Jak sporządzić plan sprawdzeń
Pytanie od Pani Moniki:
Mam pytanie odnośnie sprawozdania sporządzanego przez ABI, a konkretnie o plan sprawdzeń. Mianowicie nie wiem jak sporządzić taki plan, co konkretnie miało by się tam znaleźć? Jeśli mogę prosić o jakieś wskazówki byłabym wdzięczna.
Zasady przygotowywania sprawdzenia określa Rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI, z którego wynika że:
ABI przygotowuje plan sprawdzeń na okres nie krótszy niż kwartał, nie dłuższy niż rok
W praktyce w dużych instytucjach (np. bankach) plany sprawdzeń przygotowuje się na krótsze okresy, gdyż zarówno liczba sprawdzeń, jak i ich zakres są większe niż w przypadku mały instytucji i gdzie planowanie sprawdzeń ma bardzo duże znaczenie dla zarządzania bezpieczeństwem. W małych i średnich instytucjach (bibliotekach, spółdzielniach mieszkaniowych, ośrodkach pomocy społecznej, itp.) wystarczy jeden plan sprawdzeń na okres całego roku.
Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie
Mówiąc krótko, nie można przygotować planu sprawdzeń, w którym stwierdzi się, że w danym okresie, nie przeprowadzi się żadnego sprawdzenia. Istotne jest uwzględnienie w planie sprawdzeń potrzeby przeprowadzenia jednego pełnego sprawdzenia w ciągu roku (z wyłączeniem systemów informatycznych, które mogą być sprawdzane raz na 5 lat). Czym jest pełne sprawdzenie? To taki audyt, który sprawdza wszystkie elementy bezpieczeństwa danych. Pisałam o tym w artykule Jak przeprowadzić sprawdzenie z zakresu ochrony danych osobowych.
Plan sprawdzeń jest przedstawiany administratorowi danych nie później niż na dwa tygodnie
Ponieważ ABI ma zapewnioną niezależność w swoich działaniach związanych z ochroną danych (wynika to bezpośrednio z art. 36 a ustawy o ochronie danych osobowych), nie pyta administratora danych o możliwość przeprowadzenia sprawdzenia albo zgodę na zaproponowany termin. Jedynie informuje go przedkładając mu plan sprawdzeń, kiedy przeprowadzi sprawdzenie.
Plan sprawdzeń powinien obejmować informacje o terminie, zakresie oraz miejscu przeprowadzania sprawdzenia
W planie sprawdzeń oprócz informacji na jaki okres czasu został przygotowany określamy terminy planowanych sprawdzeń, ich zakres (czyli co będzie sprawdzane) oraz miejsce przeprowadzenia (czyli gdzie będzie przeprowadzane). Ma to pozwolić kierownictwu oraz pracownikom przygotować się do sprawdzenia, w szczególności poprzez wskazanie pracownikom w jakim terminie mają udostępnić dokumenty/pomieszczenia/komputery. Muszą być także przygotowani na składanie ustnych lub pisemnych wyjaśnień.
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!