Planowane kontrole NIK z zakresu ochrony danych osobowych

Ochrona danych osobowych w JST - plany kontroli NIK

 

NIK po przeprowadzonej kontroli w wybranych jednostkach samorządowych, zapowiada kontrole we wszystkich jednostkach. Opublikowany raport wykazał duże nieprawidłowości, "stąd też postępowanie kontrolne rozszerzone zostanie na wszystkie jednostki samorządowe w kraju. Ma ono wyeliminować nieprawidłowości i zagwarantować pozytywne zmiany w usługach publicznych, w całym sektorze samorządowym" - czytamy w komunikacie NIK.

 

Co będzie kontrolował NIK ?

 

Kontrole będą ukierunkowane na weryfikację właściwych praktyk i zasad ochrony danych osobowych. Jak chronić dane osobowe precyzuje Rozporządzenie RODO. Do najważniejszych obowiązków należy:

 

- art.24 Obowiązki Administratora

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych (...), administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane 

 

W zakresie przeprowadzanych analiz ryzyka Rozporządzenie wskazuje:

 

- art.32 Bezpieczeństwo przetwarzania

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

Jak weryfikować czy ochrona danych osobowych jest wystarczająca ?

 

Ochrona danych osobowych i zasady postępowania powinny podlegać przeglądom i uaktualnieniu oraz analizom ryzyka. Prawidłowo przeprowadzona analiza ryzyka wskaże określone obszary wymagające szczególnego zainteresowania. Wytyczne poaudytowe powinny ukierunkować podmiot na istniejące zagrożenia w celu ich minimalizacji lub eliminacji. Dzialania to przede wszyyskim korekta lub modyfikacja istniejących praktyk. Analiza ryzyka powinna być przeprowadzona co jakiś czas (np co 2 lata), gdyż rutyna pracowników i brak korekty istniejących praktyk są najczęstrzymi przyczynami skutków nieprawidłowej ochrony danych osobowych.

 

Analiza ryzyka dla JST

Dla jednostek samorządowych oferujemy analizę ryzyka przetwarzanych danych osobowych. Przeprowadzamy ją zgodnie z zaleceniami Rozporządzenia RODO.

 

Pierwszym etapem jest :

 

- badanie kontekstu wewnętrznego organizacji, zapoznanie się ze strukturą organizacyjną oraz identyfikacja aktywów i klasyfikacja ich ważności.

 

Drugi etap:

 

- identyfikacja i analiza ryzyka, wnioski z analizy ryzyka.

 

Trzeci etap:

 

- opracowanie planu postępowania z ryzykiem oraz raportu z procesu szacowania ryzyka, uwzględniającego wszystkie zidentyfikowane ryzyka utraty poufności, integralności i dostępności danych.

 

Zapraszamy do kontaktu w celu określenia zakresu przeprowadzenia analizy ryzyka