Co w Prawie Piszczy | Kontrole PUODO: część 2 – wskazówki praktyczne
8132
post-template-default,single,single-post,postid-8132,single-format-standard,cookies-not-set,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

Kontrole PUODO: część 2 – wskazówki praktyczne

W poprzednim wpisie omówiliśmy, kiedy można się spodziewać kontroli PUODO oraz jak ona wygląda. W dzisiejszym wpisie chcemy przedstawić garść praktycznych wskazówek, jak przygotować się do kontroli, żeby wypaść jak najlepiej w oczach pracownika Urzędu Ochrony Danych Osobowych.

Raporty z kontroli przeprowadzanych przez poprzednika Prezesa Urzędu – GIODO, pokazują, że kontrola obejmowała zarówno kwestie dokumentacji, jak i weryfikację fizycznych zabezpieczeń danych osobowych.[1]

Na podstawie tych raportów poniżej wskazujemy listę zagadnień, na które organ kontroli może zwrócić szczególną uwagę:

Wyznaczenie osoby odpowiedzialnej

Ułatwieniem kontroli jest wyznaczenie osoby odpowiedzialnej za ochronę danych osobowych w spółce. W przypadku, gdy w firmie będzie odbywała się kontrola, to właśnie ta osoba będzie miała bezpośredni kontakt z kontrolującymi, to ona będzie przygotowana na taką kontrolę i to ona niejako „przeprowadzi” kontrolującego przez firmę. W przypadku, gdy firma spełnia przesłanki posiadania Inspektora Ochrony Danych Osobowych, osobą odpowiedzialną może być właśnie IOD.

Powołaj IOD

Jeżeli firma spełnia wymogi posiadania Inspektora Ochrony Danych Osobowych – konieczne jest jego wyznaczenie. W przypadku kontroli organ z pewnością sprawdzi, czy IOD został powołany. O tym, kiedy należy go powołać pisaliśmy tutaj.

Porządek i dokumentacja

Podczas kontroli organ na pewno będzie chciał sprawdzić, czy została wdrożona dokumentacja ochrony danych osobowych. Część dokumentacji jest obowiązkowa (np. rejestr czynności przetwarzania) a część można wdrożyć w ramach spełnienia zasady rozliczalności. Warto pamiętać, aby trzymać całą dokumentację w jednym miejscu, w sposób uporządkowany. Jeżeli kontrolujący otrzyma całą dokumentację „na tacy”, nie będzie musiał przekopywać się przez stos niepotrzebnych dokumentów.

Upoważnienia

Organ z pewnością sprawdzi, czy zostały udzielone upoważnienia pracownikom, którzy mają dostęp do danych. Wprawdzie upoważnienia można udzielić w dowolnej formie, także e-mailowej, jednak w Sejmie wciąż procedowane są zmiany w Kodeksie pracy, na mocy których przetwarzanie niektórych kategorii danych musi opierać się o upoważnienie w formie pisemnej. W związku z tym już teraz lepiej udzielać upoważnień pisemnych.

Umowy powierzenia

Jeżeli dane przekazywane są innym firmom, np. w ramach outsourcingu usług HR lub przechowywania danych na zewnętrznych serwerach, trzeba pamiętać o zawarciu umów powierzenia. Podczas kontroli organ poprosi o zawarte umowy powierzenia i sprawdzi, czy we wszystkich wymaganych sytuacjach umowa była zawarta.

Rejestr incydentów

Podczas kontroli organ może wykryć, że w spółce miał miejsce incydent naruszenia ochrony danych osobowych. Co wówczas zrobi organ? W pierwszej kolejności sprawdzi co zostało zrobione w związku z naruszeniem: czy incydent został uwzględniony w rejestrze incydentów i jakie zostały wdrożone środki techniczno – organizacyjne w celu zaradzenia incydentowi i zminimalizowania jego negatywnych skutków, ewentualnie czy został on zgłoszony do Prezesa Urzędu. Właśnie dlatego warto prowadzić dokumentację dotyczącą zaistniałych naruszeń ochrony danych.

Zabezpieczenia

Jak wspominaliśmy w poprzednim wpisie [link], organ ma prawo dokonania oględzin urządzeń i systemów informatycznych. Jak wskazuje sam ustawodawca w uzasadnieniu do Ustawy o ochronie danych osobowych[2], organ podczas kontroli może korzystać z zaplecza eksperckiego np. z dziedziny informatyki. Trzeba być przygotowanym na to, że zabezpieczenia informatyczne zostaną dogłębnie sprawdzone przez kontrolujących. Warto zwrócić uwagę na takie rzeczy jak stosowane hasła, antywirusy, ale także zabezpieczenia fizyczne: zamykane szafy, odpowiedniej jakości drzwi do serwerowni.

Poprzednie audyty

Jeśli w firmie przeprowadzony był kiedyś audyt ochrony danych osobowych, należy pamiętać, aby wdrożyć wszystkie zalecenia z tego audytu. W przypadku, gdy organ natknie się na taki raport, z pewnością w pierwszej kolejności sprawdzi, czy nieprawidłowości wykryte podczas audytu zostały zniwelowane i wyciągnie z tego odpowiednie wnioski.

[1] https://giodo.gov.pl/pl/file/12276

[2] http://orka.sejm.gov.pl/Druki8ka.nsf/0/8CCAC91A3C6BBF62C125826C0033588C/%24File/2410.pdf

Autor: Samanta Osowska

Zaproponuj znajomym
Brak komentarzy.

skomentuj