Procedura monitoringu wewnętrznego dotyczącego przestrzegania zasad przetwarzania zbiorów danych osobowych w systemach teleinformatycznych

Procedura jest jedynie propozycją zapisów. Przedstawione wytyczne powinny być dostosowane do struktury firmy i wykonywanych operacji przetwarzania danych.

W procedurze monitoringu wewnętrznego dotyczącego przestrzegania zasad przetwarzania zbiorów danych osobowych w systemach teleinformatycznych należy określić:

  • ogólne cele i zasady działania monitoringu,
  • prawa i obowiązki IOD,
  • uprawnienia IOD i jego niezależność,
  • zakres działania monitoringu wewnętrznego i sprawo­zdawczości.

Czynności związane z monitoringiem wewnętrznym dotyczącym przetwarzania zbiorów danych osobowych muszą być udokumentowane w raporcie o naruszeniu zasad bezpieczeństwa.

Ogólne cele i zasady monitoringu wewnętrznego

Celem monitoringu wewnętrznego jest zlokalizowanie, opisanie oraz usunięcie potencjalnego zagrożenia, które może negatywnie oddziaływać na przetwarzanie danych osobowych. Monitoring wewnętrzny obejmuje czynności o charakterze informacyjnym i doradczym. Poprzez obiektywną ocenę funkcjonujących w firmie procesów przestrzegania przepisów dotyczących ochrony danych osobowych dostarcza administratorowi danych osobowych obiektywnych informacji o działaniu wprowadzonych procesów.

Ocena ta dotyczy w szczególności:

  • zgodności stosowania środków technicznych z zapisami instrukcji zarządzania systemem informatycznym oraz obowiązującymi w tym zakresie przepisami prawa,
  • zgodności stosowania środków fizycznych z zapisami polityki bezpieczeństwa oraz obowiązującymi w tym zakresie przepisami prawa,
  • zgodności dokumentacji formalnej, jaka obowiązuje przy przetwarzaniu danych osobowych w zakresie danego stanowiska pracy,
  • zgodności stosowania zapisów instrukcji dotyczącej postępowania w przypadku naruszenia danych osobowych w systemie informatycznym.

Charakter i zakres monitoringu wewnętrznego są ustalane przez IOD. W celu zwiększenia poziomu ochrony przetwarzanych danych osobowych IOD udziela konsultacji, proponuje usprawnienia i szkoli. IOD wykonuje czynności doradcze jako część zadań o charakterze informacyjnym lub na wniosek kierownika jednostki. Podczas wykonywania swoich czynności IOD jest zobowiązany zachować obiektywizm i nie przejmować odpowiedzialności spoczywającej na osobach odpowiadających za obszar (problem), który jest przedmiotem oceny. W wyniku podejmowanych czynności IOD może przedstawić opinie lub zalecenia dotyczące zapewnienia odpowiedniego poziomu bezpieczeństwa w zakresie przetwarzania danych osobowych.

Prawa i obowiązki IOD

IOD ma prawo do:

  • prowadzenia monitoringu wewnętrznego w firmie,
  • dostępu do wszelkich dokumentów i materiałów wszystkich pracowników oraz wszelkich innych źródeł informacji nieodzownych do prowadzenia czynności monitorujących, z zachowaniem przepisów o tajemnicy ustawowo chronionej,
  • dostępu do pomieszczeń firmy, z zachowaniem przepisów o tajemnicy ustawowo chronionej,
  • żądania od pracowników firmy informacji i wyjaśnień w celu zapewnienia efektywnego przebiegu czynności monitorujących,
  • z własnej inicjatywy składania wniosków mających na celu zwiększenie poziomu ochrony przetwarzania danych osobowych w firmie,
  • zlecenia monitoringu wewnętrznego organizacji zewnętrznej lub upoważnionemu pracownikowi.

IOD powinien:

  • zachowywać obiektywizm podczas wykonywania swojej pracy,
  • wykonywać zadania z biegłością i należytą starannością,
  • współpracować z audytorami zewnętrznymi,
  • poszerzać swoją wiedzę, umiejętności oraz kwalifikacje w wyniku stałego doskonalenia zawodowego.

ADO działa zgodnie z procedurą monitoringu wewnętrznego:

  • na etapie planowania monitoringu wewnętrznego na dany rok IOD przeprowadza analizę z udziałem ADO,
  • wykonuje czynności monitorujące w sposób niezakłócający normalnego toku pracy firmy,
  • przekazuje sprawozdanie z przeprowadzenia zadania monitorującego ADO.

Prawa i obowiązki pracowników

Pracownik poddawany monitoringowi wewnętrznemu czynnie uczestniczy w planowaniu i przebiegu zadania monitorującego, a w szczególności:

  • uzgadnia harmonogram i zasady postępowania w trakcie przeglądu wstępnego w celu przygotowania realizacji zadania monitorującego,
  • uczestniczy w procesie oceny występowania uchybień,
  • ma prawo do zapoznania się z ustaleniami monitoringu na każdym etapie jego realizacji,
  • może zgłosić do ADO na piśmie wyjaśnienia lub umotywowane zastrzeżenia dotyczące treści sprawozdania z monitoringu,
  • ma obowiązek, w zakresie swoich kompetencji, przedkładać ADO plan działań naprawczych w związku z zaleceniami monitoringu.

Pracownicy:

  • potwierdzają odpisy lub kopie dokumentów, włączanych przez IOD do akt osobowych;
  • zobowiązani są udzielać IOD pisemnych lub ustnych informacji lub wyjaśnień; informacje, po ich ewentualnym zapisaniu, powinny być potwierdzone przez właściwego pracownika.

Zakres monitoringu wewnętrznego i sprawozdawczość

Monitoring wewnętrzny może objąć swoim zakresem wszystkie obszary działania, z zachowaniem przepisów o tajemnicy ustawowo chronionej. Powinien być wykonywany nie rzadziej niż raz na kwartał.
Monitoring wewnętrzny obejmuje badanie i ocenę adekwatności, skuteczności i efektywności systemu ochrony danych osobowych, a w szczególności:

  • przegląd ustanowionych mechanizmów,
  • ocenę przestrzegania przepisów prawa,
  • ocenę zabezpieczenia fizycznego firmy,
  • ocenę zabezpieczenia technicznego i formalnego,
  • ocenę dostosowania działań w firmie do sformułowanych wcześniej zaleceń.

IOD w ciągu 14 dni od daty przeprowadzenia monitoringu sporządza i przekazuje sprawozdanie z przeprowadzenia monitoringu ADO.

W razie nieuwzględnienia dodatkowych wyjaśnień lub zastrzeżeń IOD przekazuje ADO na piśmie swoje stanowisko wraz z uzasadnieniem.

IOD po rozpatrzeniu dodatkowych wyjaśnień lub zastrzeżeń jeden egzemplarz sprawozdania przechowuje, a jeden egzemplarz przekazuje ADO.

ADO w terminie 14 dniu od dnia otrzymania sprawozdania podejmuje działania mające na celu usunięcie uchybień lub wprowadzenie usprawnień w systemie przetwarzania danych osobowych.