Co tak naprawdę kryje się pod pojęciami „zakres” i „przedmiot” sprawdzenia, które musimy umieścić w planie sprawdzeń

Jednym z głównych obowiązków administratora bezpieczeństwa informacji (dalej ABI) jest zapewnienie przestrzegania przepisów o ochronie danych osobowych poprzez sprawdzanie zgodności przetwarzania danych osobowych z przepisami. Powyższe wynika bezpośrednio z treści art. 36a ust. 2 pkt 1 lit. a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W toku sprawdzeń ABI sprawdza jak zabezpieczenia organizacyjne i techniczne gwarantują, że posiadane  informacje są należycie chronione. Ocenia także czy praktyka przedsiębiorstwa dotycząca przetwarzania danych osobowych (stosowane klauzule zgód, zakresy pozyskiwanych danych, okresy przechowywania danych, wyodrębnione zbiory, realizacja obowiązków informacyjnych) jest zgodna z przepisami prawa.

Kontrola podejmowana w toku sprawdzenia może być dokonywana z uwagi na trzy okoliczności określone w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. Pierwszym przypadkiem jest kontrola incydentalna – przeprowadza się ją kiedy mamy uzasadnione wątpliwości co do prawidłowości przetwarzania danych osobowych przez administratora danych albo występuje incydent związany z naruszeniem obowiązujących przepisów. Kolejnym rodzajem jest kontrola wnioskowana przez GIODO – w tym wypadku to organ wyznacza ramy sprawdzenia wskazując termin w jakim należy przesłać sprawozdanie. Trzeci wariant, kontrola planowa, jest najczęściej spotykanym rodzajem kontroli. Podmiot kontrolowany uprzednio zostaje poinformowany o terminie, zakresie i przedmiocie sprawdzeń.  Wymienione elementy są przekazywane przez ABI w tzw. „planie sprawdzeń”.

Sporządzając plan sprawdzeń możemy mieć wątpliwości, co oznaczają pojęcia „przedmiot” i „zakres” sprawdzeń.

W Rozporządzeniu Ministra Administracji i Cyfryzacji  w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji czytamy:

 

„Plan sprawdzeń określa przedmiot, zakres oraz termin przeprowadzenia poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania”[1].

Prawidłowe określenie tych elementów należy do szeroko rozumianych obowiązków ABI i ma znaczenie nie tylko teoretyczne. Niestety, nie istnieje zgodna praktyka względem tego co należy do zakresu, a co do przedmiotu kontroli. Jedni uznają, że zakresem jest to „gdzie” będą przeprowadzane kontrole np. system informatyczny, a za „przedmiot” uznawane są poszczególne obowiązki ustawowe.  Z kolei inni ABI uważają, że jest zupełnie na odwrót.

Jeżeli brak jest definicji legalnych pojęć użytych w aktach prawnych, przyjmuje się, że należy posługiwać się ogólnie przyjętym znaczeniem słowa. Wyjątki od tej zasady mogą wynikać z orzecznictwa lub jednolitej i powszechnie przyjętej praktyki stosowania prawa.

Zgodnie ze znaczeniem potocznym „zakres”[2] oznacza „granicę zasięgu jakiegoś zjawiska, działania, faktu; też: dziedzina, sfera objęta tymi granicami”. Dlatego uzasadnione wydaje się stwierdzenie, że na gruncie rozporządzenia użyto tego wyrazu dla oznaczenia „obszaru”, „strefy” naszego sprawdzenia. Możemy to zrobić wskazując konkretne działy, zbiory, lub systemy informatyczne. Chodzi o to, żeby określić ramy sprawdzenia, które obejmują w rzeczywistości fragment albo całość działalności administratora danych.

Natomiast „przedmiot”[3] to inaczej „temat, treść, wątek czegoś”. W związku z czym do przedmiotu sprawdzenia zaliczymy wszystkie poszczególne elementy tworzące istotę, meritum sprawozdania. W zasadzie w każdym przypadku będzie to realizacja obowiązków i uprawnień nałożonych przepisami o ochronie danych osobowych. Uważam tak, ponieważ w swojej praktyce nie ograniczamy się do wąskich obszarów, chcąc zapewnić kompleksową obsługę zawracamy uwagę na każdy element działalności klienta i jego zgodność lub odstępstwo od obowiązujących przepisów. Przyznam jednak, że możliwe jest ograniczenie „przedmiotu sprawdzenia” np. wyłącznie do realizacji obowiązku informacyjnego z art. 24, zabezpieczeń fizycznych, czy spełniania przez systemy informatyczne przesłanek określonych w rozporządzeniu. Wszystko zależne jest od celu jaki ABI chce uzyskać, w niektórych sytuacjach może być uzasadnione przeprowadzenie drobiazgowego audytu.

Muszę przyznać, że w praktyce stosowane jest również odmienne rozumienie pojęć „przedmiotu” i „zakresu” sprawdzenia, zgodnie z którym przedmiotem będzie właśnie zbiór/system, a zakresem sprawdzenia to w jaki sposób Administrator danych realizuje swoje poszczególne obowiązki. Z uwagi na wyżej zaprezentowaną argumentację taki pogląd nie przemawia do mnie. Jednak dyskusja w tym temacie jest niepotrzebna i w zasadzie nie przyniesie wymiernych korzyści. Najistotniejsze jednak w mojej ocenie bez względu na to, którą z koncepcji przyjął ABI jest konsekwentne stosowanie się do niej. Brak konsekwencji przejawiający się określaniem np. zakresu poprzez wskazywanie obszaru a innym razem poprzez wskazywanie obowiązków ADO wprowadzi „bałagan” w dokumentacji prowadzonej przez ABI-ego. A należy pamiętać, że „…Zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na pięć lat…”[4] i z tego względu bez utrzymania odpowiedniej systematyki w nazewnictwie będzie nam niezmiernie trudno ocenić, czy objęliśmy całą organizację w cyklu pięcioletnim.

Artykuł powstał na podstawie opracowania przygotowanego przez Joannę Reszke.

[1] www.giodo.gov.pl/144/id_art/8715/j/pl/

[2]http://sjp.pwn.pl/szukaj/zakres.html

[3]http://sjp.pwn.pl/szukaj/przedmiot.html

[4] § 3 ust. 6 rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji

About Redakcja 304 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.