Jak wygląda roczne sprawozdanie IOD?

Opublikowano przez

Kim jest Inspektor Ochrony Danych?

Inspektor ochrony danych (inaczej IOD) pełni w firmie ważną rolę. Jest on powoływany przez administratora lub firmę (podmiot) przetwarzające dane osobowe pracowników. Głównym celem jego pracy ma być pomoc w ochronie wymienionych informacji oraz przestrzegania obowiązujących aktów prawnych z dziedziny. Zajmuje się reagowaniem na zgłoszenia dotyczące nieprawidłowości w tym aspekcie, a także sporządzaniem oceny stanu ryzyka oraz skutków ochrony danych osobowych.

Funkcja ta polega zatem na wspieraniu firmy oraz zapewnieniu bezpieczeństwa danym wrażliwym pracowników, klientów, osób i innych podmiotów współpracujących.

Oprócz zadań wynikających ze specyfiki funkcjonowania organizacji, IOD zajmuje się sporządzaniem rocznego sprawozdania. Należy również wskazać, że osoba ta odpowiada za podnoszenie kompetencji osób, zajmujących się przetwarzaniem danych. Jest swego rodzaju łącznikiem między firmą, a Urzędem Ochrony Danych.

Inspektor danych osobowych

Roczne sprawozdanie IOD

Ustawowym obowiązkiem inspektorów ochrony danych jest przygotowanie rocznego sprawozdania z realizacji obowiązków z zakresu ochrony i sposobu przetwarzania danych. Jak już wskazuje sama nazwa musi być ono wykonywane z roczną częstotliwością. Ustawodawca przewiduje termin na wykonanie tego zadania do końca I kwartału (marca) roku następującego po okresie, którego dotyczy sprawozdanie. Zatem na przygotowanie obszernego dokumentu określające roczny przebieg pracy inspektor ma około trzech miesięcy.

Przeprowadzanie sprawozdania wiąże się z rolą audytorską inspektorów. Muszą oni monitorować decyzje i działania administratorów danych, aby mieć pewność, że nie są naruszane przepisy. Ponadto jest to dokument opisujący ich prace.

Elementy rocznego sprawozdania IOD

Pierwsza, podstawowa część sprawozdania musi zawierać konkretne kroki podjęte przez inspektora w związku z wykonywaniem ustawowych obowiązków. Istotne jest wskazanie i opisanie rzeczywistych sytuacji, które miały miejsce w środowisku pracy. Rozporządzenie o ochronie danych osobowych nakazuje również przeprowadzenie analizy stanu faktycznego przetwarzania danych osobowych. Ma ona uwzględniać czas sprzed sporządzenia sprawozdania. Powinny się w nim znaleźć na przykład:

  • informacje dotyczące organizowanych szkoleń oraz ustnych i pisemnych informacji dotyczących zakresu ochrony danych przekazywanych kierownictwu i pracownikom;
  • sposoby monitorowania zgodności przetwarzania danych przez osoby za to odpowiedzialne;
  • elementy współpracy z Prezesem Urzędu Ochrony Danych jak na przykład – bezpośrednie konsultacje, czy też wymiana korespondencji;
  • informacje o realizowaniu przez administratora polityki ochrony danych oraz przydzielenia obowiązków osobom, które się tym zajmują;
  • wnioski z realizacji zaleceń oraz informacje o stanie ich realizacji;
  • dane o pełnieniu funkcji punktu kontaktowego wobec Prezesa Urzędu;
  • zalecenia przygotowane co do oceny skutków ochrony danych.

Istotne jest, aby wszystkie działania podejmowane przez inspektora zostały starannie opisane, ze wskazaniem konkretnych dat, sytuacji i liczb (korespondencji, zgłoszeń, uwag, rozpatrzonych wniosków, spotkań, zaleceń, interwencji, itd.).

O czym pamiętać podczas przygotowywania sprawozdania?

IOD musi trzymać się ściśle określonych wytycznych – a wszystko po to, by wykluczyć ze sprawozdania błędy i zawrzeć wszystkie informacje dotyczące jego pracy. Oprócz opisania sytuacji z firmy i podjętych konkretnych działań inspektor danych osobowych musi zająć się analizą dokumentacji, zabezpieczeń infrastruktury informatycznej czy też zweryfikować poprawność danych.

Należy pamiętać także o sprawdzeniu zabezpieczeń danych przechowywanych w wersji tradycyjnej – papierowej. Ważna jest precyzja, uwzględnienie prawa oraz sposobów ochrony.

Inspektor poza dokładnym opisem swoich działań i interwencji musi poddać analizie sposoby zabezpieczeń danych, prawa pracowników, a także sugerować rozwiązania, które mogą okazać się skuteczne w danej jednostce. Po zakończeniu prac nad rocznym sprawozdaniem należy pamiętać o zasadach jego przekazania administratorowi.

Inspektor danych osobowych

Najważniejsze jest to, aby zabezpieczyć dokument w należyty sposób, co pozwoli na wyeliminowanie niebezpieczeństwa, że trafi on do osób, które nie powinny się z nim zapoznać. Zatem treść sprawozdania, podobnie jak i dane chronione musi pozostać tajna. Dobrym rozwiązaniem będzie zatem przesłanie go w formie elektronicznej. Należy jednak je zaszyfrować poprzez utworzenie hasła zabezpieczającego, które koniecznie należy przekazać w inny sposób (na przykład telefoniczny). Samo sprawozdanie dobrze przesłać poprzez pocztę w firmowej domenie.

Sprawozdanie nie jest elementem biurokratycznym. Jest to ustawowy instrument mający na celu wsparcie funkcjonowania jednostki i pracy IOD. Od jego właściwego przygotowania zależy rzeczywista jakoś ochrony danych.