Obowiązkowe sprawozdania dla ADO

Koniec maja 2015 roku obrodził w rozporządzenia do znowelizowanej z dniem 1 stycznia 2015 roku ustawy o ochronie danych osobowych. W tym wpisie skupię się na sprawozdaniach  PLANOWYCH (są jeszcze doraźne) sprecyzowanych w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (dalej zwane Rozporządzenie) weszło w życie z dniem 30 maja 2015 roku.

Rozporządzenie określa tryb i sposób opracowywania sprawozdań odnoszących się do sprawdzania przez ABI-ego zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

I tu poruszę moim zdaniem dość istotną kwestię, sprawozdanie ma dotyczyć zgodności nie TYLKO z przepisami Ustawy o ochronie danych osobowych, a z wszystkimi przepisami, które dotyczą kategorii przetwarzanych danych osobowych. Przykładowo, jeśli sprawozdanie robię dla ADO, który jedyne przetwarza dane osobowe pracowników etatowych, to muszę brać pod uwagę wytyczne Kodeksu Pracy odnośnie przetwarzania danych. Warto też wspomnieć, że sprawozdanie może również być dokonywane dla GIODO- ale o tym w następnym wpisie. 

Zgodnie z Rozporządzeniem ABI musi mieć Plan sprawdzeń, który tworzy się na okres nie krótszy niż kwartał i nie dłuższy niż rok. Dodatkowo zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na pięć lat. 

W tym planie muszą się znaleźć:

  1. Przedmiot sprawdzenia-  jakie zbiory danych osobowych i/lub systemy informatyczne służące do ich przetwarzania.
  2. Zakres- który „filar” UODO będziemy sprawdzać w danym zbiorze/systemie informatycznym: Legalność (rozdział 3 UODO), Bezpieczeństwo (rozdział 5 UODO), Przekazywanie danych osobowych do państwa trzeciego (rozdział 7 UODO), Obowiązek rejestracji zbioru (jeśli zaistniał).
  3. Termin przeprowadzenia- zgodny z planem sprawdzeń.
  4. Sposób i zakres ich dokumentowania.

Jak może wyglądać taki plan? Zapraszam do ściągnięcia przykładowego załącznika do Polityki Bezpieczeństwa – Załącznik nr 00 – Plan_Audytu.

Poza planowaniem, Rozporządzenie określa jak ABI ma udokumentować przeprowadzenie sprawozdania oraz obowiązek umożliwienia administratorowi bezpieczeństwa informacji przez osobę odpowiedzialną za przetwarzanie danych osobowych, której dotyczy sprawdzenie, przeprowadzenie czynności sprawdzających. 

ABI dokumentuje czynności przeprowadzone w toku sprawdzenia, które obejmują przynajmniej:

  1. Utrwalenie danych z systemu informatycznego na informatycznym nośniku danych lub dokonanie wydruku tych danych;
  2. Sporządzenie notatki z czynności, w szczególności z zebranych wyjaśnień, przeprowadzonych oględzin oraz z czynności związanych z dostępem do urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych osobowych;
  3. Odebranie wyjaśnień osoby, której czynności objęto sprawdzeniem;
  4. Sporządzenie kopii otrzymanego dokumentu;
  5. Sporządzenie kopii obrazu wyświetlonego na ekranie urządzenia;
  6. Sporządzenie kopii zapisów rejestrów systemu informatycznego lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu.

Po zakończonych czynnościach, ABI przygotowuje sprawozdanie w postaci elektronicznej albo w postaci papierowej i przekazuje administratorowi danych nie później niż w terminie 30 dni od zakończenia sprawdzenia.

W następnym wpisie przedstawimy tryby i sposoby nadzoru nad Polityką Bezpieczeństwa, które również opisane są w Rozporządzeniu.

Michał Geilke  

62 Comments

  1. Kate

    Czy jeżeli firma ma siedzibę główną oraz oddziały znajdujące się w innych miejscowościach, a wszędzie przetwarza ten sam jeden zbiór danych to czy przy tworzeniu sprawdzeń ABI musi fatygować się do tych oddziałów czy może potrzebne informacje pozyskać drogą elektroniczną bądź emailowoą ?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Osobiście pofatygowałbym się do tych oddziałów lub wyznaczył w każdym z nich „Lokalne” ABI-ego.

      Pozdrawiam,

      Reply
  2. Ola

    Witam,
    Rozporządzenie nakazuje aby ABI miał plan sprawdzeń, ale powinien go mieć od wejścia rozporządzenia czy według własnego uznania?
    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Rozporządzenie precyzuje że plan powinien być:

      „§ 3. 5. Plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na okres nie krótszy niż
      kwartał i nie dłuższy niż rok. Plan sprawdzeń jest przedstawiany administratorowi danych nie później niż na dwa tygodnie
      przed dniem rozpoczęcia okresu objętego planem. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie. ”

      Sprawozdanie musi być stworzone odpowiednio na okres nie krótszy niż
      kwartał i nie dłuższy niż rok- od momentu jego ustalenia.

      Pozdrawiam,

      Reply
  3. Ola

    Mam jeszcze jedno pytanie,
    czy plan sprawdzeń zbiorów ma dotyczyć tylko zbiorów, dla których prowadzimy rejestr, czy dla wszystkich zbiorów, np. program informatyczny dotyczący zatrudnienia oraz akt osobowych pracowników (wersja papierowa). Według ustawy jesteśmy zwolnieni z rejestracji takiego zbioru.
    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Moim zdaniem, fakty czy zbiór podlega rejestracji czy też nie, nie ma tutaj znaczenia.

      Pozdrawia,

      Reply
  4. Kasia

    Witam,

    Mam takie pytanie.
    Co jaki czas trzeba dokonywać czynności sprawdzających? Czy raz w roku muszę dokonywać sprawdzeń?
    Plan sprawdzeń ułożyłam sobie na rok.
    Czy w następnym roku też muszę stworzyć nowy plan sprawdzeń?
    Gdzie jest regulacja prawna, która wyjaśnia tą kwestię?

    Kasia.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Plan sprawozdań należy tworzyć na okres nie krótszy niż kwartał anie dłuższy niż 12 miesięcy. Nie musi to być rok kalendarzowy, jeden Plan może obejmować np. rok 2015 i 2016.

      Szczegóły znajdują się w w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (dalej zwane Rozporządzenie) weszło w życie z dniem 30 maja 2015 roku.

      Więcej w wpisie: http://odo.com.pl/obowiazkowe-sprawozdania-dla-ado/

      Pozdrawiam,

      Reply
  5. Alicja

    Dzień dobry,
    Postanowiliśmy w firmie nie powoływać ABI-ego, a ponieważ prezes nie jest chętny do zajmowania się tematem osobiście, wyznaczyliśmy Specjalistę ds Bezpieczeństwa Danych Osobowych. W praktyce specjalista robić ma niemal to samo co ABI, ale raportować i przedstawiać wyniki swoich działań do akceptacji ADO (prezesa) i to do ADO (prezesa) należy pełna odpowiedzialność za ochronę danych w firmie.
    Co w takim wypadku ze sprawdzeniami? Jak rozumiem nie są obowiązkowe, ale też nie zaszkodzą, prawda?
    Alicja

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Sprawozdania o których mowa w UODO art. 36a ust. 2 pkt 1 lit. a, nie są obowiązkowe- i tak jak Pani napisała – nie zaszkodzą.
      Natomiast warto tutaj odnieść się do początku Pani wypowiedzi. UODO jasno stwierdza kto zajmuje się zadaniami wynikającymi z obowiązków ADO –

        „Art. 36b. W przypadku niepowołania administratora bezpieczeństwa informacji zadania
        określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.”

      Proszę zapoznać się z wpisem- Spółka jako ADO.

      Reply
  6. ania

    Witam.
    A jeśli nie mamy ABI zgodnie z przepisami nie został powołany, czy też musimy robić plan sprawozdań i czy wtedy ADO robi sprawozdanie.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Nie, zgodnie z Art. 36b UODO w przypadku niepowołania administratora bezpieczeństwa informacji jego zadania wykonuje administrator danych z wyłączeniem obowiązku sporządzania sprawozdania.
      Zatem również i planu.

      Pozdrawiam,

      Reply
  7. Marcin

    Dzień dobry,

    Mam pytanie do Państwa..
    Jeśli placówka oświatowa nie powołała jeszcze ABIego to czy ADO jest zobowiązany do przesłania do GIODO sprawozdania? Jeśli tak to jakie to są sprawozdania?

    Pozdrawiam Marcin

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Odpowiedz brzmi NIE. Zgodnie z Art. 36b UODO w przypadku niepowołania administratora bezpieczeństwa informacji, zadania ABI wykonuje ADO ale z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a.

      Pozdrawiam,

      Michał Geilke

      Reply
  8. Monika

    Dzień dobry,

    Proszę o odpowiedź na nurtujące mnie od dłuższego czasu pytanie.
    W rozporządzeniu mowa: „§ 3. 5. Plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na okres nie krótszy niż
    kwartał i nie dłuższy niż rok. Plan sprawdzeń jest przedstawiany administratorowi danych nie później niż na dwa tygodnie
    przed dniem rozpoczęcia okresu objętego planem. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie. ”
    Czy mając na uwadze powyższe pierwsze sprawdzenie mogę zaplanować np. w marcu lub kwietniu 2016r? Dany czas 1 rok dla ABI mogę interpretować od momentu wejścia w życie rozporządzenia czyli od 30 maja 2015r? Sprawdzeń doraźnych nie było, bo nie było incydentów a na planowane jest rok czasu więc do dziś mogę nie posiadać żadnych sprawdzeń, czy tak?

    pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Rozporządzenie MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji obowiązuje od 30 maja 2015 r. – pierwsze pytanie, od kiedy jest Pani wyznaczona na ABI? Dodatkowo we wspomnianym rozporządzeni nie ma okresu Roku, a jedynie maksymalny okres do 12 miesięcy i tak jak Pani wspomniała liczy się od 30 maja 2015, chyba że ABI jest wyznaczony później. Reasumując, Plan sprawozdań przedstawiony ADO np. 30 maja 2015 r. może zakładać że Pierwsze sprawozdanie odbędzie się dopiero w kwietniu 2016 r. ale nie może odbyć się wcześniej niż dwa tygodnie od tej daty.

      Pozdrawiam,

      Reply
  9. Krzysztof

    Dzień dobry,
    mam pytanie co do akt osobowych osób rekrutowanych, studentów, byłych studentów oraz absolwentów. Czy muszę wpisać powyższe zbiory do rejestru, czy mogę skorzystać z art. 43 ust. 1 pkt 4.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      zdanie GIODO w tym przypadku jest jednoznaczne:

      „Uczelnie wyższe będą miały dodatkowy kłopotliwy obowiązek. Muszą bowiem rejestrować posiadane zbiory danych osobowych kandydatów zdających na studia.

      Tak uważa generalny inspektor ochrony danych osobowych Michał Serzycki. Jego zdaniem rektorzy szkół wyższych powinni zgłosić do biura GIODO zbiory danych prowadzonych zgodnie z procedurą rekrutacji na studia.
      Prawną podstawą obowiązku rejestracji są art. 40 i 43 ustawy o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.). Przewidują one, że administrator danych musi zgłosić zbiór danych do GIODO z wyjątkiem dokładnie określonych wypadków. W praktyce obowiązek zgłoszenia zbioru danych nie powstaje zbyt często. GIODO uznał jednak, że rejestracji powinny podlegać zbiory danych kandydatów na studia. Zdaniem Serzyckiego nie są to zbiory tworzone na doraźne potrzeby, co zwalniałoby je z obowiązku zgłaszania. Dane kandydatów na studia są przenoszone do zbiorów osób przyjętych na uczelnię albo usuwane (czyli zwracane tym, którzy się nie dostali).
      GIODO powołuje się jednakna § 21 ust. 2 rozporządzenia w sprawie dokumentacji przebiegu studiów (DzU z 2006 r. nr 224, poz. 1634), z którego wynika, że zgromadzone dane nie są bezzwłocznie usuwane. Uczelnia przechowuje przez 12 miesięcy kopie dokumentów kandydatów, którzy ostatecznie nie zostali przyjęci na pierwszy rok studiów, wraz z kopią pisma wysłanego do takiej osoby, do którego uczelnia dołączyła złożone oryginały dokumentów.
      – Procedura rekrutacji odbywa się cyklicznie, można więc przyjąć, że mamy do czynienia ze stałym przetwarzaniem danych osobowych kandydatów na studentów – uważa Serzycki.
      Dlatego też zbiory trzeba zarejestrować. Wystarczy, że uczelnia prześle do GIODO wypełniony formularz, który można znaleźć na stronie http://www.giodo.gov.pl. Generalny inspektor podkreśla, że rejestracji dokonuje się jednorazowo i nie trzeba jej corocznie powtarzać.”

      – źródło http://www.giodo.gov.pl/394/id_art/1947/j/pl/

      Pozdrawiam,

      Reply
      1. Krzysztof

        Witam Pana,
        jeżeli Uczelnia ma powołanego i zgłoszonego ABI to wystarczy, że zbiór danych dotyczący kandydatów zostanie wpisany do rejestru, nie ma potrzeby rejestracji w GIODO?

        Reply
        1. Michał (Post author)

          Dzień dobry,

          Tak (jeśli chodzi Panu o rejestr Jawny prowadzony przez ABI), ale tylko w przypadku braku danych wrażliwych w tym zbiorze.

          Pozdrawiam,

          Reply
  10. Jola

    Witam mam pytanie otóż w 2014 r. zostałam powołana jako ABI a w 2015 r po nowelizacji ustawy nie zostałam zgłoszona, czyli na dzien dzisiejszy nie powinnam juz figurować jako ABI w firmie a ochrona danych powinien zajmować sie ADO?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      dokładnie tak. W przypadku braku ABI jego zadania wykonuje ADO.Ogólnie zawsze ADO musi jako „pierwszy” zajmuje się zaprojektowaniem systemu przetwarzania/ochrony danych osobowych.

      Pozdrawiam,

      Reply
  11. Krzysztof

    Witam Pana,
    czy program Erasmus, MOST, itp. podlegają rejestracji, czy można je „podciągnąć” pod art. 43 ust. 1 pkt 4.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Ogólnie są to dane osób Uczących się. A co do administratora danych (a co za tym idzie obowiązku rejestracji zbioru) – to zależy, czy uczelnia przekazuje dane do Erasmusa (wtedy jest administratorem osób uczących się) czy student bezpośrednio przekazuje dane do Erasmusa (wtedy administratorem jest Erasmus).

      Pozdrawiam,
      Tomasz Cygan

      Reply
  12. Jola

    Witam!
    Bardzo proszę o odpowiedź na 2 pytania. Prowadzę jednoosobową działalność gospodarczą mam od 2000 r. jednego pracownika, dane klientów przetwarzam na potrzeby wystawienia faktur oraz reklamacji.
    1. Od kiedy tak naprawdę powinnam posiadać politykę bezpieczeństwa?
    2. Od kiedy zbiór danych dot. reklamacji powinnam była zgłosić do GIODO?
    3. Czy jako ADO i pełniąca obowiązki ABI powinnam wykonać sprawozdanie?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Ad. 1. Od momentu przetwarzania pierwszej dane osobowej podlegającej pod UODO – np. pierwszy pracownik, pierwszy kontrahent (jednoosobowa działalność lub spółka cywilna).
      Ad. 2. Moim zdaniem nie będzie osobnego zbioru Reklamacje. Będzie Pani miała zbiór klientów, a ich dane będą wykorzystywane w innych celach niż wystawnie faktury lub prowadzenia sprawozdawczości finansowej. W przypadku braku ABI zbiór należy zarejestrować od razu.
      Ad. 3. Zgodnie z art. 36b UODOD nie musi Pani robić sprawozdań:

      „W przypadku niepowołania administratora bezpieczeństwa informacji zadania
      określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o
      którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych”

      Pozdrawiam,

      Reply
  13. Krzysztof

    Witam Pana,
    jeżeli mam umowę powierzenia danych osobowych w celach wykonania jakiegoś zadania to kto powinien wystawić upoważnienia do przetwarzania danych osobom, które realizują dany projekt.ADO jako zlecający, czy ADO jako wykonawca?
    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Jeśli powierzam komuś dane jako ADO, to podmiot który je otrzymuje nie staje się ADO tych danych. Zgodnie z UODO (art. 37) upoważnianie może nadać tylko ADO, ale można to scedować pełnomocnictwem, np:

      ” 4. Spółka udziela X umocowania do nadawania upoważnień w rozumieniu art. 37 ustawy o ochronie danych osobowych swoim pracownikom…. X przekaże ewidencje osób upoważnionych Spółce w dniu….”
      Oczywiście, jeśli mamy czas i „chęci” sami możemy upoważniać pracowników procesora innymi uregulowaniami w umowie.

      Pozdrawiam,

      Reply
  14. Karolina

    Witam Pana,
    mam pytanie o sprawozdanie i plan sprawdzeń. Jestem abi w jednostce sektora publicznego (spzoz) i corocznie mamy przeprowadzane audyty zewnętrzne dotyczące zintegrowanego systemu zarządzania (PN-EN ISO 9001, PN-ISO/IEC 27001). W tych normach ISO zawarta jest ochrona danych, czy w takim przypadku należy tworzyć dodatkowe oddzielne dokumenty typu plan sprawdzeń i sprawozdanie (tylko z ODO), skoro w dokumentach ISO już to jest zawarte??

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Jeżeli plany sprawdzeń i sprawozdania wg ISO są zgodne z zapisami ustawy o ochronie danych osobowych, to nie trzeba (czyli między innymi biorą pod uwagę wytyczne ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji). Drugim warunkiem jest aby takie sprawdzenia i sprawozdania były w kompetencjach ABI.

      Pozdrawiam,

      Reply
  15. Natalia

    Witam, Chciałam się upewnić czy dobrze postąpiłam z planem sprawdzeń, czy jednak powinnam wykonać go inaczej. Jestem zgłoszonym ABI od 2015r. przed wejściem rozporządzenia dokonaliśmy już zgłoszenia. Niestety nie mam kwalifikacji w tej dziedzinie i zostałam wybrana z przypadku, bo ktoś musiał zostać według zaleceń kierownika. Do tego mam masę innych obowiązków. Czy miałam obowiązek przygotować plan sprawdzeń już w 2015r. od wejścia w życie rozporządzenia, czy ogólnie miałam na to rok tj. do maja 2016r. na dokonanie jakiegokolwiek sprawdzenia i zrobienie np. jednego ogólnego planu sprawdzeń? Ja w lutym 2016r. przygotowałam plan sprawdzeń w którym określiłam, że w danych terminach odbędą się 4 sprawdzenia. Plan sprawdzeń przygotowałam do końca 2016r. tj. do grudnia, natomiast czy powinnam przygotować go do końca maja? Bo co do zasady od wejścia w życie rozporządzenia minął rok.. I np. po tym okresie kolejny plan sprawdzeń? Czy może dobrze zrobiłam, tzn. mogło być do końca 2016r. czy zmieściłam się w terminie czy niestety nie? Jak powinno wyglądać poprawnie przygotowanie planu sprawdzeń chodzi mi o daty.

    Pozdrawiam,

    Reply
    1. Michał (Post author)

      Żaden przepis nie wskazuje w jaki sposób rozumieć rok na potrzeby planu sprawdzeń. Jedynie par. 3 ust. 5 rozporządzenia wskazuje, że „plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na okres nie krótszy niż kwartał i nie dłuższy niż rok. Plan sprawdzeń jest przedstawiany administratorowi danych nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie”. W związku z tym, można go traktować jako rok kalendarzowy lub rok od wejścia w życie rozporządzenia. Natomiast skoro miarą jest też kwartał, to łatwiej jest to ustalać na rok kalendarzowy. Ja praktykuję to w ten sposób©, że plan sprawdzeń ustalam na rok kalendarzowy- niezależnie, ile ich robię w ciągu roku i w których miesiącach. Należy tylko zachować normę nie częściej niż raz na kwartał i nie rzadziej niż raz na rok.

      Z poważaniem
      Tomasz Cygan

      Reply
  16. Irek

    Pytanko odnośnie sprawozdania ABI do ADO.
    Zostało zrobione i przekazane…czy te sprawozdanie powinno być także przedstawione pracownikom czy nie powinno? Czy może tylko zalecenia które tam będą zawarte ?

    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      moim zdaniem należy to do decyzji ADO. Zadanie ABI odnośnie konkretnego sprawozdania jak by „kończy się” z momentem jego przekazania do ADO. Konkretni pracownicy natomiast będą uczestniczyć w samy sprawozdaniu jeśli ono ich dotyczy.

      Pozdrawiam,

      Reply
  17. Michalina

    Dzień dobry, mam pytanie odnośnie kwestii sprawdzeń a audytu systemu zarządzania bezpieczeństwem informacji.Jako Abi wykonuję sprawdzenia wg planu sprawdzeń,ale w dokumentacji systemu zarządzania bezpieczeństwem informacji jest procedura audytu SZBI , który ma być wykonywany raz na rok – czy powinien go wykonywać ABI(przy pomocy ABS) czy firma zewnętrzna , bo raz jest to w części powielanie sprawdzeń, a dwa- to sprawdzanie samych siebie?

    Reply
    1. Tomasz Cygan

      dzień dobry,

      jeżeli nie ma nigdzie zapisu, że można to zrobić w ramach jednego audytu (ODO i SZBI), to moim zdaniem powinny zostać przeprowadzone dwa audyty. można spróbować je ze sobą powiązać, natomiast powinny być dwa raporty.

      z poważaniem,

      Tomasz Cygan

      Reply
  18. anna

    czy jest konieczność robienia sprawozdania rocznego jak robi się sprawozdania planowe u mnie akurat 4 rocznie?

    Reply
    1. Tomasz Cygan

      dzień dobry,

      nie, przepisy wskazują, że sprawdzenia maja być nie rzadziej niż raz na rok i nie częściej niż raz na kwartał.

      z poważaniem,

      Tomasz Cygan

      Reply
  19. Basia

    Witam
    Jestem ABI od czerwca 2015 roku. Czy powinnam dokonać sprawdzeń w roku 2015, 2016?
    Pozdrawiam

    Reply
    1. Tomasz Cygan

      dzień dobry,

      na pewno w 2016 roku. przepis jednoznacznie tego nie rozstrzyga, ale łatwiej realizować ten obowiązek przyjmując rok kalendarzowy jako okres rozliczeniowy.

      z poważaniem,

      Tomasz Cygan

      Reply
      1. Ilona

        Witam, jestem ABI od 7 kwietnia 2016r. Biorąc pod uwagę ten termin – w jakim okresie od powołania na ABI powinno się odbyć pierwsze planowe sprawdzenie dla ADO? Czy istnieją w tym zakresie jakieś regulację? Czy właściwym i wystarczającym byłoby do 7 kwietnia opracowanie planu sprawdzenia na okres np. od kwietnia do końca 2017r.(3 sprawdzenia kwartalne) i zgłoszenie planu ADO (na 14 dni przed I planowaną czynnością)? czy może w tym zakresie powinnam przyjąć inny termin rozpoczęcia sprawdzenia ?

        Poproszę o wskazówkę, zwłaszcza odnośnie terminu obligatoryjnego pierwszego sprawdzenia dla ADO od terminu powołania ABI.

        Reply
        1. Tomasz Cygan

          dzień dobry,

          z przepisów Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji to nie wynika wprost. Przepis (par. 3 ust. 5 i 6) wskazuje jedynie, ze „plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na okres nie krótszy niż
          kwartał i nie dłuższy niż rok. Plan sprawdzeń jest przedstawiany administratorowi danych nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie.Zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na pięć lat.” W mojej opinii łatwiej jest sprawdzenia zaplanować posługując się miarą roku kalendarzowego ni liczyć miesiąc do miesiąca. Wówczas plan audytów obejmowałby rok 2016, a kolejny plan rok 2017.

          z poważaniem,

          Tomasz Cygan

          Reply
  20. Joanna Orłowska

    Dzień dobry
    czy roczne sprawozdanie musi być przesłane do GIODO czy tylko przechowywane w placówce.
    Z poważaniem

    Reply
    1. Tomasz Cygan

      dzień dobry,

      Sprawozdania ze sprawdzeń ADO przechowuje w swojej siedzibie. Do GIODO wysyłamy tylko sprawozdania ze sprawdzeń zleconych ABI przez GIODO.

      z poważaniem,
      Tomasz Cygan

      Reply
  21. Karolina

    Dzień dobry,

    Mam pytanie odnośnie planu sprawdzeń. U nas w JST opracowałam plan sprawdzeń, który rozpoczął się w styczniu 2016 r.. Rozplanowane miałam 4 sprawdzenia, czyli przypadało 1 na kwartał. I tutaj rozpoczyna się mój problem, ponieważ ze względu na obowiązki służbowe sprawdzenia miałam rozplanowane na ostatni miesiąc kwartału, np. wrzesień. I właśnie wtedy miałam wypadek, co spowodowało u mnie przerwę ponad 3 miesięczną w pracy. Teraz natomiast nie wiem, co począć z tym 1 sprawdzeniem, które się nie odbyło. Moim zdaniem niedopuszczalnym było by „zrobienie go wcześniej”, bo w planie sprawdzeń mam wpisane konkretne daty rozpoczęcia i końca.

    Pozdrawiam

    Reply
    1. Tomasz Cygan

      dzień dobry,

      przepisy takiej sytuacji nie przewidują. natomiast, moim zdaniem, należy przejść nad tym do porządku dziennego – ewentualnie sporządzić notatkę dla ADO z podaniem przyczyn braku czwartego sprawdzenia i podpiąć ją pod plan sprawdzeń za 2016 rok.

      z poważaniem,

      Tomasz Cygan

      Reply
  22. Renata

    dzień dobry,

    jeszcze przed 2015 rokiem zostałam wyznaczona na funkcję ABI (dokument wewnętrzny), lecz zgłoszenie mojej osoby do jawnego rejestru ABI nastapiło dopiero pod koniec 2016 roku. Wcześniej nie realizowałam żadnych kontroli wewnętrznych ani sprawozdań. Od kiedy wobec tego liczy się obowiązek przygotowywania wewnętrznych kontroli i sprawozdań. Czy ich brak z okresu sprzed rejestracji ABI jest poważnym uchybieniem?

    Reply
    1. Tomasz Cygan

      Dzień dobry,

      Obowiązek prowadzenia sprawdzeń obejmuje tylko ABI, którzy są zgłoszeni do rejestru prowadzonego przez GIODO – skoro nie była Pani zgłoszona, to nie było obowiązku prowadzenia sprawdzeń i sporządzania sprawozdań. brak sprawdzeń i sprawozdań za czas sprzed zgłoszenia, nie jest uchybieniem.

      z poważaniem,

      Tomasz Cygan

      Reply
  23. Anna

    Dzień dobry
    czy sprawozdanie ze sprawdzenia dla ADO podlega udostępnieniu w ramach dostępu do informacji publicznej?

    Reply
    1. Tomasz Cygan

      Dzień dobry,

      Cóż, żaden przepis prawa nie stanowi wprost podstawy prawnej dla odmowy udostępnienia takiej informacji. Jak wynika bowiem z art. 5 ustawy o dostępie do informacji publicznej odmowa udostępnienia informacji publicznej może zostać oparta na ochronie informacji niejawnych, innych tajemnic ustawowo chronionych, prywatności osoby fizycznej oraz tajemnicy przedsiębiorcy. Natomiast na pewno co najmniej niecelowe byłoby udostępnianie informacji na temat zabezpieczenia (lub braku zabezpieczenia) danych osobowych. Moim zdaniem, podstawą odmowy udostępnienia może być ochrona tajemnic ustawowo chronionych, a konkretnie tej opisanej w art. 39 ust. 2 ustawy o ochronie danych osobowych, która obejmuje dane osobowe oraz sposoby ich zabezpieczenia.

      z poważaniem,

      Tomasz Cygan

      Reply
  24. anna

    Czy ABI ma obowiązek uczestniczyć w procesie udostępniania danych z ewidencji gruntów i budynków-WEB EWID?

    Reply
    1. Tomasz Cygan

      Dzień dobry,

      Jeżeli w zakresie danych z ewidencji gruntów i budynków-WEB EWID mieszczą się dane osobowe (a chyba mogą sie mieścić), to zadaniem ABI zgodnie z treścią art. 36a ust. 2 punkt 1 ustawy o ochronie danych osobowych jest:
      1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
      a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
      b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
      c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

      z poważaniem,

      Tomasz Cygan

      Reply
  25. Bartek

    Witam,

    mam pytanie odnośnie dokonywania sprawdzeń. W firmie nie ma powołanego ABI. Czy w związku z tym ADO musi dokonywać sprawdzeń (nie chodzi mi o sprawozdania bo to jest wyjaśnione w UoDO)? Jest to o tyle nielogiczne, ponieważ Rozporządzenie jasno wskazuje (art.3 ust.1 pkt.1) że sprawdzenia dokonywane są dla ADO. Rozporządzenie odnosi się wyłącznie do ABI. Czy w takim przypadku ADO sam sobie ma przedstawiać plan sprawdzeń, czy też sam dla siebie ma dokumentować czynności wynikające z dokonywania sprawdzenia? Czy dokumentowanie czynności z przeprowadzonego sprawdzenia jest równoznaczne z przygotowaniem sprawozdania?

    Reply
    1. Tomasz Cygan

      dzień dobry,

      sprawdzenia i sprawozdania dla ADO są przewidziane jedynie w sytuacji, gdy podmiot ma powołanego i zgłoszonego do rejestru ABI. w pozostałych przypadkach nie ma obowiązku prowadzenia sprawdzeń, a co za tym idzie tworzenia ich planów, dokumentowania czynności, itp.

      z poważaniem,

      Tomasz Cygan

      Reply
  26. Ewa

    Witam,
    mam pytanie odnośnie planu sprawdzeń. Od niedawna pełnię obowiązki ABI (wcześniej powołana była inna osoba. Pierwszą rzeczą, którą przeanalizowałam był rejestr zbiorów danych osobowych funkcjonujących w Urzędzie. W wyniku analizy znalazłam kilka zbiorów do uaktualnienia oraz kilka do dopisania (nie zostały zgłoszone do ABI). Chciałabym przekazać zalecenia dotyczące zbiorów. Czy taki przegląd zbiorów może być jednocześnie sprawdzeniem dla ADO. Jak zatem nazwać to sprawdzenie.

    Reply
    1. Michał Geilke (Post author)

      Dzień dobry,

      Moim zdaniem jak najbardziej w Planie Sprawdzeń można zawrzeć sprawdzenie dotyczące aktualności wykazu zbirów danych. Nazewnictwo jest tutaj dowolne i może być np. takie „Wykaz Zbiorów danych osobowych- przegląd pod kątem aktualności”.
      Również można w opisanym przypadku przeprowadzić sprawozdanie doraźne jeśli Plan Sprawdzeń akceptowany przez ADO nie obejmował takiego zagadnienia:

      „ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji:
      § 3 ust. 2. Sprawdzenie jest przeprowadzane w trybie:
      sprawdzenia doraźnego – w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji powzięcia przez administratora bezpieczeństwa informacji wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia;”

      Z poważaniem,
      Michał Geilke

      Reply
  27. anna

    czy po wprowadzeniu nowych regulacji nadal będą obowiązywać obowiązkowe sprawdzenia dla ADO?

    Reply
    1. Michał Geilke (Post author)

      Dzień dobry,

      raczej na pewno NIE. Ale wszystkie nowe „Ustawy” są w fazie projektów. Tak czy inaczej, posiadanie planu sprawozdań oraz ich wykonywanie według niego tak jak i wykonywanie sprawozdań doraźnych jest obligatoryjne dla ABI do 24 maja 2018 roku.

      Pozdrawiam,
      Michał Geilke

      Reply
  28. anna

    Plan sprawdzeń obejmuję co najmniej 1 sprawdzenie, w 2016 r. było jedno sprawdzenie (marzec) – teraz chce zrobić plan od 1.06.2017 -01.06.2018 czy jedno obowiązkowe sprawdzenie musi być uwzględnione w 2018 r. czy może być jeszcze w 2017 r.?

    Reply
  29. Leokadia

    Dzień dobry,

    Ja nie rozumiem o co chodzi z tymi planami i sprawdzeniami, sprawozdaniami – nie krótsze niż 3 miesiące, nie dłuższe niż rok. Czy nie mogę np. dziś napisać planu, przedstawić go ado i za 2 tygodnie w przeciągu jednego dnia sprawdzić wszystko i tego samego dnia napisać sprawozdania i też tego samego dnia oddać go ADO. I tak raz na rok. Co tu dużo sprawdzać i pisać jak firma liczy 9 osób… Czy mogę dostać przykładowy plan? Jak to w ogóle ma wyglądać?

    Reply
    1. Michał Geilke (Post author)

      Dzień dobry,

      przykładowy plan sprawdzeń jest do pobrania tutaj- http://odo.com.pl/obowiazkowe-sprawozdania-dla-ado/. O ilości sprawdzeń decyduje ABI, ale musi pamiętać, że raz na 5 lat sprawdzenie musi dotyczyć zbiorów danych i systemu informatycznego. Może Pani np. stworzyć plan na 12 miesięcy i w nim zaplanować dwa sprawdzenia (z naciskiem na bezpieczeństwo danych i dane „wrażliwe”)- jedno w miarę szybko, a drugie pod koniec tego okresu.

      Pozdrawiam,

      Michał Geilke

      Reply
  30. Krzysztof

    Dzień dobry,
    mam pytanie co do upoważnień do przetwarzania danych osobowych (Art. 29 RODO)?
    1. czy może je wydawać IDO poprzez pełnomocnictwo od ADO?
    2. czy osoba upoważniona powinna je podpisać?
    3. czy upoważnienie powinno zawierać zbiory danych, czy możemy napisać „zgodnie z zakresem obowiązków”?
    4. czy należy wydać upoważnienie w jednym egzemplarzu czy może w trzech, np. dla kadr, itd.?
    5. co z oświadczeniami?
    6. czy należy wydać wszystkim pracownikom nowe upoważnienia?
    Z poważaniem
    Krzysztof

    Reply

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

2 × 4 =