Audyt RODO

Audyt RODO – weryfikacja zgodności bezpieczeństwa ochrony danych osobowych to kompleksowa usługa przygotowania firmy do nowych regulacji.

Usługa audytu opiera się na dokładnym zweryfikowaniu dokumentacji oraz praktyk leżących u podstaw polityki bezpieczeństwa organizacji  i obejmuje:

  • opracowanie lub aktualizacja oraz  wdrożenie dokumentacji przetwarzania danych osobowych zgodnie z RODO
  • weryfikację zbiorów danych do rejestrów  w każdym przypadku tego wymagającym
  • szkolenie administratora danych (lub pełnomocnika) lub administratora bezpieczeństwa informacji (ABI)
  • weryfikację i kontrolę poprawności dokumentacji Polityki Bezpieczeństwa Informacji
  • szkolenie wszystkich Pracowników wskazanych przez Zamawiającego
  • weryfikacja klauzul, zgód, podstaw prawnych do przetwarzania danych osobowych
  • Opracowanie rejestrów naruszeń oraz czynności przetwarzania danych
  • przeprowadzenie analizy ryzyka w firmie
  • opracowanie umów powierzenia danych względem podmiotów, którym powierzane są dane osobowe.
  • przygotowanie planu sprawdzeń

Audyt oparty jest na następujących podstawach prawnych:

  1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135 z późn. zm.)
  2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024);
  3. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 roku, poz. 719)
  4. Ustawa z dnia 5 sierpnia 2010 roku o ochronie informacji niejawnych (Dz.U. z 210 roku, Nr 182, poz. 1228 z późn. zm.)
  5. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2016 z roku, poz. 113)

Usługa ABI

Audyt RODO – weryfikacja zgodności bezpieczeństwa ochrony danych osobowych to kompleksowa usługa przygotowania firmy do nowych regulacji.

Usługa audytu opiera się na dokładnym zweryfikowaniu dokumentacji oraz praktyk leżących u podstaw polityki bezpieczeństwa organizacji  i obejmuje:

  • opracowanie lub aktualizacja oraz  wdrożenie dokumentacji przetwarzania danych osobowych zgodnie z RODO
  • weryfikację zbiorów danych do rejestrów  w każdym przypadku tego wymagającym
  • szkolenie administratora danych (lub pełnomocnika) lub administratora bezpieczeństwa informacji (ABI)
  • weryfikację i kontrolę poprawności dokumentacji Polityki Bezpieczeństwa Informacji
  • szkolenie wszystkich Pracowników wskazanych przez Zamawiającego
  • weryfikacja klauzul, zgód, podstaw prawnych do przetwarzania danych osobowych
  • Opracowanie rejestrów naruszeń oraz czynności przetwarzania danych
  • przeprowadzenie analizy ryzyka w firmie
  • opracowanie umów powierzenia danych względem podmiotów, którym powierzane są dane osobowe.
  • przygotowanie planu sprawdzeń

Audyt oparty jest na następujących podstawach prawnych:

  1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135 z późn. zm.)
  2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024);
  3. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 roku, poz. 719)
  4. Ustawa z dnia 5 sierpnia 2010 roku o ochronie informacji niejawnych (Dz.U. z 210 roku, Nr 182, poz. 1228 z późn. zm.)
  5. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2016 z roku, poz. 113)

W związku z nowymi przepisami – unijne Ogólne rozporządzenie o ochronie danych (RODO) powołanie ABI w Państwa firmie niesie za sobą szereg korzyści dlatego proponujemy outsourcing funkcji Administratora Bezpieczeństwa Informacji (Inspektora Ochrony Danych Osobowych).

Usługa ta zapewnia Państwu pełne bezpieczeństwo przy zachowaniu optymalnych kosztów dopasowując wymagany zakres do specyfiki i potrzeb konkretnej organizacji.

Zalety powierzenia funkcji ABI

  • brak konieczności powoływania i szkolenia osób spośród posiadanej kadry
  • aktualność i praktyczna wiedza w odniesieniu do pojawiających się zmian
  • brak obowiązku zgłaszania większości zbiorów do GIODO
  • przygotowanie do ewentualnych kontroli z odpowiednim wyprzedzeniem
  • określenie i przeniesienie poziomów odpowiedzialności

Zakres usług

  • przeprowadzenie audytu wstępnego
  • określenie obszarów wymagających wprowadzenia zmian
  • przygotowanie wymaganej dokumentacji
  • wdrożenie obowiązujących procedur
  • stały i regularny nadzór nad procesami
  • szkolenie pracowników

Szczegółowy wykaz zadań ABI:

ZADANIA ABI
W ŚWIETLE NOWELIZACJI PRAWA O OCHRONIE DANYCH OSOBOWYCH

ADMINISTRATOR BEZPIECZEŃSTWA INFROMACJI

Do zadań administratora bezpieczeństwa informacji należy:

  1. zapewnianie przestrzegania przepisów o ochronie danych osobowych poprzez:
  2. sprawdzanie zgodności przetwarzania danych osobowych z przepisami
    o ochronie danych osobowych (czynności kontrolne)
  3. opracowywanie planów sprawdzeń określających przedmiot, zakres, termin poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania
  4. opracowywanie sprawozdania ze sprawdzenia dla administratora danych
  5. nadzorowanie opracowania i aktualizowania dokumentacji opisującej środki przetwarzania danych oraz przestrzegania zasad w niej określonych,
  6. zapewnianie zapoznania się z przepisami o ochronie danych osobowych osób upoważnionych do przetwarzania danych osobowych,
  7. prowadzenie rejestru zbiorów danych przetwarzanych przez ADO, z wyjątkiem zbiorów zwolnionych z obowiązku rejestracji na podstawie art. 43 ust. 1 uodo

 

Obowiązek dokonywania sprawdzeń, o których mowa w pkt 1a) dotyczy dwóch rodzajów sprawdzeń prowadzonych:

  1. na zlecenie GIODO, który wskazuje zakres i termin sprawdzenia, a ABI dokonuje sprawdzenia zgodnie z wytycznymi GIODO, po czym za pośrednictwem ADO przekazuje do tego organu sprawozdanie z przeprowadzonych czynności,
  2. z inicjatywy samego ABI – może to być sprawdzenie planowane, ale także
    i doraźne (np. w wyniku zaistnienia incydentów naruszenia bezpieczeństwa ochrony danych osobowych); sprawozdania z tych sprawdzeń ABI przekazuje tylko do swojego ADO

Sprawdzanie zgodności przetwarzania danych osobowych z przepisami powinno być wykonywane przez ABI osobiście. Możliwe jest natomiast korzystanie z pomocy osób posiadających wiedzę specjalistyczną, np. informatyków w niezbędnym zakresie.

Obowiązek sporządzania planu sprawdzeń, o którym mowa w pkt 1b) powinien obejmować co najmniej jedno sprawdzenie i zostać przygotowany przez ABI na okres nie krótszy niż kwartał i nie dłuższy niż rok, jak również powinien być przedstawiony administratorowi danych nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem. Plan sprawdzeń dotyczy wyłącznie sprawdzeń dokonywanych dla administratora danych

Obowiązek opracowywania sprawozdania ze sprawdzenia, o którym mowa w pkt 1c) oznacza sprawozdanie zawierające::

  1. oznaczenie administratora danych, jego adres lub miejsce zamieszkania;
  2. imię i nazwisko ABI;
  3. wykaz czynności podjętych przez ABI w toku sprawdzania oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
  4. datę rozpoczęcia i zakończenia sprawdzenia;
  5. określenie przedmiotu i zakresu sprawdzenia;
  6. opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami;
  7. stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
  8. wyszczególnienie załączników stanowiących składową część sprawozdania;
  9. podpis ABI, dodatkowo parafy na każdej stronie sprawozdania w formie papierowej;
  10. datę i miejsce podpisania sprawozdania przez ABI.

Obowiązek nadzorowania opracowania i aktualizowania dokumentacji, o którym mowa
w pkt 1d) dotyczy dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną oznacza:

  1. w zakresie nadzorowania opracowania dokumentacji oznacza samodzielne stworzenie dokumentacji albo też sprawowanie kontroli nad podmiotem zewnętrznym, który tę dokumentację przygotowuje.
  2. w zakresie aktualizacji dokumentacji oznacza okresowe przeglądy dokumentacji. Chodzi tu o zwracanie uwagi na zmiany otoczenia prawnego w zakresie ochrony danych osobowych i związaną z tym konieczność dostosowania dokumentacji do nowych zasad prawnych.

Sprawując nadzór, ABI dokonuje weryfikacji:

  1. opracowania i kompletności dokumentacji przetwarzania danych;
  2. zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa;
  3. stanu faktycznego w zakresie przetwarzania danych osobowych;
  4. zgodności ze stanem faktycznym przewidzianych w dokumentacji środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych;
  5. przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.

Weryfikacja może być dokonywana w sprawdzeniach, albo na podstawie zgłoszenia osoby wykonującej obowiązki określone w dokumentacji przetwarzania danych, bądź na podstawie zgłoszenia osoby trzeciej

Obowiązek zapewniania zapoznania się osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, o którym mowa w pkt 1e), oznacza, że ABI jest ustawowo zobligowany do organizacji szkoleń z zakresu ochrony danych osobowych dla pracowników organizacji a także wszystkich innych osób, którym wystawiono upoważnienie do przetwarzania danych osobowych

Obowiązek prowadzenia rejestru zbiorów danych przetwarzanych przez ADO, o którym mowa w pkt 2, oznacza, że zbiory danych, które zarejestruje u siebie ABI będą zwolnione
z obowiązku rejestracji w ewidencji GIODO. Rejestr ten zawiera nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7 uodo (m.in.: oznaczenie administratora danych i adres jego siedziby, podstawę prawną upoważniającą do prowadzenia zbioru, cel przetwarzania danych, opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych).

W związku z nowymi regulacjami występują teraz dwa rodzaje rejestrów zbiorów danych:

  1. rejestr ogólnopolski, prowadzony tak jak dotychczas przez GIODO, zawierający informację o zbiorach różnych administratorów danych,
  2. rejestry prowadzone przez poszczególnych ABI w swoich jednostkach.

Rejestr powinien być prowadzony w formie papierowej lub elektronicznej i zawierać:

  1. nazwę zbioru danych;
  2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
  3. oznaczenie przedstawiciela administratora danych, o którym mowa w art. 31a uodo.
    i adres jego siedziby lub miejsca zamieszkania, w przypadku wyznaczenia takiego podmiotu;
  4. podstawę prawną upoważniająca do prowadzenia zbioru danych;
  5. cel przetwarzania danych w zbiorze;
  6. opis kategorii osób, których dane są przetwarzane w zbiorze;
  7. zakres danych przetwarzanych w zbiorze;
  8. sposób zbierania danych do zbioru, w szczególności informacja, czy dane do zbioru zbierane są od osób, których dotyczą, czy z innych źródeł;
  9. sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnionym na podstawie przepisów prawa;
  10. oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
  11. informacje dotyczące ewentualnego przekazywania danych do państw trzecich.

W rejestrze należy podawać datę każdego wpisu, jak również datę każdej aktualizacji informacji dotyczącej zbioru danych. W przypadku wykreślenia zbioru danych z rejestru, w rejestrze należy pozostawić nazwę zbioru danych, datę wpisania zbioru danych oraz datę ostatniej aktualizacji, wraz z adnotacją, że jest to data wykreślenia zbioru z rejestru.

W przypadku prowadzenia rejestru w postaci papierowej administrator ABI udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych.

W przypadku prowadzenia rejestru w postaci elektronicznej ABI udostępnia rejestr do przeglądania:

  1. Na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru lub
  2. Na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora, lub
  3. Przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Do zadań inspektora ochrony danych (obecnego ABI) będzie należało:

  1. informowanie ADO oraz pracowników, którzy przetwarzają dane osobowe,
    o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów o ochronie danych obowiązujących w Unii lub w państwach członkowskich i doradzanie im w tej sprawie,
  2. monitorowanie przestrzegania przepisów o ochronie danych oraz polityk ADO, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
  3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
  4. współpraca z organem nadzorczym (chodzi o Generalnego Inspektora Ochrony Danych Osobowych),
  5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych.

ZASTĘPCA/CY ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Zastępcy ABI mają zastępować go podczas jego nieobecności w realizacji następujących obowiązków:

  1. przeprowadzania sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywania w tym zakresie sprawozdania,
  2. nadzorowania opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 uodo, oraz przestrzeganiu zasad w niej określonych,
  3. zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  4. prowadzenia rejestru zbiorów danych.

Podstawa prawna

  1. 36a–36c oraz art. 46b–46f ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.)
  2. rozporządzenie Ministra Administracji i Cyfryzacji z 10.12.2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934)
  3. 35 ustawy z 7.11.2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662)
  4. 4 pkt 2 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)
  5. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO)