadku uzyskania informacji o naruszeniu ochrony danych lub podejrzeniu takiego naruszenia) lub

wskazanym przez GIODO zakresem i terminem przeprowadzenia sprawdzenia (w przypadku sprawdzeń realizowanych na żądanie Generalnego Inspektora Ochrony Danych Osobowych - w takim wypadku GIODO wskaże żądany zakres sprawdzenia oraz termin w jakim ma być przeprowadzone).

Opis stanu faktycznego

Kolejny ważny element sprawozdania (opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych) wymaga od Administratora Bezpieczeństwa Informacji umiejętności zestawienia pozyskanych informacji w postaci spójnego opisu tego, co ustalił w trakcie sprawdzenia.

Chodzi więc o przedstawienie opisu rzeczywistego stanu faktycznego („tak jak jest w rzeczywistości”) jeszcze bez dokonywania oceny, czy stan ten jest zgodny z wymaganiami prawa („tak jak powinno być”). Opis ten przypomina opisy ustaleń dokonywanych przez inspektorów GIODO w trakcie kontroli przeprowadzanych u administratorów danych, w oparciu o które w dalszej kolejności ustala się czy dany podmiot prawidłowo realizuje poszczególne wymogi prawne z zakresu ochrony danych osobowych.

Należy pamiętać, że Administrator Bezpieczeństwa Informacji przygotowując opis stanu faktycznego podejmuje samodzielną decyzję jakie ewentualnie informacje będą miały istotne znaczenie dla oceny zgodności przetwarzania danych osobowych z obowiązującymi przepisami prawa. Nikt (w tym również administrator danych, który powołał ABI) nie posiada uprawnień do wywierania nacisku na Administratora Bezpieczeństwa Informacji w zakresie ustaleń faktycznych i doboru informacji potrzebnych do przeprowadzenia oceny zgodności.

Stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych i plan naprawczy

Ostatni newralgiczny element sprawozdania (stwierdzone przypadki naruszenia przepisów
o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem) ma stanowić efekt merytorycznej oceny dokonanej przez ABI, na ile ustalony stan faktyczny jest zgodny z obowiązującymi przepisami prawa w zakresie ochrony danych osobowych.

Rola ABI nie kończy się jednak na wykazaniu ewentualnych nieprawidłowości. Omawiany element sprawozdania wyraźnie podkreśla również rolę doradczą jaką powinien realizować Administrator Bezpieczeństwa Informacji. W przypadku ustalenia nieprawidłowości w obszarze przetwarzania danych osobowych jest on zobowiązany przedstawić propozycje wyeliminowania tych nieprawidłowości w postaci planu naprawczego. Mogą również w praktyce zaistnieć przypadki, w których ABI podejmie określone działania naprawcze jeszcze w trakcie przeprowadzanego sprawdzenia (w takim wypadku w sprawozdaniu powinien wskazać podjęte już działania przywracające stan zgodny z prawem).

Za ostateczne wdrożenie zaleceń naprawczych odpowiada administrator danych

Należy pamiętać, że w celu ostatecznego wdrożenia opracowanego przez ABI planu naprawczego zazwyczaj niezbędna okaże się jego współpraca z administratorem danych. W większości przypadków ABI nie będzie bowiem posiadał formalnych uprawnień do podejmowania decyzji w zakresie realnej implementacji opracowanych rozwiązań w organizacji (takie uprawnienia przysługiwać będą określonym organom - np. zarządowi przedsiębiorstwa prowadzonego w formie spółki prawa handlowego lub osobom uprawnionym do reprezentacji administratora danych - np. dyrektorowi konkretnej placówki, np. szpitala, szkoły, urzędu etc.).

Ponadto zgodnie z wymaganiami ustawy o ochronie danych osobowych to na administratorze danych spoczywa obowiązek realizacji poszczególnych wymagań prawnych z zakresu ochrony danych osobowych, w tym kontekście Administrator Bezpieczeństwa Informacji „zapewnia przestrzeganie przepisów” przedstawiając administratorowi danych okresowe oceny stanu zgodności organizacji z wymaganiami w zakresie ochrony danych osobowych oraz - w przypadku wykrycia nieprawidłowości – propozycje działań naprawczych.

Skuteczna implementacja i stosowanie większości rozwiązań opracowanych przez ABI będzie też wymagać zaangażowania ze strony kadry kierowniczej, która powinna zapewnić ich realizację w podległych sobie komórkach organizacyjnych (i przez podległych jej pracowników).

Termin opracowania sprawozdania przez ABI

Sprawozdania opracowane przez Administratora Bezpieczeństwa Informacji niezależnie od trybu sprawdzenia, którego dotyczą, należy przekazać bezpośrednio administratorowi danych.

W zależności od charakteru sprawdzenia,którego dotyczy dane sprawozdanie, przewidziano z kolei inne terminy w jakich ABI jest zobowiązany je opracować i przekazać do administratora danych:

w przypadku sprawozdania ze sprawdzenia planowego – Administrator Bezpieczeństwa Informacji jest zobowiązany opracować sprawozdanie i je przekazać administratorowi danych nie później niż w terminie 30 dni od zakończenia sprawdzenia,

w przypadku sprawozdania ze sprawdzenia doraźnego – ABI ma obowiązek opracować sprawozdanie i przekazać je administratorowi danych niezwłocznie po zakończeniu sprawdzenia,

w przypadku sprawozdania ze sprawdzenia, o którego dokonanie zwrócił się Generalny Inspektor Ochrony Danych Osobowych – ABI ma obowiązek opracować i przekazać administratorowi danych sprawozdanie uwzględniając termin wskazany przez GIODO.

WARTO PAMIĘTAĆ!

W przypadku przeprowadzenia sprawdzenia na żądanie GIODO oraz opracowania w tym zakresie sprawozdania należy pamiętać, że jego treść do organu kontrolnego przekazuje ostatecznie administrator danych (a nie Administrator Bezpieczeństwa Informacji).

ABI jest zobligowany do przedstawienia sprawozdania wyłącznie swojemu administratorowi danych (w tym zakresie nie posiada w szczególności uprawnienia do przekazywania sprawozdania do organu kontrolnego „z pominięciem” administratora danych).

Zgodnie z treścią art. 19b ust. 2 ustawy o ochronie danych osobowych to na administratorze danych spoczywa obowiązek ostatecznego przekazania treści sprawozdania Generalnemu Inspektorowi Ochrony Danych Osobowych.

Forma w jakiej musi być opracowanie sprawozdanie

Przepisy prawa przewidują dwie możliwe formy, w której może być opracowane sprawozdanie – papierową lub elektroniczną.

Ponieważ każde sprawozdanie wymaga złożenia podpisu pod jego treścią przez Administratora Bezpieczeństwa Informacji, w przypadku wyboru formy elektronicznej Administrator Bezpieczeństwa Informacji będzie musiał opatrzeć je bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu. W związku z tym częściej wybieranym rozwiązaniem jest przekazywanie administratorom danych sprawozdań opracowywanych w formie papierowej (z własnoręcznym podpisem).

Nic nie stoi jednak na przeszkodzie, aby obok wersji papierowej ABI przekazywał administratorowi danych również wersję elektroniczną sprawozdania bez opatrzenia jej podpisem elektronicznym (np. drogą mailową dla ułatwienia zapoznania się z treścią sprawozdania). Jednakże w takim wypadku moc wiążącą (zarówno pod względem terminu przekazania sprawozdania jak i jego treści) zachowywać będzie wyłącznie sprawozdanie opracowane w formie papierowej.

Polub ten artykuł

Zobacz usługi ODOeksperta, które pomogą zrealizować ustawowe obowiązki

Zadaj pytanie lub Zadzwoń: 600 677 026

ABI, Administrator Bezpieczeństwa Informacji, administrator danych, GIODO, Jakub Wezgraj, ochrona danych osobowych, ODOekspert, przejęcie funkcji ABI, sprawdzenie, sprawdzenie planowe, sprawozdanie ABI, sprawozdanie ochrona danych osobowych, sprawozdanie ze sprawdzenia, zadania ABI

Wróć

Dokumentacja pracownicza (HR) - kluczowe podstawy prawne przetwarzania danych osobowych

Autor: Jakub Wezgraj, Data dodania: 30 Kwiecień 2021, Kategoria: Wymogi ustawowe

Proces nawiązywania stosunku pracy oraz jego zakończenia związany jest ze spełnieniem licznych obowiązków po stronie pracodawcy. W celu prawidłowego spełnienia tych obowiązków nie należy zapominać także o przepisach związanych z ochroną danych osobowych. W niniejszym artykule wskazujemy wybrane podstawy prawne przetwarzania danych osobowych w obszarze HR.

Przejdź Dokumentacja pracownicza (HR) - kluczowe podstawy prawne przetwarzania danych osobowych

Zobacz nagranie ze szkolenia Dokumentacja pracownicza zgodna z RODO i Kodeksem Pracy

Autor: Jakub Wezgraj, Data dodania: 16 Lipiec 2020, Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (RODO), Szkolenia i webinary, Wymogi ustawowe

Zapraszamy do obejrzenia filmu zawierającego obszerne fragmenty (ponad godzina konkretów!) z naszego szkolenia online, które zrealizowaliśmy 19 czerwca, "Dokumentacja HR zgodna z RODO i Kodeksem Pracy"

A już niebawem kolejne szkolenia, o których będziemy informować!

Przejdź Zobacz nagranie ze szkolenia Dokumentacja pracownicza zgodna z RODO i Kodeksem Pracy

Prowadzenie Zakładowego Funduszu Świadczeń Socjalnych a ochrona danych osobowych

Data dodania: 12 Czerwiec 2020, Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (RODO), Wymogi ustawowe

Prowadzenie dokumentacji związanej z Zakładowym Funduszem Świadczeń Socjalnych to spore wyzwanie również w związku z wymogami prawnymi dotyczącymi ochrony danych osobowych. Sprawdź czy ZFŚS w twojej organizacji jest prawidłowo prowadzony.

Przejdź Prowadzenie Zakładowego Funduszu Świadczeń Socjalnych a ochrona danych osobowych

Sklep internetowy w świetle wymagań prawnych – o czym należy pamiętać zakładając e-shop?

Autor: Tomasz Sieńkowski, Data dodania: 4 Maj 2020, Kategoria: Aktualności, Rozporządzenie ogólne o ochronie danych osobowych (RODO), Wymogi ustawowe

Jeśli prowadzisz sklep internetowy lub dopiero planujesz przenieść sprzedaż do Internetu, musisz pamiętać, że wiąże się to z koniecznością spełnienia konkretnych wymagań, które wynikają z poszczególnych aktów prawych. Ich brak może narazić Cię na wielowymiarowe konsekwencje związane z administracyjnymi karami nałożonymi przez takie organy jak: Prezes Urzędu Ochrony Konkurencji i Konsumentów (UOKiK), Prezes Urzędu Ochrony Danych Osobowych (UODO) czy Prezes Urzędu Komunikacji Elektronicznej (UKE). Paleta możliwych sankcji jest szeroka.

Przejdź Sklep internetowy w świetle wymagań prawnych – o czym należy pamiętać zakładając e-shop?

Baza wiedzy