Kontrola u procesora

Na początku należy wyjaśnić kim jest procesor[1]. Dla przeciętnego „Kowalskiego” wskazane pojęcie oznacza część komputera odpowiedzialną za prędkość obliczeniową. Jednakże w świecie ochrony danych osobowych pojęcie procesora oznacza podmiot, któremu administrator danych powierzył przetwarzanie danych osobowych. Powierzenie danych jest związane z podpisaniem stosownej umowy, która powinna zawierać przynajmniej zakres i cel powierzonych danych osobowych (zgodnie z art. 31 ustawy o ochronie danych osobowych). Co jeszcze należy wpisać do ww. umowy?

Biorąc pod uwagę okoliczność, iż nawet pomimo zawarcia umowy powierzenia, w razie naruszenia zasad ochrony danych osobowych odpowiada administrator danych, w mojej ocenie należy dodać postanowienie regulują kontrolę zasad przetwarzania powierzonych danych osobowych, czyli możliwość skontrolowania czy nasze dane osobowe są przetwarzane zgodnie z ustawą o ochronie danych osobowych. Moje dotychczasowe doświadczenie wskazuje, że nie zawsze podpisanie umowy powierzenia przekłada się na spełnienie wszystkich wymagań w niej zapisanych.

Dlatego właśnie warto skontrolować naszego podwykonawcę, zwłaszcza wtedy gdy przetwarza dane istotne dla naszego funkcjonowania np. w związku z outsouricngiem kadrowym. Dodatkowo, kontrole u procesorów są zaliczane do tzw. „dobrych praktyk” z zakresu ochrony danych osobowych na co również wskazuje GIODO[2].

Od czego zacząć? Pierwszym krokiem jest wpisanie odpowiednich postanowień do umowy powierzenia. Kolejnym etapem jest przeprowadzenie właściwej kontroli.

W porozumieniu z procesorem powinniśmy wyznaczyć osoby biorące udział w kontroli. Następnym elementem jest przygotowanie planu kontroli, który usprawni nam cały proces. W ww. planie powinniśmy wskazać obszary przez nas kontrolowane oraz dokumenty jakich będziemy wymagali od procesora (np. Polityki Bezpieczeństwa Danych Osobowych oraz Instrukcji Zarządzania Systemami Informatycznymi). Podczas samej kontroli powinniśmy się skoncentrować na tym, czy procesor przed rozpoczęciem przetwarzania danych podął środki zabezpieczające powierzony zbiór danych oraz czy spełnił wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W związku z powyższym, sprawdzamy czy osoby mające dostęp do danych mają wystawione upoważnienia do przetwarzania danych oraz czy podpisały oświadczenia o zachowaniu danych w poufności. Powinniśmy również sprawdzić aktualność ewidencji osób upoważnionych. Kolejnym krokiem jest sprawdzenie, czy nasze dane nie są przekazywane dalej np. powierzane, a jeżeli tak to do jakiego podmiotu trafiają i czy jest podpisana stosowana umowa podpowierzenia. Jeżeli nasze dane osobowe są przetwarzane w systemach informatycznych to należy sprawdzić również te systemy, szczególnie pod kątem konstrukcji haseł oraz spełnienia wymagań z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Na koniec powinniśmy dokonać oględzin miejsca przetwarzania danych osobowych zwracając szczególną uwagę na zabezpieczenia fizyczne i warunki w jakich są przechowywane dane osobowe (czy do obszaru przetwarzania danych nie mają dostępu osoby nieupoważnione).

Końcowym etapem jest przygotowanie notatki podsumowującej naszą kontrolę. Notatka powinna zawierać opis odkrytych uchybień. Notatkę należy przekazać do osób odpowiedzialnych w naszej organizacji za zarządzanie bezpieczeństwem informacji (Zarząd/Dyrektor) oraz można ją przesłać do procesora.



[1] Zwany również „administrującym” sygn. II KKN 438/2000