Kontrola GIODO – czyli czego szuka inspektor GIODO

Uchylę dziś rąbka tajemnicy na temat pracy inspektora GIODO.
Najistotniejszym zagadnieniem związanym z pracą inspektora jest pytanie czego on właściwie szuka w trakcie kontroli. Odpowiedź pewnie nikogo nie zaskoczy, bowiem inspektor tak jak każdy audytor szuka uchybień. Co to jest uchybienie? Zgodnie ze Słownikiem Języka Polskiego wydanym przez PWN, uchybienie oznacza:

  1. skutek zaniedbania, niedopatrzenie w czymś
  2. wykroczenie przeciw jakimś normom, przepisom, zwyczajom itp.
  3. zachowanie obrażające kogoś

Inspektora GIODO prowadzącego kontrolę interesują oczywiście uchybienia w zakresie stosowania przepisów dotyczących ochrony danych osobowych. W tym miejscu nasuwa się od razy pytanie, gdzie i w jaki sposób to robi.

A więc od czego zaczyna inspektor GIODO – odpowiedź jest banalna, zaczyna od znalezienia osoby, która powinna mieć wiedze na temat wszystkich procesów związanych z przetwarzaniem danych osobowych u kontrolowanego przedsiębiorcy. Taką osobą jest Administrator Bezpieczeństwa Informacji.
W przypadku braku takiej osoby możemy już na początku założyć, iż przedsiębiorca nie do końca dba o właściwą ochronę danych osobowych.

Praktycznie każdy podmiot działający na rynku ma podobną strukturę. Oczywiście skala działalności i profil działalności gospodarczych jest bardzo zróżnicowana, jednakże można znaleźć pewne powtarzalne schematy.

Bazując na moim doświadczeniu mogę znaleźć pewne elementy, które się powtarzają i z przyzwyczajenia to właśnie na tych elementach koncentruje się „standardowy” inspektor. Doskonałym przykładem są wymagania formalne. Każdy administrator danych powinien mieć wdrożoną Politykę bezpieczeństwa ochrony danych osobowych, Instrukcję zarządzania systemami informatycznymi przetwarzającymi dane osobowe, wydane upoważnienia, aktualną ewidencję osób upoważnionych do przetwarzania danych oraz zarejestrowane zbiory danych. Powyższe elementy bardzo łatwo sprawdzić, więc są zazwyczaj brane na pierwszy ogień.
W trakcie kontroli inspektorzy (prawnik i informatyk) sprawdzają również zabezpieczenia fizyczne danych osobowych. Zwracają uwagę np. na to czy dokumenty zawierające dane osobowe są przechowywane w szafkach zamykanych na klucz oraz czy dostęp do danych osobowych mają osoby nieupoważnione (np. poprzez nieodpowiednie ustawienie monitorów). Dodatkowo informatyk sprawdza systemy informatyczne w których są przetwarzane dane osobowe pod kątem spełnienia wymogów z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

Kolejnym punktem na „trasie kontroli” są działy Kadr. Praktycznie każdy przedsiębiorca taki dział posiada, więc przeciętny inspektor spotykał się z nim podczas kontroli już wiele razy i wie jakich uchybień tam szukać (np. kserokopii dowodów osobistych lub zbyt szerokiego zakresu danych w kwestionariuszy osobowym).

Po sprawdzeniu działu Kadr przychodzi pora na umowy z podmiotami zewnętrznymi, które przetwarzają dane na zlecenie administratora danych (szeroko pojęty outsourcing). W przypadku braku umów powierzenia przetwarzania danych z takimi podmiotami mamy kolejne gotowe uchybienia.

Po sprawdzeniu standardowych elementów przychodzi czas na procesy związane ze specyfiką kontrolowanego administratora danych. Tutaj szczególną uwagę poświęca się na różnego rodzaju formularze i ankiety za pomocą których pozyskiwane są dane osobowe ( w tym też strony internetowe). Sprawdzamy czy są niezbędne elementy wynikające z ustawy o ochronie danych osobowych takie jak obowiązki informacyjne czy klauzule zgód ( o ile są niezbędne w określonym stanie faktycznym). Badana jest też adekwatność, celowość i czas przechowywania danych, ale o tym napiszę w przyszłości.

Zapomniałbym o najważniejszym – tzn. jakie podejście prezentują inspektorzy. Sprawdza się tu stare przysłowie „jak Kuba Bogu, tak Bóg Kubie”, czyli poczęstujmy inspektora kawą i ciastkami, a na pewno kontrola przebiegnie dużo sprawniej.

Jak przygotować się do kontroli GIODO?

Jest czwartek godz. 15. W biurze jeszcze prawie wszyscy pracownicy są obecni, ale nikt nie spodziewa się wybuchu nieoczekiwanego „pożaru”. Tymczasem przychodzi faks od GIODO, który uprzejmie nas informuje, że za 7 dni spodziewać się możemy kontroli stanu zgodności działania z ustawą o ochronie danych osobowych… Co robić? Jak najefektywniej wykorzystać czas przed kontrolą?

Na początku należy określić kto z ramienia GIODO będzie prowadził kontrolę. Zazwyczaj do przeprowadzenia kontroli oddelegowane zostają dwie osoby – prawnik i informatyk. Kontrole mogą przeprowadzać od 6:00 do 22:00, warto jednak pamiętać, że inspektor też człowiek i jest bardzo mało prawdopodobne, że będzie nas sprawdzać do 22:00 (bardziej prawdopodobne są standardowe godziny pracy urzędu czyli 8:00-16:00).

Należy podkreślić, że nie powinniśmy utrudniać kontroli, gdyż grozi za to kara grzywny, ograniczenia lub pozbawienia wolności do roku (zamiatanie więc danych osobowych „pod dywan” nie wchodzi w grę).

Do rzeczy – od czego zaczynamy (zakładając, iż o ustawie o ochronie danych osobowych dowiedzieliśmy się z faksu od GIODO)?

Na początku powinniśmy wyznaczyć osobę odpowiedzialną za przeprowadzenie prac związanych z dostosowaniem naszej działalności do wymogów nałożonych ustawą o ochronie danych osobowych oraz aktów wykonawczych wydanych na jej podstawie. Taką osobą jest Administrator Bezpieczeństwa Informacji. Dalszym krokiem jest przygotowanie Polityki Bezpieczeństwa Danych Osobowych oraz Instrukcji Zarządzania Systemami Informatycznymi Przetwarzającymi Dane Osobowe. Następnie wydajemy upoważnienia do przetwarzania danych oraz zaczynamy prowadzić ewidencję osób upoważnionych do przetwarzania danych. Teraz należy zgłosić do rejestracja w GIODO zbiory danych osobowych.

Ufff… formalności mamy za sobą, a więc co dalej? Dobrze by było, jakbyśmy się zorientowali dokładnie jakie dane osobowe mamy, w jaki sposób zbieramy, co z nimi robimy i komu przekazujemy. Innymi słowy – przeprowadzamy wewnętrzny audyt. Dzięki temu, podczas kontroli GIODO będziemy mogli wykazać się dbałością i orientacją w procesach przetwarzania danych osobowych w naszej organizacji. Audyt pozwoli nam naprawić ewentualne braki.

Czym się kierować podczas audytu? Kontrolujemy, czy na formularzach za pomocą, których zbieramy dane są zamieszczone obowiązki informacyjne. Sprawdzamy, czy dokumenty z danymi osobowymi nie są wyrzucane do śmieci, czy nie przechowujemy danych osobowych w nieskończoność i ogólnie rzec ujmując, czy jesteśmy w stanie wytłumaczyć inspektorowi po co nam są te dane, akurat w takim zakresie. Warto zwrócić uwagę na systemy informatyczne, a w szczególności czy hasła do nich mają odpowiednią długość i częstotliwość zmieniania.

Na sam koniec (jak zostanie nam trochę czasu) powinniśmy przeszkolić naszych pracowników z zasad ochrony danych osobowych. Szkolenia są traktowane przez GIODO jako dobra praktyka i na pewno zaplusujemy przed inspektorami.