Przeprowadzanie sprawdzeń planowych przez Administratora Bezpieczeństwa Informacji
Autor: Jakub WezgrajData dodania: Kategoria: Administrator Bezpieczeństwa Informacji, Wymogi ustawowe
Do jednego z podstawowych zadań Administratora Bezpieczeństwa Informacji wskazanego wprost w ustawie o ochronie danych osobowych, należy przeprowadzanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywanie sprawozdań z przeprowadzonych sprawdzeń.
Jak często oraz w jaki sposób ABI powinien przeprowadzać sprawdzenia planowe?
Rodzaje sprawdzeń, które musi przeprowadzać ABI
Sprawdzenia polegają na przeprowadzaniu weryfikacji, czy konkretny administrator danych spełnia poszczególne wymagania ustawy o ochronie danych osobowych. Chodzi więc w istocie o funkcję zbliżoną do audytowej.
Szczegółowy tryb i zakres przeprowadzania sprawdzeń określono w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (pełna treść dostępna jest TUTAJ).
Rozporządzenie to wskazuje 3 rodzaje sprawdzeń jakie jest zobligowany przeprowadzać ABI:
- sprawdzenie planowe – realizowane według planu sprawdzeń opracowanego przez ABI zgodnie z wytycznymi wskazanymi w powyżej wskazanym rozporządzeniu,
- sprawdzenie doraźne – przeprowadzane przez ABI niezwłocznie w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji powzięcia przez ABI wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia (chodzi więc o przeprowadzanie sprawdzeń ad hoc w ramach reagowania na incydenty i zdarzenia w obszarze bezpieczeństwa danych osobowych),
- sprawdzenie przeprowadzane na żądanie GIODO – w przypadku wystąpienia przez organ kontrolny z żądaniem przeprowadzenia tego typu wewnętrznej weryfikacji.
W niniejszym artykule przedstawiam podstawy związane z przeprowadzaniem sprawdzenia planowego.
Jeśli chcesz poznać szczegóły w jaki sposób należy realizować poszczególne zadania Administratora Bezpieczeństwa Informacji, a także w jaki sposób skutecznie stworzyć tą funkcję w organizacji, zapraszam do lektury mojego bezpłatnego eBooka "Zawód - Administrator Bezpieczeństwa Informacji".
eBook można pobrać na stronie głównej www.odoekspert.pl.
Plan sprawdzenia
Sprawdzenia, których przeprowadzenie ABI musi zaplanować „odgórnie”, określane jako planowe, są realizowane w oparciu o plan sprawdzeń.
Zgodnie z wymaganiami § 3 ust. 5 przytaczanego wyżej Rozporządzenia z dnia 11 maja 2015 r. „plan sprawdzeń jest przygotowywany przez Administratora Bezpieczeństwa Informacji na okres nie krótszy niż kwartał i nie dłuższy niż rok”.
Jednocześnie każdy plan sprawdzeń musi obejmować co najmniej jedno sprawdzenie. Oznacza to, że każdy Administrator Bezpieczeństwa Informacji nawet stosując plany sprawdzeń obejmujące najdłuższe możliwe okresy (roczne), będzie musiał przeprowadzać minimum jedno sprawdzenie planowe rocznie. Nie ma natomiast przeciwwskazań, aby Administrator Bezpieczeństwa Informacji zaplanował więcej niż jedno sprawdzenie w konkretnym planie sprawdzeń.
Co musi zawierać plan sprawdzeń?
Bardzo istotne jest to, co musi zawierać każdy plan sprawdzeń. Zgodnie z wymaganiami § 3 ust. 3 przytaczanego Rozporządzenia, każdy plan opracowany przez ABI musi określać:
- przedmiot,
- zakres,
- termin przeprowadzenia poszczególnych sprawdzeń oraz
- sposób i zakres dokumentowania sprawdzeń.
Aby odpowiedzieć na pytanie, w jaki sposób należy określać przedmiot i zakres sprawdzenia, należy sięgnąć do kolejnej regulacji wskazanej w Rozporządzeniu.
Zgodnie z treścią § 3 ust. 4 „Administrator Bezpieczeństwa Informacji w planie sprawdzeń uwzględnia, w szczególności, zbiory danych osobowych i systemy informatyczne służące do przetwarzania danych osobowych oraz konieczność weryfikacji zgodności przetwarzania danych osobowych:
1) z zasadami, o których mowa w art. 23-27 i art. 31-35 Ustawy;
2) z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36, art. 37-39 Ustawy oraz przepisach wydanych na podstawie art. 39a Ustawy;
3) z zasadami przekazywania danych osobowych, o których mowa w art. 47-48 Ustawy;
4) z obowiązkiem zgłoszenia zbioru danych do rejestracji i jego aktualizacji, jeżeli zbiór zawiera dane, o których mowa w art. 27 ust. 1 Ustawy.”
Tak więc „przedmiotem” każdego sprawdzenia w szczególności mogą być zbiory danych osobowych oraz systemy informatyczne służące do przetwarzania danych osobowych, natomiast na „zakres” każdego sprawdzenia składają się określone wymogi ustawowe (zasady, obowiązki), które stanowią „punkt odniesienia” dla Administratora Bezpieczeństwa Informacji (to z tymi normami ABI musi porównać zbadany stan faktyczny w organizacji i w oparciu o to porównanie wskazać ewentualne nieprawidłowości oraz działania naprawcze dla Administratora danych).
A więc jako „zakres” sprawdzenia należy brać pod uwagę wskazane powyżej wymagania ustawy o ochronie danych osobowych. Kluczowym bowiem elementem każdego sprawdzenia powinno być ustalenie, czy Administrator danych u którego ABI przeprowadza sprawdzenie spełnia poszczególne wymogi ustawowe.
Zgodnie z treścią § 3 ust. 6 Rozporządzenia zbiory danych oraz systemy służące do ich przetwarzania lub zabezpieczania powinny być objęte sprawdzeniem co najmniej raz na pięć lat. Oznacza to, że wszystkie zbiory danych osobowych oraz systemy informatyczne (łącznie) powinny być objęte
co najmniej jednym sprawdzeniem raz na 5 lat (a więc ich sprawdzenie powinno być ujęte
w planach sprawdzeń łącznie przypadających na okres pięcioletni).
Dokumentowanie czynności realizowanych w ramach sprawdzenia planowego
Kluczowym elementem każdego sprawdzenia przeprowadzanego przez Administratora Bezpieczeństwa Informacji jest ustalenie stanu faktycznego w zakresie przetwarzania danych osobowych, ponieważ właśnie ustalony stan faktyczny będzie podlegać porównaniu z poszczególnymi wymaganiami prawnymi i ocenie czy są one spełnione. Aby było możliwe ustalenie aktualnego stanu faktycznego, Administrator Bezpieczeństwa Informacji powinien przeprowadzić określone czynności weryfikacyjne. Przeprowadzenie tych czynności jak również ich wynik należy udokumentować.
Pojawia się jednak pytanie, do przeprowadzenia jakich czynności jest uprawniony ABI, aby ustalić przedmiotowy stan? Jedyna wskazówka w tym zakresie została zawarta w przytaczanym Rozporządzeniu z dnia 11 maja 2015 r. Z treści § 4 Rozporządzenia wynika właśnie obowiązek Administratora Bezpieczeństwa Informacji dokumentowania czynności przeprowadzanych w toku sprawdzenia.
Przepis ten, choć w pierwszej kolejności odnosi się do samego sposobu dokumentowania czynności realizowanych przez ABI, to „przy okazji” wymienia przykłady możliwych działań „audytorskich”.
I tak zgodnie z treścią § 4 ust. 2 Rozporządzenia „dokumentowanie czynności w toku sprawdzenia może polegać, w szczególności, na utrwaleniu danych z systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych na informatycznym nośniku danych lub dokonaniu wydruku tych danych oraz na:
1) sporządzeniu notatki z czynności, w szczególności z zebranych wyjaśnień, przeprowadzonych oględzin oraz z czynności związanych z dostępem do urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych osobowych,
2) odebraniu wyjaśnień osoby, której czynności objęto sprawdzeniem,
3) sporządzeniu kopii otrzymanego dokumentu,
4) sporządzeniu kopii obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych,
5) sporządzeniu kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu”.
Z komentowanego przepisu wynika więc jaki zakres czynności "audytorskich" Administrator Bezpieczeństwa Informacji może podejmować w ramach realizowanego sprawdzenia:
- zbieranie wyjaśnień od innych osób (np. pracowników, współpracowników wykonujących określone prace na rzecz Administratora danych, które związane są z zakresem lub przedmiotem przeprowadzanego sprawdzenia planowego),
- przeprowadzanie oględzin (np. miejsc, w których są przetwarzane dane osobowe, zabezpieczeń systemów informatycznych etc.),
- uzyskiwanie dostępu do urządzeń, nośników i systemów informatycznych służących do przetwarzania danych osobowych,
- zapoznawanie się z treścią dokumentów związanych z przeprowadzanym sprawdzeniem, np. stosowanych wzorów umów, dokumentacji składającej się na teczkę osobową pracownika, innych wzorców formularzy służących do zbierania danych osobowych, ale również np. umów zawartych z podmiotami zewnętrznymi, na podstawie których dochodzi do powierzenia do przetwarzania danych osobowych w rozumieniu art. 31 ustawy o ochronie danych osobowych, kopii dokumentacji technicznej systemu informatycznego, z której wynika opis zakresu przetwarzanych danych osobowych w systemie lub stosowanych zabezpieczeń wobec przetwarzanych danych w systemie, wewnętrznych procedur i polityk odnoszących się zasad ochrony danych osobowych etc.,
- uzyskiwanie wglądu do zawartości poszczególnych zakładek systemów informatycznych służących do przetwarzania oraz zabezpieczenia danych osobowych (poprzez wykonanie kopii obrazu wyświetlonego na monitorze – tzw. print screeny),
- uzyskiwanie wglądu do zawartości zapisów rejestrów systemów informatycznych oraz do zapisów konfiguracji technicznych środków zabezpieczeń stosowanych w tych systemach (poprzez sporządzanie kopii tych zapisów) – np. zapisów odnoszących się do odnotowywania przez systemy informatyczne operacji dokonywanych na danych osobowych przetwarzanych w systemie, czy też zapisów uprawnień w systemach informatycznych nadawanych poszczególnym użytkownikom.
Organizacja powinna współpracować z ABI podczas sprawdzenia planowego, ale najpierw należy uprzedzić o planowanym sprawdzeniu
Bardzo ważną regulacją, która ma umożliwić Administratorowi Bezpieczeństwa Informacji skuteczne przeprowadzenie sprawdzenia, jest obowiązek by wszystkie osoby odpowiedzialne za przetwarzanie danych osobowych, których dotyczy dane sprawdzenie, brały udział w tym sprawdzeniu lub umożliwiły Administratorowi Bezpieczeństwa Informacji przeprowadzenie czynności w toku sprawdzenia (§ 5 ust. 1 przytaczanego Rozporządzenia). Warunkiem jest jednak to, by w przypadku zamiaru przeprowadzenia sprawdzenia planowego Administrator Bezpieczeństwa Informacji zawiadomił kierownika jednostki organizacyjnej objętej sprawdzeniem o zakresie planowanych czynności w terminie co najmniej 7 dni przed dniem przeprowadzenia tych czynności.
Wyniki sprawdzenia planowego powinny zostać przedstawione w Sprawozdaniu
To co zasadniczo odróżnia sprawdzenia przeprowadzane przez Administratora Bezpieczeństwa Informacji od typowych działań audytowych to wynik końcowy tych prac. W przypadku sprawdzeń ABI ma obowiązek opracowania Sprawozdania z każdego zrealizowanego sprawdzenia.
Sprawozdanie musi z kolei zawierać elementy wprost wskazane w art. 36c ustawy o ochronie danych osobowych. Należą do nich nie tylko takie elementy jak opis stanu faktycznego stwierdzonego w toku sprawdzenia, ale również opis stwierdzonych przypadków naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem.
Szczegóły dotyczące informacji jakie powinno zawierać każde Sprawozdanie przedstawiłem w odrębnym artykule (dostępnym TUTAJ).
Zobacz usługi ODOeksperta, które pomogą zrealizować ustawowe obowiązki
ABI, Administrator Bezpieczeństwa Informacji, administrator danych, akty wykonawcze, GIODO, Jakub Wezgraj, ochrona danych osobowych, ochrona danych osobowych, ODOekspert, przepisy prawa, sprawdzenie, sprawdzenie planowe, ustawa, zadania ABI, Zawód - Administrator Bezpieczeństwa Informacji