Kontrola GIODO w firmie?
To prawda, że Generalny Inspektor Danych Osobowych jest odpowiedzialny za kontrolę polityki ochrony danych przedsiębiorców, ale z jego ramienia zadanie to wykonuje zespół tzw. inspektorów danych osobowych.
Najczęściej składa się on z trzech osób- dwóch pracowników Departamentu Inspekcji Biura GIODO (prawników) oraz jednego pracownika Departamentu Informatyki Biura GIODO. Takie kontrole zawsze są zapowiadane – najczęściej z 3,4-dniowym wyprzedzeniem.
Czego dotyczyć może kontrola GIODO?
Przedmiotem dokumentacji mogą być cztery kwestie: dokumentacja, legalność przetwarzania danych osobowych, zgłoszenie zbiorów do rejestracji oraz systemy informatyczne. Poniżej pokrótce opiszę wszystkie.
Dokumentacja
Pierwszą rzeczą jaką najprawdopodobniej skontrolują inspektorzy to dokumentacja dotycząca ochrony danych osobowych. W skład najważniejszych dokumentów wchodzi Polityka Bezpieczeństwa Ochrony Danych Osobowych (razem z załącznikami), Instrukcja Zarządzania Systemem Informatycznym (razem z załącznikami), ale również upoważnienia dla pracowników. Brak wymaganych dokumentów na pewno poskutkuje negatywna opinią po kontroli.
WAŻNE: Aby dokumenty były ważne, niezbędnym elementem jest podpisanie ich przez Administratora Danych Osobowych (ADO).
Legalność przetwarzanych danych osobowych
Drugą ważną kwestię, którą z pewnością skontrolują inspektorzy będzie to, czy fakt przetwarzania danych osobowych ma swoje uzasadnienie w przepisach prawa. Podstawę prawną do przetwarzania danych osobowych określa art. 23 Ustawy o ochronie danych osobowych.
Zgłoszenie zbioru do rejestracji
Inspektorzy sprawdzą, czy wszystkie zbiory danych osobowych, które faktycznie powinny zostać zarejestrowane w GIODO, naprawdę zostały zgłoszone. Jeśli tak w istocie się stało i dokonano zgłoszenia zbiorów, inspektor sprawdzi, czy formularz zgłoszenia został wypełniony prawidłowo. Ponadto, inspektor ustala, czy ewentualna zmiana w zakresie informacji podanych w zgłoszeniu, została zgłoszona GIODO w terminie wskazanym w ustawie.
Systemy Informatyczne
Inspektorzy zwrócą uwagę także na to, czy system informatyczny, używany w konkretnym przedsiębiorstwie jest przygotowany należycie w zakresie ochrony danych osobowych. GIODO przywiązuje wagę do instalacji specjalistycznego oprogramowania, które analizuje i rejestruje przepływ informacji i podejmuje “zaprogramowane” decyzje, tzn. ustala czy w danej sytuacji może “przekazać” dalej dane osobowe, czy nastąpi decyzja o ich zablokowaniu. Specjalistyczne oprogramowanie obejmuje takie programy jak systemy antywirusowe, antyspamowe, firewalle, IDS-y bądź IPS-y (systemy wykrywania i zapobiegania włamaniom).