Konkretne odpowiedzi na pytania, które najczęściej pojawiają się przy ochronie danych osobowych, audytach RODO, obsłudze funkcji IOD i bezpieczeństwie informacji. Ta sekcja została przygotowana jako praktyczne FAQ dla osób decyzyjnych, administratorów danych i osób odpowiedzialnych za dokumentację.
Konkretne odpowiedzi na pytania praktyczne.
RODO, IOD, audyt, SZBI, ISO 27001 i NIS2.
Wsparcie decyzji i porządkowania dokumentacji.
Rejestry, klauzule, upoważnienia, powierzenia, retencja i naruszenia.
Rola inspektora, monitorowanie zgodności, raporty, dowody i działania naprawcze.
Ryzyka, aktywa, incydenty, dostawcy, ciągłość działania i cyberbezpieczeństwo.
Każda organizacja przetwarzająca dane osobowe powinna posiadać dokumentację adekwatną do skali i rodzaju przetwarzania. Nie chodzi o liczbę dokumentów, ale o możliwość wykazania zgodności: procesów, podstaw prawnych, obowiązków informacyjnych, retencji, upoważnień, powierzeń i zasad bezpieczeństwa.
Przegląd dokumentów pokazuje, czy dokumentacja istnieje i czy zawiera wymagane elementy. Audyt RODO powinien dodatkowo sprawdzić praktykę działania: kto ma dostęp do danych, jak realizowane są procedury, czy rejestry są aktualne, czy personel zna zasady i czy organizacja ma dowody zgodności.
Rejestr czynności powinien opisywać procesy przetwarzania danych, cele, kategorie osób i danych, odbiorców, podstawy prawne, okresy przechowywania oraz stosowane środki bezpieczeństwa. W praktyce powinien być powiązany z realnymi procesami organizacji, a nie stanowić oderwaną tabelę.
Umowa powierzenia jest potrzebna wtedy, gdy zewnętrzny podmiot przetwarza dane osobowe w imieniu administratora i na jego polecenie. Przykładem może być obsługa IT, hosting, system kadrowo-płacowy, firma niszcząca dokumenty lub dostawca usługi, który ma dostęp do danych w ramach realizacji zadania.
Najpierw należy ustalić, co się wydarzyło, jakich danych dotyczy zdarzenie, ile osób może być objętych naruszeniem i jakie mogą być skutki. Następnie ocenia się, czy naruszenie trzeba zgłosić do Prezesa UODO i czy należy zawiadomić osoby, których dane dotyczą. Każde naruszenie powinno być udokumentowane.
IOD doradza, monitoruje i wspiera administratora, ale nie przejmuje odpowiedzialności administratora za decyzje dotyczące przetwarzania danych. Odpowiedzialność za zgodność pozostaje po stronie administratora. IOD powinien jednak otrzymywać informacje i być włączany w sprawy dotyczące danych odpowiednio wcześnie.
Analiza ryzyka jest szczególnie istotna przy nowych procesach, nowych systemach, zmianach organizacyjnych, przetwarzaniu danych wrażliwych, obsłudze dużej liczby osób, pracy z dostawcami i po incydentach. Pomaga ocenić, jakie zagrożenia mogą dotyczyć praw i wolności osób oraz jakie zabezpieczenia są potrzebne.
SZBI, czyli System Zarządzania Bezpieczeństwem Informacji, porządkuje zasady ochrony informacji w organizacji. Obejmuje m.in. aktywa, ryzyka, odpowiedzialności, dostęp do informacji, incydenty, kopie zapasowe, dostawców, ciągłość działania i przeglądy okresowe.
ISO/IEC 27001:2022 wymaga dokumentów i zapisów potrzebnych do wykazania działania systemu, ale najważniejsza jest skuteczność SZBI. Dokumentacja powinna wynikać z zakresu systemu, analizy ryzyka, deklaracji stosowania i rzeczywistych zabezpieczeń, a nie być tworzona wyłącznie formalnie.
NIS2 dotyczy cyberbezpieczeństwa i odporności organizacji, ale wiele obszarów łączy się z RODO i SZBI: incydenty, dostęp do systemów, dostawcy, ciągłość działania, ryzyko, odpowiedzialność kierownictwa i szkolenia. Dobrze uporządkowany SZBI ułatwia przygotowanie do NIS2.
Warto sprawdzić aktualność rejestru czynności, klauzul informacyjnych, umów powierzenia, upoważnień, procedury naruszeń, retencji danych, szkoleń oraz dowodów realizacji obowiązków. Istotne jest również to, czy osoby odpowiedzialne potrafią wyjaśnić, jak dane są przetwarzane w praktyce.
Szkolenia powinny być dostosowane do ryzyka i stanowisk. Jednorazowe szkolenie zwykle nie wystarcza, jeżeli organizacja zmienia procesy, systemy, zakres danych lub zatrudnia nowe osoby. Ważne są także krótkie instrukcje stanowiskowe i cykliczne przypominanie zasad.