Jak przeprowadzić sprawdzenie z zakresu ochrony danych osobowych
Niedawno otrzymałam wiadomość od Pani Barbary, z prośbą o opisanie schematu przeprowadzania audytu wewnętrznego z ochrony danych osobowych w bibliotece. Jak zaplanować, przeprowadzić, a następnie napisać protokół z kontroli.
Mam nadzieję, że moje wskazówki będą pomocne.Kontrola musi obejmować audyt zabezpieczeń technicznych i organizacyjnych. Najlepiej, gdyby była przeprowadzana przez dwie osoby, jedną odpowiedzialną za sprawy związane z bezpieczeństwem teleinformatycznym oraz drugą, która sprawdzi kwestie organizacyjne, takie jak dokumentacja, upoważnienia, czy zachowania pracowników w odniesieniu do danych osobowych, czyli może ją przeprowadzić duet ABI i ASI. Jeżeli ABI posiada odpowiednią wiedzę techniczną, może oczywiście samodzielnie przeprowadzić całe sprawdzenie.
Zazwyczaj kontrolę rozpoczyna się od przeprowadzenia sprawdzenia dokumentacji.
- Czy zostały opracowana polityka bezpieczeństwa oraz instrukcja zarządzania systemami informatycznymi.
- Czy oba dokumenty są zgodne z obowiązującymi przepisami.
- Czy osoby dopuszczone do przetwarzania danych osobowych otrzymały pisemne upoważnienia (na tym etapie sprawdza się tylko, czy administrator wystawia takie upoważnienia i czy ich wzór jest zgodny z przyjętym i obowiązującym w bibliotece).
- Czy wszystkie osoby, które mają dostęp do danych osobowych zostały zapoznane z przepisami oraz wewnętrznymi dokumentami z zakresu ochrony danych osobowych (administrator powinien mieć ich oświadczenia w tym zakresie).
- Czy prowadzona jest ewidencja upoważnień.
- Czy ewidencja jest zgodna z posiadanymi upoważnieniami.
Kolejnym etapem jest sprawdzanie stanu faktycznego na podstawie obserwacji oraz wywiadów z pracownikami.
- Sprawdzamy, czy stosowane są w praktyce zasady określone przez bibliotekę w polityce bezpieczeństwa.
- Sprawdzamy ustawienie sprzętu komputerowego w pomieszczeniach – czy uniemożliwia dostęp do ekranu monitorów osobom postronnym.
- Sprawdzamy, czy dokumenty zawierające dane osobowe są odpowiednio zabezpieczone (czy są przechowywane w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym).
- Sprawdzamy, czy pracownicy przestrzegają procedur związanych z zabezpieczeniem danych w trakcie pracy – na podstawie obserwacji oraz rozmów z nimi (uwaga należy zadawać pytania, ale nie komentować, nie krytykować, nie zwracać uwagi na złe zachowania).
- Sprawdzamy, czy niepotrzebne dokumenty są we właściwy sposób niszczone.
- Ustalamy do jakich zbiorów danych i w jakim zakresie mają dostęp pracownicy i czy otrzymali odpowiednie upoważnienia.
- Ustalamy, czy osoby, które nie powinny mieć już prawa dostępu do danych osobowych (np. byli pracownicy) mają odwołane upoważnienia.
- Sprawdzamy, czy wszystkie dane są przetwarzane legalnie, czyli czy został spełniony jeden z warunków postawionych w art. 23. ust.1 ustawy.
- Sprawdzamy, czy biblioteka wypełnia należycie obowiązek informacyjny wynikający z art. 24 ustawy.
- Sprawdzamy, czy respektowane są prawa osób, których dane przetwarza biblioteka (rozdział 4 ustawy).
Ostatnim etapem jest sprawdzenie bezpieczeństwa teleinformatycznego (zgodnie z Rozporządzeniem powinniśmy sprawdzać to co najmniej raz na 5 lat, czyli nie ma obowiązku corocznej kontroli).Porównujemy stan faktyczny z zapisami z instrukcji zarządzania systemami informatycznymi, w szczególności:
- Sprawdzamy zasady nadawania/zmieniania/odbierania uprawnień do systemów informatycznych.
- Sprawdzamy, czy przestrzegane są zasady rozpoczęcia i zakończenia pracy w systemie.
- Czy pracownicy blokują system, podczas opuszczenia stanowiska pracy w trakcie dnia pracy.
- Czy osoby dopuszczone do pracy w systemie mają odpowiednie upoważnienia.
- Czy stosuje się identyfikatory i hasła dla użytkowników zgodnie z wymogami formalnymi.
- Czy systemy informatyczne służące do przetwarzania danych osobowych zapewniają odpowiedni poziom ochrony przed osobami trzecimi.
- Czy sam sprzęt komputerowy jest odpowiednio zabezpieczony systemowo i fizycznie (np. przed wyniesieniem).
- Czy tworzone są kopie zapasowe i czy umożliwiają odzyskanie danych,
- Czy systemy służące do przetwarzania danych osobowych odnotowują wszelkie czynności wykonywane na danych osobowych przez użytkowników.
- Czy pracownicy niszczą dane wygenerowane z systemów, gdy są już niepotrzebne.
- Przeprowadzamy wywiady z pracownikami, by porównać teorię z praktyką.
Po zakończeniu kontroli ABI przygotowuje sprawozdanie ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami (wzór poniżej). Sprawozdanie przedstawia się administratorowi danych, czyli dyrektorowi biblioteki (lub ośrodka kultury), a następnie po pisemnym przyjęciu do wiadomości przez dyrekcję, przedstawia się wszystkim pracownikom. Bardzo istotnym elementem sprawozdania jest wykaz czynności, które zostaną podjęte przez bibliotekę w celu wyeliminowania wykrytych nieprawidłowości. Mogą to być, np. szkolenia, zakup sprzętu, mebli, niszczarek, ale także przemeblowanie, czy przeniesienie dokumentów do innych pomieszczeń.
Dodam jeszcze, że biuro GIODO może zwrócić się do ABI-ego (o ile został powołany) o przeprowadzenie w jego imieniu sprawdzenia. Wówczas po zatwierdzeniu przez dyrektora, sprawozdanie jest wysyłane do GIODO, które na jego podstawie wyśle do administratora danych (biblioteki) postanowienia pokontrolne, być może poprosi też bibliotekę o dodatkowe wyjaśnienia lub podanie terminów zakładanego wyeliminowania uchybień.
Uważam, że przeprowadzanie regularnych audytów wewnętrznych zapewni bibliotece lepszy poziom kontroli nad danymi, a dodatkowo przygotuje na ewentualną kontrolę zewnętrzną. W najlepszym wypadku, pozwoli zupełnie uniknąć kontroli i ograniczy się do przekazania do GIODO własnego sprawozdania z wewnętrznego sprawdzenia.
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!