PLAN KONTROLI JAKO ELEMENT POLITYKI BEZPIECZEŃSTWA

Przepisy dotyczące sfery ochrony danych osobowych nie wskazują wprost na obowiązek utworzenia planu kontroli. RODO nakłada na administratora obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych w swojej jednostce tak, aby przetwarzanie odbywało się zgodnie z obowiązującymi przepisami prawa. W razie potrzeby środki te poddawane są przeglądom, a jeżeli to konieczne, także uaktualnieniu. O tym, jak często przeprowadzane są takie kontrole i na jakiej zasadzie, decyduje administrator.

Podmioty, które realizują zadania publiczne, mają obowiązek stosowania się do przepisów rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2017 r. poz. 2247 t.j.). We wskazanym akcie prawnym jest wymóg, aby kierownictwo podmiotu publicznego było w stanie zapewnić odpowiednie warunki, które pozwolą na realizację działań w zakresie zarządzania bezpieczeństwem informacji. Rozporządzenie k.r.i. nakłada obowiązek przeprowadzenia okresowego audytu wewnętrznego nie rzadziej niż raz w roku.

Podsumowując przepisy wprost nie określają obowiązku tworzenia planu kontroli, a tym bardziej nie wskazują, iż ma on być częścią polityki bezpieczeństwa. Dobrą praktyką jest utworzenie przez administratora planu kontroli, który pomoże administratorowi zidentyfikować wszystkie obszary zagrożone w rozumieniu przepisów o ochronie danych osobowych, a następnie pozwoli to objąć odpowiednią kontrolą wszystkie te zagrożone obszary.

 

Podstawa prawna:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1);
  2. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2017 r. poz. 2247 t.j.)